阿里云场景下获取用户真实 IP

最新推荐文章于 2022-09-10 22:03:15 发布
最新推荐文章于 2022-09-10 22:03:15 发布
阅读量965 收藏
点赞数
文章标签: c# 后端 python
原文链接:https://yq.aliyun.com/articles/70545
版权

前言

获取用户的真实 IP,对于安全业务来说非常重要。
阿里云场景下一个Http 请求一般为:

用户IP --> Ddos 高防 IP ->SLB IP

背景

对于WEB服务器来说,主要是通过两种方式获取 IP

  1. 与服务器建立TCP连接的地址 Remote Address
  2. 通过 Http Header 的 X-Forwarded-For 字段

对应的 PHP 变量如下

$_SERVER['REMOTE_ADDR']   // 与服务建立TCP连接的IP
$_SERVER['HTTP_X_FORWARDED_FOR'] // 获取 Http 请求头 X-Forwarded-For数据

Remote Address

  1. 与服务器建立TCP连接的 IP
  2. 无法伪造,很合适作为用户真实IP
  3. 但是 HTTP 请求经过七层代理后,就不是用户IP了,一般为SLB IP

X-Forwarded-For

  1. 通过Http Header传递给服务端
  2. 可以伪造,有可能获取的数据不准确,还可能引发 XSS,SQL 注入等问题
  3. X-Forwarded-For :格式如下

X-Forwarded-For: client, proxy1, proxy2

如果一个 HTTP 请求到达服务器之前,经过了三个代理 Proxy1、Proxy2、Proxy3,IP 分别为 IP1、IP2、IP3,用户真实 IP 为 IP0,服务端最终会收到以下信息:

X-Forwarded-For: IP0, IP1, IP2

Proxy3 直连服务器,它会给 XFF 追加 IP2,表示它是在帮 Proxy2 转发请求。列表中并没有 IP3,IP3 可以在服务端通过 REMOTE_ADDR 字段获得。

如果用户篡改 X-Forwarded-For

curl http://a.b.com/ -H 'X-Forwarded-For: IP100' ,服务端会受到如下信息;
X-Forwarded-For: IP100, IP0, IP1, IP2

思考

我们怎么通过这两个字段获取用户真实 IP 呢?

  1. 如果 HTTP 请求没有经过七层代理,直接读取 REMOTE_ADDR 字段最好
  2. 如果 HTTP 请求经过七层代理, 我们只能从 X-Forwarded-For 获取,但是我们必须过滤用户伪造数据,获取真实的用户 IP
  3. 如上面例子 IP1, IP2是我们自己配置的 IP,可信任的IP,过滤掉可信任的代理IP,最后一个不可信任的IP就是用户IP。

问题

要解决的问题如下

  1. nginx的访问日志,记录用户真实ip,现在记录的是Remote Address。
  2. php获取用户真实IP,如果我们获取X-Forwarded-For第一个IP。容易被用户篡改。

调研过程中,发现ngx_http_realip_module 满足我们需求, 当获取了用户真实IP,会赋值给 nginx变量 $remote_addr 变量,那么 PHP的 $_SERVER['REMOTE_ADDR'] 也变成了用户真实IP。

与web服务器建议TCP连接的IP 存储在变量 $realip_remote_addr 中。

set_real_ip_from  192.168.1.0/24;
real_ip_header    X-Forwarded-For;
real_ip_recursive on;
  • set_ip_from
    设置信任 IP,就是我们自己的代理IP,可以设置多个
  • real_ip_header
    设置请求头字段,表示从X-Forwarded-For字段获取用户 IP
  • real_ip_recursive
    off:如果remote address 能够匹配set_real_ip_from 的ip,用户 X-Forwarded-For最后一个 IP 作为用户IP。

on: 如果remote address 能够匹配set_real_ip_from 的ip,用户 X-Forwarded-For最后一个不可信任 IP 作为用户IP。

