當前位置：首頁 > 编程语言 > php >内容正文

php

PHP-客户端的IP地址伪造、CDN、反向代理、获取的那些事儿

發布時間：2025/3/21 php 37 豆豆

生活随笔收集整理的這篇文章主要介紹了 PHP-客户端的IP地址伪造、CDN、反向代理、获取的那些事儿小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

外界流傳的JAVA/PHP服務器端獲取客戶端IP都是這么取的：偽代碼： 1）ip = request.getHeader("X-FORWARDED-FOR") ????可偽造，參考附錄A 2）如果該值為空或數組長度為0或等于"unknown"，那么： ip = request.getHeader("Proxy-Client-IP") 3）如果該值為空或數組長度為0或等于"unknown"，那么： ip = request.getHeader("WL-Proxy-Client-IP") 4）如果該值為空或數組長度為0或等于"unknown"，那么： ip = request.getHeader("HTTP_CLIENT_IP") ????可偽造 5）如果該值為空或數組長度為0或等于"unknown"，那么： ip = request.getRemoteAddr() ????可對于匿名代理服務器，可隱匿原始ip，參考附錄B ? 之所以搞這么麻煩，是因為存在很多種網絡結構，如 Nginx+Resin、Apache+WebLogic、Squid+Nginx。下面挨個兒講一下。首先，明確一下，Nginx 配置一般如下所示： ? ? ? ? ? ? ? location / {
? ? ? ? ? ? ? ? ? ? ? ?proxy_pass ? ? ? http://yourdomain.com;
? ? ? ? ? ? ? ? ? ? ? ?proxy_set_header ? Host ? ? ? ? ? ? $host;
? ? ? ? ? ? ? ? ? ? ? ?proxy_set_header ? X-Real-IP ? ? ? ?$remote_addr;
? ? ? ? ? ? ? ? ? ? ? ?proxy_set_header ? X-Forwarded-For ?$proxy_add_x_forwarded_for;
? ? ? ? ? ? ? } 注意看紅色字體，這些配置與下面的闖關拿IP有關。 ? ——————————————————————————————— ——第一關|X-Forwarded-For ：背景—— 這是一個 Squid 開發的字段，并非 RFC 標準。簡稱?XFF 頭，只有在通過了 HTTP 代理或者負載均衡服務器時才會添加該項。在 Squid 開發文檔中可以找到該項的詳細介紹。 XFF 格式如下： X-Forwarded-For: client1, proxy1, proxy2 可以看出，XFF 頭信息可以有多個，中間用逗號分隔，第一項為真實的客戶端ip，剩下的就是曾經經過的代理或負載均衡服務器的ip地址。 ——第一關|X-Forwarded-For ：場景=客戶端--CDN--Nginx—— 當用戶請求經過 CDN 后到達 Nginx 負載均衡服務器時，其 XFF 頭信息應該為 “客戶端IP,CDN的IP”。一般情況下CDN服務商出于自身安全考慮會將屏蔽CDN的ip，只保留客戶端ip。那么請求頭到達 Nginx 時：

在默認情況下，Nginx 并不會對 XFF 頭做任何處理
- 此時 Nginx 后面的 Resin/Apache/Tomcat 通過?request.getHeader("X-FORWARDED-FOR")?獲得的ip仍然是原始ip。
當 Nginx 設置 X-Forwarded-For 等于 $proxy_add_x_forwarded_for 時：
- 如果從CDN過來的請求沒有設置 XFF 頭（通常這種事情不會發生），XFF 頭為 CDN 的ip
  - 此時相對于 Nginx 來說，客戶端就是 CDN?
- 如果 CDN 設置了 XFF 頭，我們這里又設置了一次，且值為$proxy_add_x_forwarded_for 的話：
  - XFF 頭為“客戶端IP,Nginx負載均衡服務器IP”，這樣取第一個值即可
  - 這也就是大家所常見的場景！

