客户端的IP地址伪造、CDN、反向代理、获取的那些事儿

最新推荐文章于 2023-12-30 15:38:47 发布
最新推荐文章于 2023-12-30 15:38:47 发布
阅读量729 收藏
点赞数
分类专栏: java 文章标签: 客户端IP

原创:http://www.cnblogs.com/zhengyun_ustc/archive/2012/09/19/getremoteaddr.html

外界流传的JAVA/PHP服务器端获取客户端IP都是这么取的:

伪代码:

1)ip = request.getHeader("X-FORWARDED-FOR")

    可伪造,参考附录A

2)如果该值为空或数组长度为0或等于"unknown",那么:

ip = request.getHeader("Proxy-Client-IP")

3)如果该值为空或数组长度为0或等于"unknown",那么:

ip = request.getHeader("WL-Proxy-Client-IP")

4)如果该值为空或数组长度为0或等于"unknown",那么:

ip = request.getHeader("HTTP_CLIENT_IP")

    可伪造

5)如果该值为空或数组长度为0或等于"unknown",那么:

ip = request.getRemoteAddr()

    可对于匿名代理服务器,可隐匿原始ip,参考附录B

 

之所以搞这么麻烦,是因为存在很多种网络结构,如 Nginx+Resin、Apache+WebLogic、Squid+Nginx。下面挨个儿讲一下。

郑昀 :△

首先,明确一下,Nginx 配置一般如下所示:

              location / {
                       proxy_pass       http://yourdomain.com;
                       proxy_set_header   Host             $host;
                       proxy_set_header   X-Real-IP        $remote_addr;
                       proxy_set_header   X-Forwarded-For  $proxy_add_x_forwarded_for;
              }

注意看红色字体,这些配置与下面的闯关拿IP有关。

 

———————————————————————————————

——第一关|X-Forwarded-For :背景——

这是一个 Squid 开发的字段,并非 RFC 标准。

简称 XFF 头,只有在通过了 HTTP 代理或者负载均衡服务器时才会添加该项。在 Squid 开发文档中可以找到该项的详细介绍。

XFF 格式如下:

X-Forwarded-For: client1, proxy1, proxy2

可以看出,XFF 头信息可以有多个,中间用逗号分隔,第一项为真实的客户端ip,剩下的就是曾经经过的代理或负载均衡服务器的ip地址。

 

——第一关|X-Forwarded-For :场景=客户端--CDN--Nginx——

当用户请求经过 CDN 后到达 Nginx 负载均衡服务器时,其 XFF 头信息应该为 “客户端IP,CDN的IP”。

一般情况下CDN服务商出于自身安全考虑会将屏蔽CDN的ip,只保留客户端ip。

那么请求头到达 Nginx 时:

  • 在默认情况下,Nginx 并不会对 XFF 头做任何处理
    • 此时 Nginx 后面的 Resin/Apache/Tomcat 通过 request.getHeader("X-FORWARDED-FOR") 获得的ip仍然是原始ip
  • 当 Nginx 设置 X-Forwarded-For 等于 $proxy_add_x_forwarded_for 时:
    • 如果从CDN过来的请求没有设置 XFF 头(通常这种事情不会发生),XFF 头为 CDN 的ip
      • 此时相对于 Nginx 来说,客户端就是 CDN 
    • 如果 CDN 设置了 XFF 头,我们这里又设置了一次,且值为$proxy_add_x_forwarded_for 的话:
      • XFF 头为“客户端IP,Nginx负载均衡服务器IP”,这样取第一个值即可
      • 这也就是大家所常见的场景!

http://images.cnblogs.com/cnblogs_com/zhengyun_ustc/255879/o_client-cdn-nginx-resin.png

综上所述,XFF 头在上图的场景,Resin 通过 request.getHeader("X-FORWARDED-FOR") 获得的ip字符串,做一个split,第一个元素就是原始ip。

那么,XFF 头可以伪造吗?

 

——第一关|X-Forwarded-For :伪造——

可以伪造。

XFF 头仅仅是 HTTP Headers 中的一分子,自然是可以随意增删改的。如附录A所示。

很多投票系统都有此漏洞,它们简单地取 XFF 头中定义的ip地址设置为来源地址,因此第三方可以伪造任何ip投票。

 

———————————————————————————————

——第二和第三关|Proxy-Client-IP/WL-Proxy-Client-IP :背景——

Proxy-Client-IP 字段和 WL-Proxy-Client-IP 字段只在 Apache(Weblogic Plug-In Enable)+WebLogic 搭配下出现,其中“WL” 就是 WebLogic 的缩写。

即访问路径是:

Client -> Apache WebServer + Weblogic http plugin -> Weblogic Instances

所以这两关对于我们来说仅仅是兼容而已,怕你突然把 Nginx+Resin 换成 Apache+WebLogic 。

也可以直接忽略这两个字段。

 

———————————————————————————————

——第四关|HTTP-Client-IP :背景——

HTTP_CLIENT_IP 是代理服务器发送的HTTP头。

很多时候 Nginx 配置中也并没有下面这项:

proxy_set_header HTTP_CLIENT_IP $remote_addr;

所以本关也可以忽略。

郑昀 :△

———————————————————————————————

——第五关| request.getRemoteAddr() :背景——

从 request.getRemoteAddr() 函数的定义看:

    Returns the Internet Protocol (IP) address of the client or last proxy that sent the request. 