我们的配置如下,注意还没有上线

nginx 配置如下

#slb IP
set_real_ip_from   100.64.0.0/10;
# ddos高防iP的回源IP
set_real_ip_from     180.97.165.0/24;
set_real_ip_from     180.97.166.0/24;
set_real_ip_from     180.97.88.0/24;
set_real_ip_from     116.211.163.0/24;
set_real_ip_from     116.211.164.0/24;
set_real_ip_from     116.211.165.0/24;
set_real_ip_from     218.60.116.0/24;
set_real_ip_from     218.60.117.0/24;
set_real_ip_from     218.60.120.0/24;
set_real_ip_from     218.11.4.0/24;
set_real_ip_from     121.29.52.0/24;
set_real_ip_from     121.29.53.0/24;
set_real_ip_from     120.55.146.0/24;
set_real_ip_from     120.55.147.0/24;
set_real_ip_from     120.55.177.0/24;
set_real_ip_from     120.27.173.0/24;
set_real_ip_from     118.178.15.0/24;
set_real_ip_from     118.178.177.0/24;
set_real_ip_from     118.178.202.0/24;
set_real_ip_from     118.178.203.0/24;
set_real_ip_from     118.178.204.0/24;
set_real_ip_from     118.178.221.0/24;
set_real_ip_from     118.178.222.0/24;
set_real_ip_from     118.178.223.0/24;
set_real_ip_from     118.178.244.0/24;

real_ip_header     X-Forwarded-For;
real_ip_recursive on;

PHP 获取用户IP
$_SEVER['REMOTE_ADDR']

