4-Web安全——通过x-forward-for获取真实ip(入侵溯源)

最新推荐文章于 2024-07-18 22:48:02 发布
最新推荐文章于 2024-07-18 22:48:02 发布
阅读量6.1k 收藏 17
点赞数
分类专栏: 网络安全 文章标签: 攻击溯源 应急响应 web安全 http协议 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35733751/article/details/115276412
版权

参考资料:44-http协议

 

x-forward-for是http请求的一个字段,该字段表示客户端的IP地址,一般称为“XXF”头,服务端通过这个头可以知道客户端的真实或代理IP。x-forward-for字段虽然没有写入RFC标准,但已经应用到http协议中成为一个实施标准了。

 

x-forward-for字段的格式为:

x-forward-for:client1,proxy1,proxy2,proxy3

该字段的ip地址值以逗分隔,其中client1代表真实的客户端的ip地址,代理服务器每成功收到一个请求,就把请求来源IP地址添加到右边,最末端的服务器收到http请求得到这样一个ip地址列表:client1,proxy1,proxy2,proxy3,可以这个http请求经过了三个代理服务器,最左边的ip就是真实的客户端ip地址。

 

在进行入侵溯源的时候往往可以通过x-forward-for字段溯源到攻击者的真实ip地址。

但事实上攻击者并不会这么容易暴露自己的真实ip,攻击者会在一开始就修改x-forward-for字段在最前面伪造一个ip地址wzip。最终得到的ip是这样的:x-forward-for:wzip,clientip,proxy1,proxy2,proxy3。

由于x-forward-for字段最左边的ip就是真实的客户端ip地址,我们在进行溯源时得到的客户端“真实ip”是wzip,并不是真正的clientip,从而掉进攻击者的陷阱。

那如何溯源到攻击者真实的ip呢?

我们知道http的整个请求过程中需要经过客户端-->代理服务器1--->代理服务器2-->最终的服务器。从安全的角度来说,最不安全的因素就是人,在这个过程中:

客户端不可控的

代理服务器是可控的

最终的服务器可控

 

对应的解决方案就是对代理服务器和最终的服务器进行防御,我们可以通过nginx的http模块的X-Forwarded-For对最外层的代理服务器进行配置:

proxy_set_header X-Forwarded-For $remote_addr;

remote_addr表示对x-forward-for字段中的ip地址进行覆盖,就是最外层代理服务器不信任客户端的 X-Forwarded-For 输入,直接覆盖,而不是追加。

 

非最外层的 Nginx 服务器,配置:

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

proxy_add_x_forwarded_for表示对x-forward-for字段里的ip地址内容进行追加。

 

而在最终的服务器里我们可以根据代理服务器的数目来进行获取真实ip地址,例如上面这个例子中的代理有三层,假设得到的ip地址为:

x-forward-for:wzip,client1,proxy1,proxy2,proxy3

从右开始排除三个代理服务器的ip,最终确定client1就是攻击者真实的ip地址。

 

 

