防止X-Forwarded-For伪造客户端IP漏洞,获取真实IP方法

最新推荐文章于 2024-04-15 00:43:03 发布
最新推荐文章于 2024-04-15 00:43:03 发布
阅读量2.3k 收藏 6
点赞数
分类专栏: php linux 文章标签: tcp/ip java 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lmmilove/article/details/123519665
版权
linux 同时被 2 个专栏收录
38 篇文章 0 订阅
订阅专栏
php
14 篇文章 0 订阅
订阅专栏

在Web应用开发中,经常会需要获取客户端IP地址。一个典型的例子就是投票系统,为了防止刷票,需要限制每个IP地址只能投票一次。

如何获取客户端IP
在PHP中,获取客户端IP最直接的方式就是使用getenv('HTTP_CLIENT_IP')。这种方式能获取到连接服务器的客户端IP,在中间没有代理的情况下,的确是最简单有效的方式。但是现在web一般都会有一层Nginx做反向代理和负载均衡,有的甚至可能有多层代理。在有反向代理的情况下,直接使用getenv('REMOTE_ADDR');获取到的IP地址是Nginx所在服务器的IP地址,而不是客户端的IP。

HTTP协议是基于TCP协议的,由于getenv('REMOTE_ADDR')获取到的是TCP层直接连接的客户端的IP,对于Web应用服务器来说直接连接它的客户端实际上是Nginx,也就是TCP层是拿不到真实客户端的IP。

为了解决上面的问题,很多HTTP代理会在HTTP协议头中添加X-Forwarded-For头,用来追踪请求的来源。X-Forwarded-For的格式如下:

 
X-Forwarded-For: client1, proxy1, proxy2
 

X-Forwarded-For包含多个IP地址,每个值通过逗号+空格分开,最左边(client1)是最原始客户端的IP地址,中间如果有多层代理,每一层代理会将连接它的客户端IP追加在X-Forwarded-For右边。

下面就是一种常用的获取客户端真实IP的方法,首先从HTTP头中获取X-Forwarded-For,如果X-Forwarded-For头存在就按逗号分隔取最左边第一个IP地址,不存在直接通过getenv('REMOTE_ADDR');获取IP地址:

 

function get_ip()
    {
        $onlineip = '';
        if(getenv('HTTP_CLIENT_IP') && strcasecmp(getenv('HTTP_CLIENT_IP'), 'unknown')) {
            $onlineip = getenv('HTTP_CLIENT_IP');
        } elseif(getenv('HTTP_X_FORWARDED_FOR') && strcasecmp(getenv('HTTP_X_FORWARDED_FOR'), 'unknown')) {
            $onlineip = getenv('HTTP_X_FORWARDED_FOR');
        if (getenv('REMOTE_ADDR') && strcasecmp(getenv('REMOTE_ADDR'), 'unknown')) {
            $onlineip = getenv('REMOTE_ADDR');
        } elseif (isset($_SERVER['REMOTE_ADDR']) && $_SERVER['REMOTE_ADDR'] && strcasecmp($_SERVER['REMOTE_ADDR'], 'unknown')) {
            $onlineip = $_SERVER['REMOTE_ADDR'];
        }
        return $onlineip;
    }

另外,要让Nginx支持X-Forwarded-For头,需要配置:

 
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
 

$proxy_add_x_forwarded_for会将和Nginx直接连接的客户端IP追加在请求原有X-Forwarded-For值的右边。

伪造X-Forwarded-For
一般的客户端(例如浏览器)发送HTTP请求是没有X-Forwarded-For头的,当请求到达第一个代理服务器时,代理服务器会加上X-Forwarded-For请求头,并将值设为客户端的IP地址(也就是最左边第一个值),后面如果还有多个代理,会依次将IP追加到X-Forwarded-For头最右边,最终请求到达Web应用服务器,应用通过获取X-Forwarded-For头取左边第一个IP即为客户端真实IP。

如何伪造X-Forwarded-For头的,以Postman为例:
Postman伪造X-Forwarded-For

 

如何防范
方法一

方法一:在直接对外的Nginx反向代理服务器上配置:

 
proxy_set_header X-Forwarded-For $remote_addr;
 