参考

https://imququ.com/post/x-forwarded-for-header-in-http.html

http://nginx.org/en/docs/http/ngx_http_realip_module.html

http://baike.baidu.com/item/IANA%E4%BF%9D%E7%95%99%E5%9C%B0%E5%9D%80?fr=aladdin

weixin_34006965
关注
nginx利用反向代理实现获取用户真实ip
AmourHaiti的博客
09-27 7182
以下所有的实操都是在redhat7.3上 我们访问互联网上的服务时,大多数时,客户端并不是直接访问到服务端的,而是客户端首先请求到反向代理,反向代理再转发到服务端实现服务访问,通过反向代理实现路由/负载均衡等策略。这样在服务端拿到的客户端IP将是反向代理IP,而不是真实客户端IP,因此需要想办法来获取真实客户端IP web服务器获得真正的用户真实ip ? 客户端访问服务端的数据流走向 ...
获取客户端真实IP
02-01 407
四层接入(非网站防护) 按照以下不同的部署配置场景,选择适合您的获取客户端IP的方式。 注意 2018年10月后创建的ECS实例,默认支持获取客户端真实IP,即在源站ECS服务器上看到的客户端IP就是真实访问源IP。 2018年10月前创建的ECS实例,默认情况下无法获取客户端真实IP,您需提交工单申请开通相关配置。 高防 > 阿里云ECS 通过TCP端口转发流量的情况,您无需做任何改动。源...
获取客户端真实ip的方法
yuubeka的博客
05-28 3286
为什么需要获取客户端真实ip ip地址是按地域分布的,服务器获取到客户端ip后可以做流量统计和分析,服务器也可以针对客户端ip做一些定制化的功能,比如限流和黑白名单。 网络环境十分复杂,客户端发出的一个请求至少要经过cdn和负载均衡后才可以到达服务器。报文经过负载均衡的时候往往会做FNAT(lvs的一种转发模式,被普遍用于各种厂商的lb,该转发模式会对所有报文做源地址转换和目的地址转换),所以报文经过lb后,源地址就被删除了,这样服务器看到的源地址都是lb的地址,无法获取到客户端的真实ip了。 .....
使用阿里云CDN后,access_log日志如何获取客户访问真实IP地址
09-10 1455
使用阿里云CDN后,access_log日志如何获取客户访问真实IP地址, web代码中获取客户真实ip
PHP调用阿里云API实现DDNS(一)获得本机公网IP
取个名字真难
07-05 2010
PHP调用阿里云API实现DDNS范围code 范围 本文为使用阿里云API实现DDNS的PHP描述,共分为两部分: – 获取本机公网IP – 调用阿里云API解析域名到本机公网IP 准备工作: – 阿里云域名 – 本地服务器 – 公网IP(听说只有电信可以申请公网IP) 借鉴思路: – https://www.52pojie.cn/forum.php?mod=viewthread&ti...
获取IP地址以及判断ip是否是云服务器的
gaokcl的博客
11-23 2296
文章目录一,获取ip地址1, 淘宝ip不稳定,放弃2, 仿真ip 与 百度ip3, 排除IP地址含“云”的地址(待补充所有地名,排除云服务器访问) 一,获取ip地址 1, 淘宝ip不稳定,放弃 /** * 淘宝接口不稳定,放弃 {"msg":"the request over max qps for user ,the accessKey=public","code":4} * http://ip.taobao.com/service/getIpInfo.php?ip=220.181
nginx remote_address控制访问地址
云深海阔专栏
11-06 7522
nginx对应server段配置内容如下: server { listen 80; server_name admin.shanhua.test localhost; error_page 404 /404.html; location /404.html { allow all; root html; } locat...
阿里云slb七层转发无法使用ngx_http_access_module模块解决
邹春旭的博客
05-14 463
在nginx.conf文件中增加: #100.64.0.0/10为阿里云slb内网ip段 set_real_ip_from 100.64.0.0/10; real_ip_header X-Forwarded-For; nginx -s reload之后就可以使用了
envoy获取客户端真实IP
期待幸福
06-23 851
在envoy作为前端代理时,用户ip获取很重要,一般获取ip的方式。都是通过Header中的 、 或 等属性获取,但是如果确保Envoy可以获取到的ip真实用户ip呢?本篇继续解密!Remote Address 是nginx与客户端进行TCP连接过程中,获得的客户端真实地址。Remote Address 无法伪造,因为建立 TCP 连接需要三次握手,如果伪造了源 IP,无法建立 TCP 连接,更不会有后面的 HTTP 请求。 一般情况下,在Envoy作为最外层代理时,此IP真实IP客户端IPX-
Kubernets中获取客户端真实IP总结
hack1015的专栏
04-05 1194