实际上,REMOTE_ADDR 是客户端跟服务器“握手”时的IP,但如果使用了“匿名代理”,REMOTE_ADDR 将显示代理服务器的ip,或者最后一个代理服务器的ip。请参考附录B。 

 

综上,

java/php 里拿到的ip地址可能是伪造的或代理服务器的ip。

 

郑昀 :△

+++附录A XFF 与 Nginx 配置的测试用例+++

测试环境: nginx+resin
内网IP:172.16.100.10
客户端IP:123.123.123.123

测试页面: test.jsp
<%
out.println("x-forwarded-for: " + request.getHeader("x-forwarded-for"));
out.println("remote hosts: " + request.getRemoteAddr());
%>
 

nginx 配置一

proxy_set_header X-Real-IP $remote_addr;

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

 

wget测试

wget -O aa --header="X-Forwarded-For:192.168.0.1" "http://test.com/test.jsp"

页面返回结果:

x-forwarded-for: 192.168.0.1, 123.123.123.123

remote hosts: 172.16.100.10

 

curl测试

curl -H "X-Forwarded-For:192.168.0.1" "http://test.com/test.jsp"

x-forwarded-for: 192.168.0.1, 123.123.123.123

remote hosts: 172.16.100.10


nginx 配置二
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

wget测试:
wget -O aa --header="X-Forwarded-For:192.168.0.1" "http://test.com/test.jsp"
页面返回结果:
x-forwarded-for: 123.123.123.123
remote hosts: 172.16.100.10

curl测试
curl -H "X-Forwarded-For:192.168.0.1" "http://test.com/test.jsp"
x-forwarded-for: 123.123.123.123
remote hosts: 172.16.100.10

测试结果:
1、配置  

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
增加了一个真实ip X-Forwarded-For,并且顺序是增加到了“后面”。

2、配置  

proxy_set_header X-Forwarded-For $remote_addr;
清空了客户端伪造传入的X-Forwarded-For,
保证了使用 request.getHeader("x-forwarded-for") 获取的ip为真实ip,
或者用“,”分隔,截取 X-Forwarded-For 最后的值。

 

+++附录B 搜狗浏览器高速模式的测试用例+++

访问路径:

搜狗浏览器“高速”模式(即使用代理)-->LVS-->Apache

获得的值为:

x-forwarded-for:180.70.92.43   (即真实ip)

Proxy-Client-IP:null

WL-Proxy-Client-IP:null 

getRemoteAddr:123.126.50.185  (即搜狗代理ip)

 

 

