问题根源:

基于七层的负载均衡系统,获取IP的原理都是通过XRI和XFF进行处理,从中选出“正常情况下”的源头IP,然而这两个Header都是普通的HTTP头,任何代理程序都可以轻易修改伪造它们,使得获取IP的逻辑失效。

解决依据:

TCP协议需要建立真实的网络链路,因此其信息可以认为是真实可靠难以伪造的。根据阿里SLB文档中获取真实IP的方法(https://help.aliyun.com/document_detail/slb/best-practice/get-real-ipaddress.html)得知,如果采用四层负载均衡,则SLB的后端系统可直接通过 remote address 获取到IP,如果采用七层负载均衡,后续系统需配合 http_realip_module 使用。

设置步骤:

1、在阿里SLB中将负载均衡模式设置为四层,并且打开获取真实IP的选项(默认打开);
2、在SLB后端的转发 nginx 中使用 $remote_addr 参数填写 XRI 和 XFF;
3、在应用中即可可通过 XRI 或 XFF 获取真实 IP;

试验环境:

客户端:Chrome + Postman
本地模拟:本地 nginx + 测试环境 nginx + 测试环境 app
四层负载均衡:阿里 SLB + 测试环境 nginx + 测试环境 app
七层负载均衡:阿里 SLB + release nginx + release app

试验步骤:

1、在测试环境 customer 应用中部署 test.jsp,内容为获取 request 信息;
2、双 nginx 模拟
2.1、在测试环境 nginx 中设置 XFF 规则如下:
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
2.2、在本地 nginx 中设置负载均衡到测试环境 nginx 地址,XFF 规则同上;
2.3、使用 Postman 直接发送请求:
可以发现XFF的第一个IP是正确的地址(由于本试验中本地 nginx 是系统的一部分,所以127.0.0.1算正确IP);
2.4、在请求中加入伪造的 XFF:
发现此时获取到的 XFF 已经被污染。
3、四层SLB测试
3.1、将测试环境 nginx 中的 XFF 规则设置为:
proxy_set_header X-Forwarded-For $remote_addr;
3.2、正常发送请求
发现获取了正确的 IP;
3.3、伪造 XFF 请求:
发现依然可以获取到正确的 IP;
4、七层SLB + http_realip_module 模块测试
4.1、将 release 环境 nginx 相关配置修改为(其中100.97.0.0/16为SLB所在网段):
set_real_ip_from 100.97.0.0/16;
real_ip_header X-Forwarded-For;
real_ip_recursive on;
4.2、伪造XFF请求:
可以发现:HTTP头中多了一个 remoteip 的字段,其值始终为正确的客户 IP;同时,XFF 字段保留了所有代理链路信息(包括伪造的部分)。

试验总结:

1、无论哪种方案其实核心原理大同小异,都是利用四层TCP的连接信息获取实际IP参数,区别只在于:获取到的这个IP在何时、用何种方式传递到后面系统,以及后面系统如何接收该参数。
2、双 nginx 只是为了在可控环境模拟 HTTP IP 欺骗的原理;
3、四层 SLB 负载均衡方案思路是在整个系统入口(即SLB的四层处)覆盖掉原始的 XRI 或 XFF,在系统的后面部分便可充分信任这些参数;
4、七层 SLB 负载均衡方案思路是把系统入口处拿到的真实IP放在独立的 remoteip 参数中(当然如果需要也可在后续nginx中用该参数覆写 XRI 或 XFF,和上一个方案相同);

参考资料:

阿里云SLB获取真实IP的配置方法:
http_realip_module官方文档:
http_realip_module实现代码:
阿里SLB原理:
SLB官负载均衡配置:
 
 

测试用页面代码:

<%@page contentType="text/html" pageEncoding="GBK"%>

<%@page import="java.util.*"%><!--使用Enumeration导入此包-->

<html>

<head>

    <title>接收全部请求参数的名称及对应的内容</title>

</head>

<body>

<%

    Enumeration enu=request.getHeaderNames();//取得全部头信息

    while(enu.hasMoreElements()){//以此取出头信息

        String headerName=(String)enu.nextElement();

        String headerValue=request.getHeader(headerName);//取出头信息内容

%>

        <h5><%=headerName%><font color="red">--></font>

        <font color="blue"><%=headerValue%></font></h5>

<%

    }

%>

</body>

</html>
 

Nginx 获取真实 IP 方案的更多相关文章

  1. nodejs+nginx获取真实ip

    nodejs + nginx获取真实ip分为两部分: 第一.配置nginx: 第二.通过nodejs代码获取: 其他语言也是一样的,都是配置nginx之后,在http头里面获取“x-forwarded ...