1. 导言 绝大多数业务场景都是需要知道客户端IP的 在k8s中运行的业务项目,如何获取到客户端真实IP? 本文总结了通行的2种方式 要答案的直接看方式一、方式二和总结 SEO 关键字 nginx ingress客户端真实ip kubernets获取客户端真实ip rke获取客户端真实ip rancher获取客户端真实ip 本文由 www.iamle.com 流水理鱼 原创,wx公众号同名 1.1...
Nginx透过代理获取真实客户端IP
zero
11-04 3468
本系列中的故事纯属虚构,如有雷同实属巧合 小B是’柒’公司的安全攻城狮,为了完成任务小B开始做起了调研(欲知背景如何,且听下回分说)。 首先小B弄明白了’柒’公司的应用系统架构是:Client --> CDN --> SLB --> Server。 发现在应用服务器上Nginx日志中采集的关于定位用户身份信息的IP维度数据不准确。不准确的原因是:因为在应用服务器中Nginx使用XFF与remote_addr字段采集客户IP,XFF字段很好被攻击者伪造,而remote_addr字段一般采集都
阿里云云原生一体化数仓 - 数据安全能力解读
阿里云云栖号
08-04 2035
云原生一体化数仓数据安全能力基于MaxCompute与DataWorks的组合能力,包括数据分级机制、敏感数据识别算法、用户权限级别和数据安全级别自动映射、数据脱敏、审批和权限回收流程、审计机制、开发生产环境隔离等安全能力,实现了端到端的安全管控能力。...
阿里云slb 7层代理ingress获取真实客户端ip的方法
噜噜噜的博客
04-02 4078
起因:ingress 设置ip白名单之后,发现白名单里的ip 403拒绝,后续通过追踪ingress的日志发现 真实ip 是slb的保留ip 也就是上层代理的ip。这样是无法获取真实用户ip的。 nginx里的解决方案: 使用X-Forwarded-For的方式获取客户端的真实IP地址。 需要添加的配置字段和信息为: set_real_ip_from IP_address real...
Netty获取真实IP
恨_别离的博客
07-04 6418
netty
阿里云slb负载均衡后nginx转发获取客户端真实ip
Mr.LiuDong的博客
11-04 3998
前提 使用阿里云的slb进行配置nginx,Nginx配置iphash策略,导致服务端无法获取用户真实ip,无法有效的分配客户端链接。 解决方案 1.阿里云提供的解决方案 保留客户端真实源地址(七层监听) 2.调整Nginx a.确认 http_realip_module 模块已安装。Nginx作为负载均衡获取真实IP是使用http_realip_module模块。 b.修改Nginx对应server的配置。 在location / {}中添加以下内容 set_real_ip_from ip_range1
部署在阿里云 SLB 后面的spring 应用如何获得用户真实 IP
QinyongYe的专栏
07-30 1750
如果你的应用是部署在阿里云上面的, 往往在应用的前面会架设一个SLB(负载均衡). 如果 SLB配置成四层转发, 那么你的应用看到的 http 连接的对端地址为真实用户 IP, `HttpServletRequest.getRemoteAddr()`能返回正确的用户 IP. 但是如果 SLB 配置成`七层转发`, `HttpServletRequest.getRemoteAddr()`返回的是...
阿里云SLB负载后面的nginx获取远程真实ip
zhangyongdingrui的专栏
09-07 4030
近段时间在做项目的时候 ,项目上线遇到的一个问题,想要通过nginx做ip白名单,由于入口是阿里云的SLB做的负载,然后发现做的ip白名单无效,即allow:10.39.131.228不生效,于是查看nginx日志,看到的ip都是那么几个(这时候还不知道这些事slb的ip),后面同事说这可能是slb的ip,然后找同事验证,果然是slb的ip,那么就找到问题了,nginx没有获取真实ip,然后百...
CDN下nginx获取用户真实IP地址
weixin_34419321的博客
07-27 407
随着nginx的迅速崛起,越来越多公司将apache更换成nginx. 同时也越来越多人使用nginx作为负载均衡, 并且代理前面可能还加上了CDN加速,但是随之也遇到一个问题:nginx如何获取用户真实IP地址,如果后端是apache,请跳转到<apache获取用户真实IP地址>,如果是后端真实服务器是nginx,那么继续往下看。实例环境:用户IP 120.2...
后端nginx使用set_real_ip_from获取用户真实IP
IChen.的博客
06-04 2683
随着nginx的迅速崛起,越来越多公司将apache更换成nginx. 同时也越来越多人使用nginx作为负载均衡, 并且代理前面可能还加上了CDN加速,但是随之也遇到一个问题:nginx如何获取用户真实IP地址. 实例环境: 用户IP 120.22.11.11 CDN前端 61.22.22.22 CDN中转 121.207.33.33 公司NGINX前端代理 192.168.50.121(外网121.207.231.22) 1、使用CDN自定义IP头来获取 假如说你的CDN厂商使用nginx,那么.
阿里云免费IP查询:Node.js实现获取地理位置
在本文中,我们将探讨如何在Node.js项目中利用阿里云的免费IP地址查询服务获取用户IP的地理位置信息。阿里云提供了AIP阿里云智能公共服务)接口,该接口允许开发者进行免费的100万次查询,适用于大多数非商业场景...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值