song->_->
关注
专栏目录
全国职业院校技能大赛网络建设与运维赛项赛题(一)
yuhongkui的专栏
04-30 3516
全国职业院校技能大赛网络建设与运维赛题(一)一、竞赛项目简介“网络建设与运维”竞赛共分 A.网络理论测试(从公布赛题模块一中随机抽取选择题70道,判断题30道);B.网络建设与调试;C.服务搭建与运维等三个模块。竞赛时间安排和分值权重见表1表 1 竞赛时间安排与分值权模块比赛时长分值模块一网络理论测试0.5小时10%模块二网络建设与调试6.5小时40%模块三服务搭建与运维50%合计7小时100%二、竞赛注意事项1.竞赛期间禁止携带和使用移动存储设备、计算器、通信工具及参考资料。2.请根据大赛所提供的竞赛环境
负载均衡:x-forward-for获取客户端真实ip
weixin_30667649的博客
03-04 1971
先来看一下X-Forwarded-For的定义: X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。它不是RFC中定义的标准请求头信息,在squid缓存代理服务器开发文档中可以找到该项的详细介绍。标准格式如下: X-Forwarded-For: client1, proxy1,...
X-Forwarded-For的一些理解
weixin_34239169的博客
02-06 824
X-Forwarded-For 是一个 HTTP 扩展头部,主要是为了让 Web 服务器获取访问用户的真实 IP 地址(其实这个真实未必是真实的,后面会说到)。 那为什么 Web 服务器只有通过 X-Forwarded-For 头才能获取真实IP?这里用 PHP 语言来说明,不明白原理的开发者为了获取客户 IP,会使用 $_SERVER['REMOTE_ADDR'] 变量,这个服务器变量表示和...
IP溯源工具--IPTraceabilityTool
最新发布
qq_59468567的博客
07-18 733
在攻防演练期间,对于值守人员,某些客户要求对攻击IP都进行分析溯源,发现攻击IP的时候,需要针对攻击IP进行分析,如果有关键信息输出报告,针对该需求,产生了这个工具。config.ini是配置文件,[icpapi]下面的appid和key的icp备案付费查询接口,icp备案一共调用三个接口,会先调用两个免费接口,如果两个免费接口都没有查询到数据,则会调用第三个付费接 口,建议申请添加appid和key,open参数:是否开启端口扫描,默认设置为0,要扫描端口设置为1,port参数:需要扫描的端口。
使用nginx后如何在web应用中获取用户ip及原理解释
臻心依旧
08-28 2420
http://gong1208.iteye.com/blog/1559835   使用nginx后如何在web应用中获取用户ip及原理解释                                                                                                  -------gongyong   问题背景: 在实际
x-forward-for获取客户端真实ip
热门推荐
na_tion的专栏
06-22 3万+
文章来源:http://www.360doc.com/myfollow.aspx 先来看一下X-Forwarded-For的定义: X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。它不是RFC中定义的标准请求头信息,在squid缓存代理服务器开发文档中可以找到该项的
x-forward-for详解
真理部
10-09 1万+
http://www.cnblogs.com/xdjackfeng/p/3514120.htmlx-forward-for
关于 X-Forward-
e5pool的博客
02-19 1946
刚刚有个需求,如何获取访问者的真实IP,找到一个方法,可以通过请求头里的 X-Forwarded-For 字段来获取到。然后就了解下 X-Forward- 的细节。
信息安全工程师第二版考试总结+笔记
IT技术
11-29 2万+
信息安全工程师第二版考试总结+笔记
SCSA第五天总结
yangcx01的博客
07-25 815
一、全网行为管理 802.1x认证 概念:802.1X认证,又称为EAPOE(Extensible Authentication Protocol Over Ethernet)认证,主要目的是为了解决局域网用户接入认证问题 802.1X认证中用到了RADIUS协议认证方式,典型的C/S结构 认证模式:基于接口、基于MAC 认证方式:EAP终结、EAP透传(中继) 注意:AC是用EAP透传的方式 端口控制方式:自动识别、强制授权、强制非授权 802.1x认证流程: 以有线PC终端802.1x认证为例,
X-Forward-For和Referer的相关知识点
qq_43511094的博客
03-21 2045
X-Forward-For和RefererX-Forward-ForReferer 前言 X-Forward-For和Referer通常出现在请求头环节,因为有些服务器会有求必须是特定的Referer或者特定的X-Forward-For,所以我们抓包之后要自己加入这两个参数,并修改他们的值 X-Forward-For X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端最真实IP。只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。它不是RFC中定义的标准请求头信
x-forward-for:X-Forwarded-For标头浏览器扩展
01-30
x转发 X-Forwarded-For标头浏览器扩展 得到它 或
X-Forwarded-For火狐插件
01-10
X-Forwarded-For火狐插件
X-Forwarded-For 获得用户的真实ip
RAVEEE的博客
07-23 5246
什么是X-Forwarded-For? X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。它不是RFC中定义的标准请求头信息,在squid缓存代理服务器开发文档中可以找到该项的详细介绍。标准格式如下:X-Forwarded-For: client1, proxy1, proxy2。 如何通过...
请求头XForwardForXRealFor详解
m0_37642477的博客
03-04 2107
title: 请求头X-Forward-For、X-Real-For详解 date: ‘2020-11-26 00:29:47’ updated: ‘2020-11-26 00:29:47’ tags: [linux] permalink: /articles/2020/11/26/1606321787218.html X-Forward-For 在使用nginx做反向代理时,我们为了记录整个的代理过程,我们往往会在配置文件中做如下配置: http { ......... log_forma
Tomcat 获取客户端真实IP X-Forwarded-For
weixin_44021888的博客
04-10 972
Tomcat 获取客户端真实IP X-Forwarded-For
x-forward-for和逻辑漏洞
weixin_48776804的博客
02-15 912
x-forward-forX-Forwarded-For逻辑漏洞 X-Forwarded-For (XFF)是用来识别ip地址 使用sqlmap跑 包的内容 POST /index.php HTTP/1.1 Host: 219.153.49.228:42344 X-Forwarded-For:127.0.0.1* User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:83.0) Gecko/20100101 Firefox/83.0 Accept:
x-forward-for 取客户端ip
欢迎光临
08-28 6410
如今利用nginx做负载均衡的实例已经很多了,针对不同的应用场合,还有很多需要注意的地方,本文要说的就是在通过CDN 后到达nginx做负载均衡时请求头中的X-Forwarded-For项到底发生了什么变化。下图为简单的web架构图: nginx 负载均衡 先来看一下X-Forwarded-For的定义: X-Forwarded-For:简称XFF头,它代表客户端,也就是HTTP的请求端真实...
论X-Forwarded-For伪装代理请求与获取真实ip(springboot项目)
外柏叁布道者
03-26 5245
以下项目均是基于springboot2.x构建 1、使用X-Forwarded-For 伪装代理 之前做了一个项目,关于xxx抢购,当时是用spring boot做的,主要功能就是实现模拟真实用户登录、抢购等一整套自动化流程。 刚开始可以多任务执行,后面可能是被发现了,导致从服务器发出的抢购请求被限制(因为同一个出口ip),后来为了解决这个问题,找到了X-Forwarded-For 这个...
x-forward-for
06-08
x-forward-for是一个HTTP头,它通常被用于识别客户端的真实IP地址。当客户端访问Web服务器时,HTTP请求中包含了x-forward-for头,它记录了客户端的IP地址。在一些情况下,客户端的IP地址可能会被代理服务器改变,而x-forward-for头可以帮助我们获取到客户端的真实IP地址。这个头通常被用于Web服务器的安全审计、访问控制等方面。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值