7

某云负载均衡获取客户端真实IP的问题 - 飞翔码农

 1 year ago
source link: https://www.cnblogs.com/feixiangmanon/p/16743649.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client

某云负载均衡真实IP的问题,我们这边已经遇到过两次了。而且每次和售后沟通的时候都大费周折,主要是要给售后说明白目前文档的获取真实IP是有问题的,他们觉得文档上说明的肯定没问题,售后要是不明白,他们不会给LB部门上报,这个事就没法推进。
我们这边的简单的网络架构设这样的。
DNS->负载均衡->web机组

按照文档说明获取客户端真实IP

七层负载均衡(HTTP或HTTPS协议)服务需要对应用服务器进行配置,然后使用X-Forwarded-For的方式获取客户端的真实源IP地址。真实的客户端源IP存放在HTTP头部的X-Forwarded-For字段,格式如下:

X-Forwarded-For: 用户真实IP, 代理服务器1-IP, 代理服务器2-IP,...

当使用此方式获取客户端真实IP时,获取的第一个地址就是客户端真实IP。
我们第一版的获取IP就是按照文档的要求这么写的。

被伪造IP攻击了

某一天,网站接口不停被打,一看攻击IP地址都是一样的,首先想到的是封IP,封了之后还是被打,真实服了,以为代码有问题,检查很多遍确定不是代码的问题,发现攻击IP不停变,又想到会不会购买什么动态IP的服务,user-agent是固定,而且IP地址是按数字累加的,比如刚开始是1.1.1.1,后来是1.1.1.2,再后来1.1.1.3,而且X-Forwarded-For这个头,比正常访问多了一层IP。
然后仔细分析了一下,首先觉得X-Forwarded-For获取IP的方式是有漏铜的,因为所有的请求头都是可以在客户端伪造的,所以我们测试了一下,

curl https://www.aaa.com -H"X-Forwarded-For:1.1.1.1"

通过这种方式,确实拿到了错误的真实ip。

真实IP只有负载均衡知道,因为建立连接的时候可以通过remote_addr拿到真实的IP,只有这种是可信的,如果这个IP错误的话,就无法三次握手建立连接。
没办法,提工单找售后,答复只这样的
您好,目前七层监听都是基于X-Forwarded-For 来获取客户端真实ip 信息的,或者您可以考虑下使用slb 四层监听。
觉得这样简单的东西肯定有啊,一个公有云怎么会没有真实IP。自己在上游服务抓包观察了一下,发现有一个这样的头 RemoteIp,我发现我不管怎么伪造X-Forwarded-For,RemoteIp都是正确的IP。然后找售后确定一下我们的猜测,果然是这个。
您好,RemoteIp也是真实ip,是LB防止 x_forwarded_for 伪造。
改完代码,一切顺利

IP地址又错了

IP地址好几年没出问题了,上个月有用户反馈,IP地址错了,我们网站按照要求,评论需要展示所在地理位置,我TM在苏州啊,怎么给我整到西安去了,没去过啊。
没办法,只能去提工单了。
然后售后说是我们不能使用RemoteIp,应该按照文档说明使用 x_forwarded_for,为了说明 x_forwarded_for 没问题,给我做了各种实验,x_forwarded_for 这个问题从周五下午一直给售后扳扯到周六,说不通了,还贴出了几年前的咨询工单,最后售后大哥终于说了一句,我跟LB部门反馈一下。
大概过了半个小时就有结果了,结果是因为我们开了waf防火墙。售后给的答复。

1、Client -- WAF -- LB -- 上游服务 这种架构 ,那么就得取  X-Real-IP  或X-True-IP 字段获取客户端真实IP。
2、Client  -- LB -- 上游服务 这种架构 ,那么就得取 RemoteIp 获取客户端真实IP。

然后改了一下代码,先检查头里面有没有X-True-IP,如果有就使用X-True-IP,如果没有就使用RemoteIp。


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK