阿里云场景下获取用户真实 IP

前言

获取用户的真实 IP，对于安全业务来说非常重要。
阿里云场景下一个Http 请求一般为：

用户IP --> Ddos 高防 IP ->SLB IP

背景

对于WEB服务器来说，主要是通过两种方式获取 IP

1. 与服务器建立TCP连接的地址 Remote Address
2. 通过 Http Header 的 X-Forwarded-For 字段

对应的 PHP 变量如下

$_SERVER['REMOTE_ADDR']   // 与服务建立TCP连接的IP
$_SERVER['HTTP_X_FORWARDED_FOR'] // 获取 Http 请求头 X-Forwarded-For数据

Remote Address

1. 与服务器建立TCP连接的 IP
2. 无法伪造，很合适作为用户真实IP
3. 但是 HTTP 请求经过七层代理后，就不是用户IP了，一般为SLB IP

X-Forwarded-For

1. 通过Http Header传递给服务端
2. 可以伪造，有可能获取的数据不准确，还可能引发 XSS，SQL 注入等问题
3. X-Forwarded-For ：格式如下

X-Forwarded-For: client, proxy1, proxy2

如果一个 HTTP 请求到达服务器之前，经过了三个代理 Proxy1、Proxy2、Proxy3，IP 分别为 IP1、IP2、IP3，用户真实 IP 为 IP0，服务端最终会收到以下信息：

X-Forwarded-For: IP0, IP1, IP2

Proxy3 直连服务器，它会给 XFF 追加 IP2，表示它是在帮 Proxy2 转发请求。列表中并没有 IP3，IP3 可以在服务端通过 REMOTE_ADDR 字段获得。

如果用户篡改 X-Forwarded-For

curl http://a.b.com/ -H 'X-Forwarded-For: IP100' ,服务端会受到如下信息;
X-Forwarded-For: IP100, IP0, IP1, IP2

思考

我们怎么通过这两个字段获取用户真实 IP 呢？

1. 如果 HTTP 请求没有经过七层代理，直接读取 REMOTE_ADDR 字段最好
2. 如果 HTTP 请求经过七层代理， 我们只能从 X-Forwarded-For 获取，但是我们必须过滤用户伪造数据，获取真实的用户 IP
3. 如上面例子 IP1, IP2是我们自己配置的 IP，可信任的IP，过滤掉可信任的代理IP，最后一个不可信任的IP就是用户IP。

问题

要解决的问题如下

1. nginx的访问日志，记录用户真实ip，现在记录的是Remote Address。
2. php获取用户真实IP，如果我们获取X-Forwarded-For第一个IP。容易被用户篡改。

调研过程中，发现ngx_http_realip_module 满足我们需求， 当获取了用户真实IP，会赋值给 nginx变量 $remote_addr 变量，那么 PHP的 $_SERVER['REMOTE_ADDR'] 也变成了用户真实IP。

与web服务器建议TCP连接的IP 存储在变量 $realip_remote_addr 中。

set_real_ip_from  192.168.1.0/24;
real_ip_header    X-Forwarded-For;
real_ip_recursive on;

• set_ip_from
  设置信任 IP，就是我们自己的代理IP，可以设置多个
• real_ip_header
  设置请求头字段，表示从X-Forwarded-For字段获取用户 IP
• real_ip_recursive
  off：如果remote address 能够匹配set_real_ip_from 的ip，用户 X-Forwarded-For最后一个 IP 作为用户IP。

on: 如果remote address 能够匹配set_real_ip_from 的ip，用户 X-Forwarded-For最后一个不可信任 IP 作为用户IP。

我们的配置如下，注意还没有上线

nginx 配置如下

#slb IP
set_real_ip_from   100.64.0.0/10;
# ddos高防iP的回源IP
set_real_ip_from     180.97.165.0/24;
set_real_ip_from     180.97.166.0/24;
set_real_ip_from     180.97.88.0/24;
set_real_ip_from     116.211.163.0/24;
set_real_ip_from     116.211.164.0/24;
set_real_ip_from     116.211.165.0/24;
set_real_ip_from     218.60.116.0/24;
set_real_ip_from     218.60.117.0/24;
set_real_ip_from     218.60.120.0/24;
set_real_ip_from     218.11.4.0/24;
set_real_ip_from     121.29.52.0/24;
set_real_ip_from     121.29.53.0/24;
set_real_ip_from     120.55.146.0/24;
set_real_ip_from     120.55.147.0/24;
set_real_ip_from     120.55.177.0/24;
set_real_ip_from     120.27.173.0/24;
set_real_ip_from     118.178.15.0/24;
set_real_ip_from     118.178.177.0/24;
set_real_ip_from     118.178.202.0/24;
set_real_ip_from     118.178.203.0/24;
set_real_ip_from     118.178.204.0/24;
set_real_ip_from     118.178.221.0/24;
set_real_ip_from     118.178.222.0/24;
set_real_ip_from     118.178.223.0/24;
set_real_ip_from     118.178.244.0/24;

real_ip_header     X-Forwarded-For;
real_ip_recursive on;

PHP 获取用户IP
$_SEVER['REMOTE_ADDR']

参考

https://imququ.com/post/x-forwarded-for-header-in-http.html

http://nginx.org/en/docs/http/ngx_http_realip_module.html

http://baike.baidu.com/item/IANA%E4%BF%9D%E7%95%99%E5%9C%B0%E5%9D%80?fr=aladdin