  2. nginx 获取真实ip

    使用阿里云SLB,无法获取真实ip问题 官方给出的是如下用法,需要安装模块,大体上是没有错的,但是比较模糊,实际操作中可能会踩坑,所以参考学习即可,不必照搬.(那个http_realip_module ...

  3. 阿里云负载均衡SLB 七层https协议 nginx 获取真实IP

    https://www.cnblogs.com/baylorqu/p/8565667.html https://help.aliyun.com/document_detail/54007.html

  4. ASP.NET Core 搭配 Nginx 的真实IP问题

    一.前言 Nginx(Engine X)是一个高性能HTTP和反向代理服务,是由俄罗斯人伊戈尔·赛索耶夫为访问量第二的Rambler.ru站点(俄文:Рамблер)开发的,第一个公开版本0.1.0发 ...

  5. 阿里云SLB后Nginx、Tomcat获取真实IP

    一.SLB后Nginx如何获取真实IP 前提:nginx作为slb获取真实ip是使用 http_realip_module,默认一键安装包安装的nginx没有安装这个模块需要重新重新编译nginx并加 ...

  6. nginx前端负载,后端apache获取真实IP设置

    原文链接: nginx前端负载,后端apache获取真实IP设置 参考文献: 前端Nginx,后端Apache获取用户真实IP地址  按照第二种方法设置不成功! 网站最前端是nginx,做的PROXY ...

  7. Nginx 反向代理获取真实IP问题

    一.前言 前文 Nginx 解决WebApi跨域二次请求以及Vue单页面问题 当中虽然解决了跨域问题带来的二次请求,但也产生了一个新的问题,就是如果需要获取用户IP的时候,获取的IP地址总是本机地址. ...

  8. php nginx反向代理获取真实ip的教程

    php nginx反向代理获取真实ip的教程 <pre> location /getip { proxy_pass http://newmiracle.cn/ip.php; } proxy ...

  9. NGINX反向代理,后端服务器获取真实IP

    一般使用中间件做一个反向代理后,后端的web服务器是无法获取到真实的IP地址. 但是生产上,这又是不允许的,那么怎么解决? 1.在NGINX反向代理服务器上进行修改 2.修改后端web服务器配置文件 ...

随机推荐

  1. C++模板编程里的主版本模板类、全特化、偏特化(C++ Type Traits)

    1.  主版本模板类 首先我们来看一段初学者都能看懂,应用了模板的程序: 1 #include <iostream> 2 using namespace std; 3 4 template ...

  2. DB2导出脚本,重新建立数据库

    在做项目的时候,我们经常会涉及到数据库的迁移 所以我们需要导出 db2数据的建库脚本,存储过程脚本,函数脚本, 我是这么做的 windows键---cmd---进入命令-----db2cmd----进 ...

  3. 【MySQL】优化—工欲善其事,必先利其器之EXPLAIN

    接触MySQL已经有一段时间了,了解如何优化它也迫在眉睫了,话说工欲善其事,必先利其器.最近我就打算了解下几个优化MySQL中经常用到的工具.今天就简单介绍下EXPLAIN. 环境准备 Explain ...

  4. linux下生成rsa密钥的方法

    首先生成密钥,用命令ssh-keygen –t rsa 运行后可以一直空格,生成密钥,id_rsa和id_rsa.pub文件 ,默认放在/root/.ssh/下,.ssh文件是隐藏的,要显示隐藏文件才 ...

  5. 44. Decode Ways && Gray Code

    Decode Ways A message containing letters from A-Z is being encoded to numbers using the following ma ...

  6. 卡特兰数 (Catalan)

    卡特兰数:(是一个在计数问题中出现的数列) 一般项公式: 1.         或       2.   递归公式: 1.  或 2. 注:全部可推导. (性质:Cn为奇数时,必然出现在奇数项 2k- ...

  7. VR全景智慧城市-720全景项目行业应用

    VR虚拟现实.VR全景概念已成为科技发展热议的焦点.在这样的市场大环境下,全景智慧城市做为一家对大众创新万众创业和用户体验为理念的VR全景城市化信息搜素平台平地而生成为的VR行业领跑者,致力VR全景V ...

  8. oracle查看所有表的数据量并排序

    源地址:http://blog.csdn.net/zhanggnol/article/details/6683697 select t.table_name,t.num_rows from user_ ...

  9. ASP.NET Web API之消息[拦截]处理

    标题相当难取,内容也许和您想的不一样,而且网上已经有很多这方面的资料了,我不过是在实践过程中作下记录.废话少说,直接开始. Exception 当服务端抛出未处理异常时,most exceptions ...

  10. java学习第9天

    形式参数和返回值的问题 (1)形式参数: 类名:需要该类的对象 抽象类名:需要该类的子类对象 接口名:需要该接口的实现类对象 (2)返回值类型: 类名:返回的是该类的对象 抽象类名:返回的是该类的子类 ...