• Nginx 获取真实 IP 方案


    问题根源:

    基于七层的负载均衡系统,获取IP的原理都是通过XRI和XFF进行处理,从中选出“正常情况下”的源头IP,然而这两个Header都是普通的HTTP头,任何代理程序都可以轻易修改伪造它们,使得获取IP的逻辑失效。

    解决依据:

    TCP协议需要建立真实的网络链路,因此其信息可以认为是真实可靠难以伪造的。根据阿里SLB文档中获取真实IP的方法(https://help.aliyun.com/document_detail/slb/best-practice/get-real-ipaddress.html)得知,如果采用四层负载均衡,则SLB的后端系统可直接通过 remote address 获取到IP,如果采用七层负载均衡,后续系统需配合 http_realip_module 使用。

    设置步骤:

    1、在阿里SLB中将负载均衡模式设置为四层,并且打开获取真实IP的选项(默认打开);
    2、在SLB后端的转发 nginx 中使用 $remote_addr 参数填写 XRI 和 XFF;
    3、在应用中即可可通过 XRI 或 XFF 获取真实 IP;

    试验环境:

    客户端:Chrome + Postman
    本地模拟:本地 nginx + 测试环境 nginx + 测试环境 app
    四层负载均衡:阿里 SLB + 测试环境 nginx + 测试环境 app
    七层负载均衡:阿里 SLB + release nginx + release app

    试验步骤:

    1、在测试环境 customer 应用中部署 test.jsp,内容为获取 request 信息;
    2、双 nginx 模拟
    2.1、在测试环境 nginx 中设置 XFF 规则如下:
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    2.2、在本地 nginx 中设置负载均衡到测试环境 nginx 地址,XFF 规则同上;
    2.3、使用 Postman 直接发送请求:
    可以发现XFF的第一个IP是正确的地址(由于本试验中本地 nginx 是系统的一部分,所以127.0.0.1算正确IP);
    2.4、在请求中加入伪造的 XFF:
    发现此时获取到的 XFF 已经被污染。
    3、四层SLB测试
    3.1、将测试环境 nginx 中的 XFF 规则设置为:
    proxy_set_header X-Forwarded-For $remote_addr;
    3.2、正常发送请求
    发现获取了正确的 IP;
    3.3、伪造 XFF 请求:
    发现依然可以获取到正确的 IP;
    4、七层SLB + http_realip_module 模块测试
    4.1、将 release 环境 nginx 相关配置修改为(其中100.97.0.0/16为SLB所在网段):
    set_real_ip_from 100.97.0.0/16;
    real_ip_header X-Forwarded-For;
    real_ip_recursive on;
    4.2、伪造XFF请求:
    可以发现:HTTP头中多了一个 remoteip 的字段,其值始终为正确的客户 IP;同时,XFF 字段保留了所有代理链路信息(包括伪造的部分)。

    试验总结:

    1、无论哪种方案其实核心原理大同小异,都是利用四层TCP的连接信息获取实际IP参数,区别只在于:获取到的这个IP在何时、用何种方式传递到后面系统,以及后面系统如何接收该参数。
    2、双 nginx 只是为了在可控环境模拟 HTTP IP 欺骗的原理;
    3、四层 SLB 负载均衡方案思路是在整个系统入口(即SLB的四层处)覆盖掉原始的 XRI 或 XFF,在系统的后面部分便可充分信任这些参数;
    4、七层 SLB 负载均衡方案思路是把系统入口处拿到的真实IP放在独立的 remoteip 参数中(当然如果需要也可在后续nginx中用该参数覆写 XRI 或 XFF,和上一个方案相同);

    参考资料:

    阿里云SLB获取真实IP的配置方法:
    http_realip_module官方文档:
    http_realip_module实现代码:
    阿里SLB原理:
    SLB官负载均衡配置:
     
     

    测试用页面代码:

    复制代码
    <%@page contentType="text/html" pageEncoding="GBK"%>
    <%@page import="java.util.*"%><!--使用Enumeration导入此包-->
    <html>
    <head>
        <title>接收全部请求参数的名称及对应的内容</title>
    </head>
    <body>
    <%
        Enumeration enu=request.getHeaderNames();//取得全部头信息
        while(enu.hasMoreElements()){//以此取出头信息
            String headerName=(String)enu.nextElement();
            String headerValue=request.getHeader(headerName);//取出头信息内容
    %>
            <h5><%=headerName%><font color="red">--></font>
            <font color="blue"><%=headerValue%></font></h5>
    <%
        }
    %>
    </body>
    </html>
    复制代码
  • 相关阅读:
    gulp的使用
    Js中call(),apply()的使用
    HTML中<meta>标签的使用
    字符串及数组常用方法
    css—transform
    《Java设计模式》——适配器模式
    全文检索工具包Lucene以及企业及应用Solr的学习(二)—— solr中edismax用到的Query Function以及java扩展
    全文检索工具包Lucene以及企业及应用Solr的学习(一)
    最近发现服务器发生了一些问题
    TxT读取写入
  • 原文地址:https://www.cnblogs.com/lvcisco/p/10309834.html
Copyright © 2020-2023  润新知