问题背景

在Web应用开发中,经常会需要获取客户端IP地址。一个典型的例子就是投票系统,为了防止刷票,需要限制每个IP地址只能投票一次。

如何获取客户端IP

在Java中,获取客户端IP最直接的方式就是使用request.getRemoteAddr()。这种方式能获取到连接服务器的客户端IP,在中间没有代理的情况下,的确是最简单有效的方式。但是目前互联网Web应用很少会将应用服务器直接对外提供服务,一般都会有一层Nginx做反向代理和负载均衡,有的甚至可能有多层代理。在有反向代理的情况下,直接使用request.getRemoteAddr()获取到的IP地址是Nginx所在服务器的IP地址,而不是客户端的IP。

HTTP协议是基于TCP协议的,由于request.getRemoteAddr()默认获取到的是TCP层直接连接的客户端的IP,对于Web应用服务器来说直接连接它的客户端实际上是Nginx,也就是TCP层是拿不到真实客户端的IP。

为了解决上面的问题,很多HTTP代理会在HTTP协议头中添加X-Forwarded-For头,用来追踪请求的来源。X-Forwarded-For的格式如下:

X-Forwarded-For: client1, proxy1, proxy2

X-Forwarded-For包含多个IP地址,每个值通过逗号+空格分开,最左边(client1)是最原始客户端的IP地址,中间如果有多层代理,每一层代理会将连接它的客户端IP追加在X-Forwarded-For右边。

下面就是一种常用的获取客户端真实IP的方法,首先从HTTP头中获取X-Forwarded-For,如果X-Forwarded-For头存在就按逗号分隔取最左边第一个IP地址,不存在直接通过request.getRemoteAddr()获取IP地址:

public String getClientIp(HttpServletRequest request) {String xff = request.getHeader("X-Forwarded-For");if (xff == null) {return request.getRemoteAddr();} else {return xff.contains(",") ? xff.split(",")[0] : xff;}
}

另外,要让Nginx支持X-Forwarded-For头,需要配置:

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

$proxy_add_x_forwarded_for会将和Nginx直接连接的客户端IP追加在请求原有X-Forwarded-For值的右边。

伪造X-Forwarded-For

一般的客户端(例如浏览器)发送HTTP请求是没有X-Forwarded-For头的,当请求到达第一个代理服务器时,代理服务器会加上X-Forwarded-For请求头,并将值设为客户端的IP地址(也就是最左边第一个值),后面如果还有多个代理,会依次将IP追加到X-Forwarded-For头最右边,最终请求到达Web应用服务器,应用通过获取X-Forwarded-For头取左边第一个IP即为客户端真实IP。

但是如果客户端在发起请求时,请求头上带上一个伪造的X-Forwarded-For,由于后续每层代理只会追加而不会覆盖,那么最终到达应用服务器时,获取的左边第一个IP地址将会是客户端伪造的IP。也就是上面的Java代码中getClientIp()方法获取的IP地址很有可能是伪造的IP地址,如果一个投票系统用这种方式做的IP限制,那么很容易会被刷票。

伪造X-Forwarded-For头的方法很简单,例如Postman就可以轻松做到:

当然你也可以写一段刷票程序或者脚本,每次请求时添加X-Forwarded-For头并随机生成一个IP来实现刷票的目的。

如何防范

方法一

在直接对外的Nginx反向代理服务器上配置:

proxy_set_header X-Forwarded-For $remote_addr;

如果有多层Nginx代理,内层的Nginx配置:

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

在最外层Nginx(即直接对外提供服务的Nginx)使用$remote_addr代替上面的$proxy_add_x_forwarded_for,可以防止伪造X-Forwarded-For$proxy_add_x_forwarded_for会在原有X-Forwarded-For上追加IP,这就相当于给了伪造X-Forwarded-For的机会。而$remote_addr是获取的是直接TCP连接的客户端IP,这个是无法伪造的,即使客户端伪造也会被覆盖掉,而不是追加。

需要注意的是,如果有多层代理,只在直接对外访问的Nginx上配置X-Forwarded-For$remote_addr,内层的Nginx还是要配置为$proxy_add_x_forwarded_for,不然内层的Nginx又会覆盖掉客户端的真实IP。

完成以上配置后,业务代码中再通过上面的getClientIp()方法,获取X-Forwarded-For最左边的IP地址即为真实的客户端地址,且客户端也无法伪造。

方法二

Tomcat服务器解决方案:org.apache.catalina.valves.RemoteIpValve

RemoteIpValve可以替换Servlet API中request.getRemoteAddr()方法的实现,让request.getRemoteAddr()方法从X-Forwarded-For头中获取IP地址。也就是在业务代码中不需要再自己实现类似于上面的getClientIp()方法来从X-Forwarded-For中获取IP,而是直接使用request.getRemoteAddr()方法。想要使用RemoteIpValve,仅需要在Tomcat配置文件server.xml中Host元素内末尾加上:

<Valve className="org.apache.catalina.valves.RemoteIpValve" ... />

RemoteIpValve有一套防止伪造X-Forwarded-For的机制,实现思路:遍历X-Forwarded-For头中的IP地址,和方法一不同的是,不是直接取左边第一个IP,而是从右向左遍历。遍历时可以根据正则表达式剔除掉内网IP和已知的代理服务器本身的IP(例如192.168开头的IP),那么拿到的第一个非剔除IP就会是一个可信任的客户端IP。这种方法的巧妙之处在于,即使伪造X-Forwarded-For,那么请求到达应用服务器时,伪造的IP也会在X-Forwarded-For值的左边,真实的IP为放到右边的某个位置,从右向左遍历就可以避免取到这些伪造的IP地址。

方法三

Node.js 框架 Egg.js 的解决方案:https://eggjs.org/zh-cn/tutor...