这里使用$remote_addr替代上面的$proxy_add_x_forwarded_for。$proxy_add_x_forwarded_for会在原有X-Forwarded-For上追加IP,这就相当于给了伪造X-Forwarded-For的机会。而$remote_addr是获取的是直接TCP连接的客户端IP(类似于Java中的request.getRemoteAddr()),这个是无法伪造的,即使客户端伪造也会被覆盖掉,而不是追加。

需要注意的是,如果有多层代理,那么只要在直接对外访问的Nginx上配置X-Forwarded-For为$remote_addr,内部层的Nginx还是要配置为$proxy_add_x_forwarded_for,不然内部层的Nginx又会覆盖掉客户端的真实IP。

请使用手机"扫一扫"x
lmmilove
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用HTTP_X_FORWARDED_FOR获取客户端IP的严重后果
10-29
我的建议是不要再使用上面的方法获取客户端IP.即是不要再理会代理情况.
X-Forwarded-For火狐插件
01-10
X-Forwarded-For火狐插件
X-Forwarded-For客户端IP伪造及防范
wutongyuWxc的博客
05-25 1万+
前言:由于互联网Web应用很少会将应用服务器直接对外提供服务,一般都会有一层Nginx做代理和负载均衡,有的甚至可能有多层代理,并且客户端可以通过伪造http请求头信息x-forwarded-for来伪造IP,那么如何防止伪造IP呢?本文分别从有代理(Nginx)和没有代理两种情况分析如何获取客户端真实IP。 1. 没有代理 单纯的web应用,没有做代理的情况下,...
渗透测试-XFF漏洞攻击原理及防御方案
最新发布
lza20001103的博客
04-15 2047
渗透测试-XFF漏洞攻击原理及防御方案
XFF(X-FORWARDED-FOR)
慎铭的博客
02-03 7700
  XFF(X-FORWARDED-FOR)是http的拓展头部,作用是使Web服务器获取访问用户的IP真实地址(可伪造)。由于很多用户通过代理服务器进行访问,服务器只能获取代理服务器的IP地址,而xff的作用在于记录用户的真实IP,以及代理服务器的IP。 格式: X-Forwarded-For: 本机IP, 代理1IP, 代理2IP, 代理3IP ...
XXF(x-forwarded-for)
qq_41851849的博客
03-06 204
HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。TCP/IP层面的IP伪造很难实现,因为更改后很难实现正常的TCP通信,但在HTTP层面的伪造就显得很容易。,让我们伪造xff和referer,burp中repeter模块修改了题目指定的xff和referer。2:用burp抓包,发送到repeater模块进行增加,修改(ps:referer也可以修改。
关于X-Forwarded-For被伪造情况下获取真实ip的处理
猪肉炖白菜
09-03 3029
背景 在风控场景下,有很多基于客户端ip的风控规则。通常通过http协议头中的X-Forwarded-For来获取ip,但该字段很容易被伪造,这种情况下该如何处理? 概念 X-Forwarded-ForX-Forwarded-For 是一个扩展头。HTTP/1.1(RFC 2616)协议并没有对它的定义,它最开始是由 Squid 这个缓存代理软件引入,用来表示 HTTP 请求端真实 IP,现在已经成为事实上的标准,被各大 HTTP 代理、负载均衡等转发服务广泛使用,并被写入 RFC 7239(For.
java防止xff伪造ip
dinghongyu520的博客
05-17 1639
背景 现在大厂的代码都有安全测评,在渗透测试时可能用会使用改变x-forwarded-for的值伪造客服端IP,网上常见的配置nginx解决,但对于有的不使用nginx或使用其他的代理方式,我们就只能从服务端入手。 解决方案 这里可以用到的Tomcat中的RemoteIpValve,实现逻辑如下图 如上图逻辑可知只需改变internalProxies的默认值即可通过request.getRemoteAddr()获取到客服端真实IP 我这里使用的SpringBoot,在yml文件中配置...
Chrome插件:X-Forwarded-For Header
12-15
X-Forwarded-For Header插件,此扩展允许您快速设置X-Forwarded-For HTTP标头
forwarded:解析HTTP X-Forwarded-For标头
05-11
从请求中解析X-Forwarded-For标头。 以相反的顺序返回地址数组,包括req的套接字地址(即索引0是套接字地址,最后一个索引是最远的地址,通常是最终用户)。 测验 $ npm test 执照 麻省理工学院