綜上所述，XFF 頭在上圖的場景，Resin 通過?request.getHeader("X-FORWARDED-FOR")?獲得的ip字符串，做一個split，第一個元素就是原始ip。那么，XFF 頭可以偽造嗎？ ——第一關|X-Forwarded-For ：偽造—— 可以偽造。 XFF 頭僅僅是 HTTP Headers 中的一分子，自然是可以隨意增刪改的。如附錄A所示。很多投票系統都有此漏洞，它們簡單地取 XFF 頭中定義的ip地址設置為來源地址，因此第三方可以偽造任何ip投票。 ——————————————————————————————— ——第二和第三關|Proxy-Client-IP/WL-Proxy-Client-IP?：背景—— Proxy-Client-IP 字段和?WL-Proxy-Client-IP 字段只在 Apache（Weblogic Plug-In Enable）+WebLogic 搭配下出現，其中“WL” 就是 WebLogic 的縮寫。即訪問路徑是： Client -> Apache WebServer + Weblogic http plugin -> Weblogic Instances 所以這兩關對于我們來說僅僅是兼容而已，怕你突然把 Nginx+Resin 換成 Apache+WebLogic 。也可以直接忽略這兩個字段。 ——————————————————————————————— ——第四關|HTTP-Client-IP?：背景—— HTTP_CLIENT_IP 是代理服務器發送的HTTP頭。很多時候 Nginx 配置中也并沒有下面這項： proxy_set_header HTTP_CLIENT_IP $remote_addr; 所以本關也可以忽略。鄭昀?:△ ——————————————————————————————— ——第五關|?request.getRemoteAddr() ：背景—— 從?request.getRemoteAddr() 函數的定義看： ????Returns the Internet Protocol (IP) address of the client or last proxy that sent the request.? 實際上，REMOTE_ADDR 是客戶端跟服務器“握手”時的IP，但如果使用了“匿名代理”，REMOTE_ADDR 將顯示代理服務器的ip，或者最后一個代理服務器的ip。請參考附錄B。? 綜上， java/php 里拿到的ip地址可能是偽造的或代理服務器的ip。 ? 鄭昀?:△ +++附錄A XFF 與 Nginx 配置的測試用例+++ 測試環境： nginx+resin
內網IP：172.16.100.10
客戶端IP：123.123.123.123

測試頁面： test.jsp
<%
out.println("x-forwarded-for: " + request.getHeader("x-forwarded-for"));
out.println("remote hosts: " + request.getRemoteAddr());
%>

nginx 配置一 proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; wget測試 wget -O aa --header="X-Forwarded-For:192.168.0.1" "http://test.com/test.jsp" 頁面返回結果： x-forwarded-for: 192.168.0.1, 123.123.123.123 remote hosts: 172.16.100.10 curl測試 curl -H "X-Forwarded-For:192.168.0.1" "http://test.com/test.jsp" x-forwarded-for: 192.168.0.1, 123.123.123.123 remote hosts: 172.16.100.10
nginx 配置二
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

wget測試：
wget -O aa --header="X-Forwarded-For:192.168.0.1" "http://test.com/test.jsp"
頁面返回結果：
x-forwarded-for: 123.123.123.123
remote hosts: 172.16.100.10

curl測試
curl -H "X-Forwarded-For:192.168.0.1" "http://test.com/test.jsp"
x-forwarded-for: 123.123.123.123
remote hosts: 172.16.100.10

測試結果：
1、配置?? proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
增加了一個真實ip X-Forwarded-For，并且順序是增加到了“后面”。

2、配置?? proxy_set_header X-Forwarded-For $remote_addr;
清空了客戶端偽造傳入的X-Forwarded-For，
保證了使用 request.getHeader("x-forwarded-for") 獲取的ip為真實ip，
或者用“,”分隔，截取 X-Forwarded-For 最后的值。 +++附錄B 搜狗瀏覽器高速模式的測試用例+++ 訪問路徑：搜狗瀏覽器“高速”模式（即使用代理）-->LVS-->Apache 獲得的值為： x-forwarded-for:180.70.92.43? ?(即真實ip) Proxy-Client-IP:null WL-Proxy-Client-IP:null? getRemoteAddr:123.126.50.185??（即搜狗代理ip） ×××參考資源：××× 1，http://bbs.linuxtone.org/thread-9050-1-1.html 2，http://hi.baidu.com/thinkinginlamp/item/e2cf05263eb4d18e6e2cc3e6 3，http://bbs.chinaunix.net/thread-3659453-1-1.html 轉自:http://www.cnblogs.com/zhengyun_ustc/archive/2012/09/19/getremoteaddr.html

轉載于:https://www.cnblogs.com/JohnABC/p/4809359.html

總結

以上是生活随笔為你收集整理的PHP-客户端的IP地址伪造、CDN、反向代理、获取的那些事儿的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。

上一篇：将若干字符串按字母顺序（由小到大）输出（
下一篇：实验一个最小的PYTHON服务器编程