Egg.js 可通过设置maxProxyCount指定代理层数,然后取X-Forwarded-For头中从右往左数第maxProxyCount个IP即为真实 IP 地址,如果有伪造 IP 地址了必然在最左边,就会被忽略掉。

X-Forwarded-For相关推荐

  1. SQL Server中一个隐性的IO性能杀手-Forwarded record

    简介 最近在一个客户那里注意到一个计数器很高(Forwarded Records/Sec),伴随着间歇性的磁盘等待队列的波动.本篇文章分享什么是forwarded record,并从原理上谈一谈为什么 ...

  2. SQL Server 存储引擎-剖析Forwarded Records

    我们都知道数据在存储引擎中是以页的形式组织的,但数据页在不同的组织形式中其中对应的数据行存储是不尽相同的,这里通过实例为大家介绍下堆表的中特有的一种情形Forwared Records及处理方式. 概 ...

  3. 启动oracle时报错:PuTTY X11 proxy: unable to connect to forwarded X server: Network error:

    在启动oracle时报如下错误是因为没有启动Xming,确保Xming启动之后再启动oracle即可. [oracle@localhost ~]$ cd /data/oracle/product/19 ...

  4. SpringCloud:SpringCloudGateway对Forwarded和X-Forwarded-*处理分析

    一.SpringCloudGateway作为服务器端 1.在接收到包含Forwarded或X-Forwarded-*的HTTP请求头时,会根据部署环境决定是否进行解析 根据部署环境决定是否进行解析的代 ...

  5. XCTF BUG( 越权 修改forwarded头 文件上传) UNFINSH(二次注入 python脚本) 学习过程

    最近忙着入职和处理一些杂事,更新的确比较少了.不过在周末还是正好有空的,正好刷刷XCTF. 目录 XCTF BUG 注册账号 越权漏洞 文件上传 XCTF UFINISH XCTF BUG 首先进行常 ...

  6. php x forwarded for,php – nginx可以处理重复的X-Forwarded-For标头...

    TL; DR > nginx:fastcgi_param HTTP_MERGED_X_FORWARDED_FOR $http_x_forwarded_for > php:$_SERVER ...

  7. AI基础架构Pass Infrastructure

    AI基础架构Pass Infrastructure • Operation Pass o OperationPass : Op-Specific o OperationPass : Op-Agnost ...

  8. Pass Infrastructure基础架构(上)

    Pass Infrastructure基础架构(上) Operation Pass OperationPass Op-Specific OperationPass Op-Agnostic Depend ...

  9. linux nat 端口,linux – iptables nat只是端口25?

    下面的代码将完成这项工作. Iptables很容易使用 – 您只需要明确告诉它如何处理来自或到达特定端口上特定位置的流量.虽然您只请求了端口25和110,但我还包括安全SMTP和安全POP3的选项. ...

  10. linux下比较文件并输出,Linux使用diff命令比较文件找出文件之间相同的部分

    如果你需要比较系统文件的内容,那么你就会是使用到diff命令,可找出文件之间相同的部分,下面小编就给大家详细介绍下Linux diff命令的用法. diff 命令是 linux上非常重要的工具,用于比 ...

最新文章

  1. 文巾解题383. 赎金信
  2. sklearn svm
  3. java读取C++结构体,类型转换
  4. SAP Spartacus Theme 设置
  5. mysql的分片系统_MySQL分片
  6. 基础编程题目集 7-3 逆序的三位数 (10 分)
  7. SSM : 环境搭建
  8. [转载] numpy.exp,numpy.sqrt,np.power等函数的详细理解
  9. 佳能G1800 G2800 G3800提示5B00打印机清零软件用软件ST5302
  10. 吉比特H2-3光猫破解超级密码
  11. LTK5325 2X5.3W双声道升压G类音频功率放大器
  12. 2021-03-27
  13. ftp服务器可以异地传文件吗,FTP图片上传到异地服务器
  14. 中国剩余定理以及扩展中国剩余定理
  15. 说说共享纸巾的那些事
  16. 我的世界未能从服务器注册表数据,【经验之谈】“User Profile Service 服务未能登录,无法加载用户配置文件”实战历程...
  17. 论文写作——韬ASMI29 algorithm部分语句修改
  18. 在微型计算机中机器指令,机器指令语句
  19. 使用今日头条屏幕适配方案时,Android 布局突然错乱
  20. 宅在家有多可怕?游戏平台Steam被两千万人挤爆!

热门文章

  1. javaFX学习之Menu下创建子菜单及菜单项的例子
  2. ORers‘ Bling Chat | 【高光聊天记录集锦-03】:运小筹读者群里那些热烈的讨论
  3. 一个大概是被称作为“废物”的程序员的回顾,从18岁到30岁
  4. 适合四季畅饮的饮料 体动果味苏打水
  5. 每周一更——新的起点
  6. Group by ALL
  7. sap 标准委外和工序委外_SAP PP 工序委外详解
  8. 程序员要不要去外包外派公司
  9. BZOJ 1029: [JSOI2007]建筑抢修【贪心】
  10. python网络爬虫学习(六)利用Pyspider+Phantomjs爬取淘宝模特图片