Apache错误日志时时查看(2014.9.22)
09-22
在 http://www.cnblogs.com/strick/p/3965937.html 有介绍说明
X-Forwarded-For Header_0.6.2_0.zip
08-24
此扩展允许您快速更新各种 X-Forwarded-For、X-Originating-IP、X-Remote-IP 和 X-Remote-Addr HTTP 标头 打开Chrome浏览器的扩展程序: 地址栏直接输入:chrome://extensions/ 把下载到的文件解压后,点击加载已...
请求头XForwardForXRealFor详解
m0_37642477的博客
03-04 1995
title: 请求头X-Forward-For、X-Real-For详解 date: ‘2020-11-26 00:29:47’ updated: ‘2020-11-26 00:29:47’ tags: [linux] permalink: /articles/2020/11/26/1606321787218.html X-Forward-For 在使用nginx做反向代理时,我们为了记录整个的代理过程,我们往往会在配置文件中做如下配置: http { ......... log_forma
使客户端无法通过修改x_forwarded_for的值伪造IP
a13215211374的博客
12-28 358
nginx 使用http_x_forwarded_for 无法获取到远程访问ip的解决方法
HTTP 请求头中的 Remote_Addr,X-Forwarded-For,X-Real-IP
weixin_30889885的博客
02-28 3310
REMOTE_ADDR 表示发出请求的远程主机的 IP 地址,remote_addr代表客户端IP,但它的值不是由客户端提供的,而是服务端根据客户端ip指定的,当你的浏览器访问某个网站时,假设中间没有任何代理,那么网站的web服务器(Nginx,Apache等)就会把remote_addr设为你的机器IP,如果你用了某个代理,那么你的浏览器会先访问这个代理,然后再由这个代理转发到网站,这样w...
利用X-Forwarded-For伪造客户端IP漏洞成因及防范
热门推荐
叉叉哥的BLOG
10-15 6万+
问题背景 在Web应用开发中,经常会需要获取客户端IP地址。一个典型的例子就是投票系统,为了防止刷票,需要限制每个IP地址只能投票一次。 如何获取客户端IPJava中,获取客户端IP最直接的方式就是使用request.getRemoteAddr()。这种方式能获取到连接服务器的客户端IP,在中间没有代理的情况下,的确是最简单有效的方式。但是目前互联网Web应用很少会将应用服务器直接对外提...
伪造 X-Forwarded-For
intel80586
05-09 3万+
背景 应同学的要求,帮忙刷票。我上去看了一下,对方网站做了IP限制,一天之内一个IP只能投一票,并没有使用cookie校验,验证码校验等技术,总体来说这个网站的情况是比较常见的,常见的解决办法有两个: 使用大量的真实IP刷票 如果你使用的是一个拨号上网的网络,每次的拨号都能随机分配IP,这种情况下,可以使用投票一次,拨号一次的方法来实现刷票,但这个方案有两个问题: 1. 编程稍微复杂,
使用curl 命令 伪造IP,修改xff和referer
weixin_56301399的博客
03-23 7866
原理: X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项 HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的 curl介绍: curl 是常用的命令行工具,用来请求 Web 服务器。它的名字就是客户端(client)的 URL 工具的意思。 它的功能非常强大,命令行参数多达几十种。如果熟练的话,完全可
如何避免利用x-forwarded-for伪造ip
05-20
为了避免利用 X-Forwarded-For 伪造 IP,可以采取以下措施: 1. 使用反向代理服务器:反向代理服务器可以拦截 HTTP 请求,并且可以从 TCP 连接中获取客户端真实 IP 地址。使用反向代理服务器可以防止攻击者通过直接访问服务器来伪造 IP。 2. 使用防火墙:防火墙可以监控网络流量,过滤掉来源 IP 地址不合法的请求,以此来防止攻击伪造 IP。 3. 检查 IP 地址合法性:在应用程序中,可以对 X-Forwarded-For 中的 IP 地址进行检查和过滤,只接受合法的 IP 地址。 4. 限制并发连接数:限制每个 IP 地址的并发连接数,可以防止攻击者通过伪造多个 IP 地址来进行 DoS 攻击。 需要注意的是,以上措施并不能完全杜绝利用 X-Forwarded-For 伪造 IP攻击,因此还需要结合其他安全措施来提高应用程序的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值