一、應(yīng)用場景

• 在投票系統(tǒng)開發(fā)中，為了防止刷票，我們需要限制每個 IP 地址只能投票一次；
• 當(dāng)網(wǎng)站受到諸如 DDoS（Distributed Denial of Service，分布式拒絕服務(wù)攻擊）等攻擊時，我們需要快速定位攻擊者 IP；
• 在滲透測試過程中，經(jīng)常會碰到網(wǎng)站有 CDN（Content Distribution Network，內(nèi)容交付網(wǎng)絡(luò)），這時我們需要繞過 CDN 查找真實 IP；

二、獲取客戶端的 IP 地址

服務(wù)端獲取客戶端請求IP地址，常見的包括：remote_addr、x-forwarded-for、client-ip 等請求頭參數(shù)：

• remote_addr：指的是當(dāng)前直接請求的客戶端IP地址，它存在于tcp請求體中，是http協(xié)議傳輸?shù)臅r候自動添加，不受請求頭header的控制。因此，當(dāng)客戶端與服務(wù)器之間不存在任何代理的時候，通過remote_addr獲取客戶端IP地址是最準(zhǔn)確，也是最安全。remote_addr無法偽造
• x-forwarded-for，即XFF，是很多代理服務(wù)器在請求轉(zhuǎn)發(fā)時添加上去的。如果客戶端和服務(wù)器之間存在代理服務(wù)器，那么通過remote_addr獲取的IP就是代理服務(wù)器的地址，并不是客戶端真實的IP地址。因此，需要代理服務(wù)器（通常是反向代理服務(wù)器）將真實客戶端的IP地址轉(zhuǎn)發(fā)給服務(wù)器，轉(zhuǎn)發(fā)時客戶端的真實IP地址通常就存在于XFF請求頭中。
• client-ip：同XFF，也是代理服務(wù)器添加的用于轉(zhuǎn)發(fā)客戶端請求的真實IP地址，同樣保存與請求頭中。

在 Java 中，獲取客戶端 IP 最直接的方式就是使用 request.getRemoteAddr()。這種方式在中間沒有代理的情況下，獲取連接到服務(wù)器的客戶端 IP 的最簡單有效的方式。

但是目前互聯(lián)網(wǎng) Web 應(yīng)用很少會將應(yīng)用服務(wù)器直接對外提供服務(wù)，一般都會有一層 Nginx 做反向代理和負(fù)載均衡，有的甚至可能有多層代理。所以，在有反向代理的情況下，直接使用 request.getRemoteAddr() 獲取到的IP地址是Nginx所在服務(wù)器的IP地址，而不是客戶端的 IP。

為了解決上面的問題，很多 HTTP 代理會在 HTTP 協(xié)議頭中添加 X-Forwarded-For 頭，用來追蹤請求的來源，X-Forwarded-For 的格式如下：

X-Forwarded-For: client1, proxy1, proxy2

X-Forwarded-For 包含多個 IP 地址，每個值通過逗號+空格分開，最左邊（client1）是最原始客戶端的IP地址，中間如果有多層代理，每一層代理會將連接它的客戶端IP追加在 X-Forwarded-For 右邊。

下面就是一種常用的獲取客戶端真實IP的方法：

public static String getRealIP(HttpServletRequest request) {
    String ip = request.getHeader("X-Forwarded-For");
    if (ip != null) {
    	ip = ip.contains(",") ? ip.split(",")[0] : ip;
    } else {
	    if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
	        ip = request.getHeader("Proxy-Client-IP");
	    }
	    if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
	        ip = request.getHeader("WL-Proxy-Client-IP");
	    }
	    if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {
	        ip = request.getRemoteAddr();
	    }
    }
    return ip;
}

注意，要讓 Nginx 支持 X-Forwarded-For 頭，需要配置：

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

$proxy_add_x_forwarded_for 會將和 Nginx 直接連接的客戶端 IP 追加在請求原有 X-Forwarded-Fo r值的右邊。

三、IP 偽造及解決方案

1、客戶端可以偽造 X-Forwarded-For

一般的客戶端（例如瀏覽器）發(fā)送HTTP請求是沒有 X-Forwarded-For 頭的，當(dāng)請求到達(dá)第一個代理服務(wù)器時，代理服務(wù)器會加上 X-Forwarded-For 請求頭，并將值設(shè)為客戶端的IP地址（也就是最左邊第一個值），后面如果還有多個代理，會依次將IP追加到 X-Forwarded-For 頭最右邊，最終請求到達(dá)Web應(yīng)用服務(wù)器，應(yīng)用通過獲取 X-Forwarded-For 頭取左邊第一個IP即為客戶端真實IP。

但是如果客戶端在發(fā)起請求時，請求頭上帶上一個偽造的 X-Forwarded-For，由于后續(xù)每層代理只會追加而不會覆蓋，那么最終到達(dá)應(yīng)用服務(wù)器時，獲取的左邊第一個IP地址將會是客戶端偽造的 IP。

2、解決方案：配置 Nginx 反向代理

在直接對外的Nginx反向代理服務(wù)器上配置：

proxy_set_header X-Forwarded-For $remote_addr;

如果有多層Nginx代理，內(nèi)層的Nginx配置：

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

在最外層 Nginx（即直接對外提供服務(wù)的Nginx）使用 $remote_addrb代替上面的 $proxy_add_x_forwarded_for，可以防止偽造 X-Forwarded-For。$proxy_add_x_forwarded_forb會在原有 X-Forwarded-For 上追加IP，這就相當(dāng)于給了偽造 X-Forwarded-Fo r的機會。而 $remote_addr 是獲取的是直接 TCP 連接的客戶端 IP，這個是無法偽造的，即使客戶端偽造也會被覆蓋掉，而不是追加。

需要注意的是：如果有多層代理，只在直接對外訪問的 Nginx 上配置 X-Forwarded-For 為 $remote_addr，內(nèi)層的 Nginx 還是要配置為 $proxy_add_x_forwarded_for，不然內(nèi)層的 Nginx 又會覆蓋掉客戶端的真實IP。

完成以上配置后，獲取X-Forwarded-For最左邊的IP地址即為真實的客戶端地址，且客戶端也無法偽造。

到此這篇關(guān)于Java之獲取客戶端真實IP地址的實現(xiàn)的文章就介紹到這了,更多相關(guān)Java獲取客戶端真實IP地址內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評論