某云负载均衡获取客户端真实IP的问题
某云负载均衡真实IP的问题,我们这边已经遇到过两次了。而且每次和售后沟通的时候都大费周折,主要是要给售后说明白目前文档的获取真实IP是有问题的,他们觉得文档上说明的肯定没问题,售后要是不明白,他们不会给LB部门上报,这个事就没法推进。
我们这边的简单的网络架构设这样的。
DNS->负载均衡->web机组
按照文档说明获取客户端真实IP
七层负载均衡(HTTP或HTTPS协议)服务需要对应用服务器进行配置,然后使用X-Forwarded-For的方式获取客户端的真实源IP地址。真实的客户端源IP存放在HTTP头部的X-Forwarded-For字段,格式如下:
X-Forwarded-For: 用户真实IP, 代理服务器1-IP, 代理服务器2-IP,...
当使用此方式获取客户端真实IP时,获取的第一个地址就是客户端真实IP。
我们第一版的获取IP就是按照文档的要求这么写的。
被伪造IP攻击了
某一天,网站接口不停被打,一看攻击IP地址都是一样的,首先想到的是封IP,封了之后还是被打,真实服了,以为代码有问题,检查很多遍确定不是代码的问题,发现攻击IP不停变,又想到会不会购买什么动态IP的服务,user-agent是固定,而且IP地址是按数字累加的,比如刚开始是1.1.1.1,后来是1.1.1.2,再后来1.1.1.3,而且X-Forwarded-For这个头,比正常访问多了一层IP。
然后仔细分析了一下,首先觉得X-Forwarded-For获取IP的方式是有漏铜的,因为所有的请求头都是可以在客户端伪造的,所以我们测试了一下,
curl https://www.aaa.com -H"X-Forwarded-For:1.1.1.1"
通过这种方式,确实拿到了错误的真实ip。
真实IP只有负载均衡知道,因为建立连接的时候可以通过remote_addr拿到真实的IP,只有这种是可信的,如果这个IP错误的话,就无法三次握手建立连接。
没办法,提工单找售后,答复只这样的
您好,目前七层监听都是基于X-Forwarded-For 来获取客户端真实ip 信息的,或者您可以考虑下使用slb 四层监听。
觉得这样简单的东西肯定有啊,一个公有云怎么会没有真实IP。自己在上游服务抓包观察了一下,发现有一个这样的头 RemoteIp,我发现我不管怎么伪造X-Forwarded-For,RemoteIp都是正确的IP。然后找售后确定一下我们的猜测,果然是这个。
您好,RemoteIp也是真实ip,是LB防止 x_forwarded_for 伪造。
改完代码,一切顺利
IP地址又错了
IP地址好几年没出问题了,上个月有用户反馈,IP地址错了,我们网站按照要求,评论需要展示所在地理位置,我TM在苏州啊,怎么给我整到西安去了,没去过啊。
没办法,只能去提工单了。
然后售后说是我们不能使用RemoteIp,应该按照文档说明使用 x_forwarded_for,为了说明 x_forwarded_for 没问题,给我做了各种实验,x_forwarded_for 这个问题从周五下午一直给售后扳扯到周六,说不通了,还贴出了几年前的咨询工单,最后售后大哥终于说了一句,我跟LB部门反馈一下。
大概过了半个小时就有结果了,结果是因为我们开了waf防火墙。售后给的答复。
1、Client -- WAF -- LB -- 上游服务 这种架构 ,那么就得取 X-Real-IP 或X-True-IP 字段获取客户端真实IP。
2、Client -- LB -- 上游服务 这种架构 ,那么就得取 RemoteIp 获取客户端真实IP。
然后改了一下代码,先检查头里面有没有X-True-IP,如果有就使用X-True-IP,如果没有就使用RemoteIp。