内容简介:在Web应用开发中,经常会需要获取客户端IP地址。一个典型的例子就是投票系统,为了防止刷票,需要限制每个IP地址只能投票一次。在Java中,获取客户端IP最直接的方式就是使用HTTP协议是基于TCP协议的,由于
问题背景
在Web应用开发中,经常会需要获取客户端IP地址。一个典型的例子就是投票系统,为了防止刷票,需要限制每个IP地址只能投票一次。
如何获取客户端IP
在 Java 中,获取客户端IP最直接的方式就是使用 request.getRemoteAddr()
。这种方式能获取到连接服务器的客户端IP,在中间没有代理的情况下,的确是最简单有效的方式。但是目前互联网Web应用很少会将应用服务器直接对外提供服务,一般都会有一层Nginx做反向代理和负载均衡,有的甚至可能有多层代理。在有反向代理的情况下,直接使用 request.getRemoteAddr()
获取到的IP地址是Nginx所在服务器的IP地址,而不是客户端的IP。
HTTP协议是基于TCP协议的,由于 request.getRemoteAddr()
默认获取到的是TCP层直接连接的客户端的IP,对于Web应用服务器来说直接连接它的客户端实际上是Nginx,也就是TCP层是拿不到真实客户端的IP。
为了解决上面的问题,很多HTTP代理会在HTTP协议头中添加 X-Forwarded-For
头,用来追踪请求的来源。 X-Forwarded-For
的格式如下:
X-Forwarded-For: client1, proxy1, proxy2
X-Forwarded-For
包含多个IP地址,每个值通过逗号+空格分开,最左边(client1)是最原始客户端的IP地址,中间如果有多层代理,每一层代理会将连接它的客户端IP追加在 X-Forwarded-For
右边。
下面就是一种常用的获取客户端真实IP的方法,首先从HTTP头中获取 X-Forwarded-For
,如果 X-Forwarded-For
头存在就按逗号分隔取最左边第一个IP地址,不存在直接通过 request.getRemoteAddr()
获取IP地址:
public String getClientIp(HttpServletRequest request) { String xff = request.getHeader("X-Forwarded-For"); if (xff == null) { return request.getRemoteAddr(); } else { return xff.contains(",") ? xff.split(",")[0] : xff; } }
另外,要让Nginx支持 X-Forwarded-For
头,需要配置:
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
$proxy_add_x_forwarded_for
会将和Nginx直接连接的客户端IP追加在请求原有 X-Forwarded-For
值的右边。
伪造X-Forwarded-For
一般的客户端(例如浏览器)发送HTTP请求是没有 X-Forwarded-For
头的,当请求到达第一个代理服务器时,代理服务器会加上 X-Forwarded-For
请求头,并将值设为客户端的IP地址(也就是最左边第一个值),后面如果还有多个代理,会依次将IP追加到 X-Forwarded-For
头最右边,最终请求到达Web应用服务器,应用通过获取 X-Forwarded-For
头取左边第一个IP即为客户端真实IP。
但是如果客户端在发起请求时,请求头上带上一个伪造的 X-Forwarded-For
,由于后续每层代理只会追加而不会覆盖,那么最终到达应用服务器时,获取的左边第一个IP地址将会是客户端伪造的IP。也就是上面的Java代码中 getClientIp()
方法获取的IP地址很有可能是伪造的IP地址,如果一个投票系统用这种方式做的IP限制,那么很容易会被刷票。
伪造 X-Forwarded-For
头的方法很简单,例如Postman就可以轻松做到:
当然你也可以写一段刷票程序或者脚本,每次请求时添加 X-Forwarded-For
头并随机生成一个IP来实现刷票的目的。
如何防范
方法一
在直接对外的Nginx反向代理服务器上配置:
proxy_set_header X-Forwarded-For $remote_addr;
如果有多层Nginx代理,内层的Nginx配置:
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
在最外层Nginx(即直接对外提供服务的Nginx)使用 $remote_addr
代替上面的 $proxy_add_x_forwarded_for
,可以防止伪造 X-Forwarded-For
。 $proxy_add_x_forwarded_for
会在原有 X-Forwarded-For
上追加IP,这就相当于给了伪造 X-Forwarded-For
的机会。而 $remote_addr
是获取的是直接TCP连接的客户端IP,这个是无法伪造的,即使客户端伪造也会被覆盖掉,而不是追加。
需要注意的是,如果有多层代理,只在直接对外访问的Nginx上配置 X-Forwarded-For
为 $remote_addr
,内层的Nginx还是要配置为 $proxy_add_x_forwarded_for
,不然内层的Nginx又会覆盖掉客户端的真实IP。
完成以上配置后,业务代码中再通过上面的 getClientIp()
方法,获取 X-Forwarded-For
最左边的IP地址即为真实的客户端地址,且客户端也无法伪造。
方法二
Tomcat服务器解决方案: org.apache.catalina.valves.RemoteIpValve
RemoteIpValve
可以替换Servlet API中 request.getRemoteAddr()
方法的实现,让 request.getRemoteAddr()
方法从 X-Forwarded-For
头中获取IP地址。也就是在业务代码中不需要再自己实现类似于上面的 getClientIp()
方法来从 X-Forwarded-For
中获取IP,而是直接使用 request.getRemoteAddr()
方法。想要使用 RemoteIpValve
,仅需要在Tomcat配置文件server.xml中Host元素内末尾加上:
<Valve className="org.apache.catalina.valves.RemoteIpValve" ... />
RemoteIpValve
有一套防止伪造 X-Forwarded-For
的机制,实现思路:遍历 X-Forwarded-For
头中的IP地址,和方法一不同的是,不是直接取左边第一个IP,而是从右向左遍历。遍历时可以根据正则表达式剔除掉内网IP和已知的代理服务器本身的IP(例如192.168开头的IP),那么拿到的第一个非剔除IP就会是一个可信任的客户端IP。这种方法的巧妙之处在于,即使伪造 X-Forwarded-For
,那么请求到达应用服务器时,伪造的IP也会在 X-Forwarded-For
值的左边,真实的IP为放到右边的某个位置,从右向左遍历就可以避免取到这些伪造的IP地址。
方法三
Node.js 框架 Egg.js 的解决方案: https://eggjs.org/zh-cn/tutor...
Egg.js 可通过设置 maxProxyCount
指定代理层数,然后取 X-Forwarded-For
头中从右往左数第 maxProxyCount
个IP即为真实 IP 地址,如果有伪造 IP 地址了必然在最左边,就会被忽略掉。
以上所述就是小编给大家介绍的《利用X-Forwarded-For伪造客户端IP漏洞成因及防范》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:- 利用X-Forwarded-For伪造客户端IP漏洞成因及防范
- 机器学习PAI实践三:雾霾成因分析
- DDOS导致Nginx 499状态码成因分析
- 北京大学专家:软件供应链安全的风险和成因分析
- 跨站请求伪造已死!
- 跨站请求伪造 (CSRF) 攻击
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。