×××参考资源:×××

1,http://bbs.linuxtone.org/thread-9050-1-1.html

2,http://hi.baidu.com/thinkinginlamp/item/e2cf05263eb4d18e6e2cc3e6

3,http://bbs.chinaunix.net/thread-3659453-1-1.html

奋斗成就男人
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java 伪造http请求ip地址的方法
08-26
主要介绍了java 伪造http请求ip地址的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
php remoteaddr 伪造,REMOTE_ADDR协议头获取真实IP地址是不可伪造
weixin_28953877的博客
03-19 1990
今天就是讲给REMOTE_ADDR不可以伪造的,就在curl 中也无法伪造 相对是比较安全的服务端ip获取方法,当然,也有可能被路由伪造 这个不好说,因为REMOTE_ADDR 是底层的回话ip地址,路由是可以发起伪造。所以,网上很多人都在问这个问题,也有很多人不死心,但现实确实是残酷的 也是完美的给个演示案例你吧:你就信了1.将以下代码保存为 Client.php//php脚本开始$ch = c...
[Web/IP]真实IP获取原理/客户端IP伪造测试
車鈊的博客
07-27 2068
真实IP获取客户端IP伪造 近期比赛又做到了用户IP伪造的题目,想来不如就总结一下。 为什么要确认IP? 在Web应用下,部分逻辑需要确认用户的客户端IP。如对大量频繁发送危险请求的IP进行封禁。 进行用户IP确认的方法有很多,但是部分方法降低了IP获取的难度,确牺牲了安全性,产生了IP伪造的风险。 服务器是如何确定IP的? REMOTE_ADDR 标识发出请求的主机IP地址,代表客户端IP。这个标识完全由服务器决定,除了路由之外无法伪造,通过TCP协议根据直接请求来源的远程主机确定,服务端根据请求TC
php remoteaddr 伪造,如何伪造$ _SERVER ['REMOTE_ADDR']变量?
weixin_28940217的博客
03-19 1795
达令说我认为你的意思是远程伪造它。简短的回答是肯定的。关于它是多么容易的长期答案取决于你想要伪造它的方式。如果您不关心接收响应,那么打开原始套接字到目标并伪造IP地址就像是微不足道的。我不确定在PHP中是否真的很容易,因为所有PHP的套接字实现都达到或高于TCP级别。但我相信这是可能的。现在,由于您无法控制网络,因此响应不会再回复给您。这意味着你不能(可靠地)通过一个简单的伪造TCP头创建一个T...
JS获取客户端IP地址、MAC和主机名的7个方法汇总
10-25
在JavaScript中,获取客户端IP地址、MAC地址和主机名通常是由于特定的需求,例如实现个性化服务、定位或安全验证。由于JavaScript的安全限制,它本身并不直接支持这些操作,但可以通过一些间接的方式实现。以下是7...
PHP 获取ip地址代码汇总
01-20
function getip() { static $ip = ''; $ip = $_SERVER['REMOTE_ADDR']; if(isset($_SERVER['HTTP_CDN_SRC_IP'])) { $ip = $_SERVER['HTTP_CDN_SRC_IP']; } elseif (isset($_SERVER['HTTP_CLIENT_IP']) && preg_...
GetIpAddress.rar_GetIPAddress_获取IP地址_获取真实IP
09-20
获取IP地址通常有两种主要方法:服务器端获取客户端获取。服务器端获取是通过HTTP请求头中的信息,如"REMOTE_ADDR"、"HTTP_X_FORWARDED_FOR"等字段,来确定客户端IP地址。但需要注意的是,如果用户使用了代理或...
CDN获取客户真实 IP 地址
06-07
防止 CDN 造成无法获取客户真实 IP 地址
Discuz论坛使用CDN后无法获取用户真实IP的解决方法
09-28
Discuz论坛使用CDN后,用户访问网站的是通过CDN各节点间接访问网站服务器的,我们发现Discuz论坛设计上的问题可能会在获取用户IP时,直接获取CDN节点IP,而不能直接获取到用户的真实IP,在此提出一些解决方案
绕过cdn获取真实ip
2301_79328240的博客
11-24 67
CDN(Content Delivery Network)是指内容分发网络,也称为内容传送网络。它是为解决互联网上跨运营商、跨地域的访问问题而设计的一种特殊的网络架构。CDN通过在网络中部署大量节点服务器,将用户请求分散到不同的节点服务器上处理,从而提高网站访问速度和可用性。
TP5项目加了CDN或负载均衡器导致无法获取会员真实IP
lovelessdream的博客
12-18 947
在TP5中获取IP是这样的: $ip = \think\Request::instance()->ip(); 在 /thinkphp/library/think/Request.php 文件中,ip方法中 HTTP_X_FORWARDED_FOR HTTP_CLIENT_IP REMOTE_ADDR 1.有cdn节点时候,前两个可以获取用户真实ip,但是如果没有cdn...
java 伪造http请求ip地址
weixin_34168700的博客
09-27 5037
最近做接口开发,需要跟第三方系统对接接口,基于第三方系统接口的保密性,需要将调用方的请求IP加入到他们的白名单中。由于我们公司平常使用的公网的IP是不固定的,每次都需要将代码提交到固定的服务器上(服务器IP加入了第三方系统的白名单),频繁的修改提交合并代码和启动服务器造成了额外的工作量,给接口联调带来了很大的阻碍。 正常的http请求 我...
nginx反向代理+记录原始IP的模块(with-http_realip_module)
weixin_43328213的博客
03-06 2081
[root@server1 nginx-1.14.2]# ./configure --help | grep real --with-http_realip_module enable ngx_http_realip_module --with-stream_realip_module enable ngx_stream_realip_module [roo...
java服务器获取ip 解读请求头 伪造ip
global_coding的博客
06-06 1202
java服务器获取ip 解读请求头 伪造ip
反向代理如何传递客户端 IP
围炉夜话
06-04 1249
反向代理转发客户端 IP
CDN+Nginx反向代理来隐藏c2地址
最新发布
milu_Sec的博客
12-30 1147
思路:CDN:通过借助CDN和Nginx反向代理和HTTPS来隐藏真实c2服务器 Nginx反向代理:通过Nginx对外部流量转发到本地,再设置防火墙只允许localhost访问cs端口达到IP白名单的效果前几步和上篇文章一样1.更改cloudflare配置SSL/TLS加密模式为完全2.在SSL/TLS——源服务器选项中生成一个新的证书,配置默认即可。
egg.js获取真实的客户端ip地址
05-25
但是这个 IP 地址并不一定是真实的客户端 IP 地址,因为有些代理或者 CDN 会修改请求头中的 IP 地址。为了获取真实的客户端 IP 地址,可以参考以下代码实现: ```javascript function getClientIP(ctx) { const ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值