DDoS高防如何獲取真實源IP_如何獲取真實源IP?
配置端口接入的業務(非網站業務)
1、安裝TOA模塊:在部分場景下,您可以通過安裝TOA模塊來獲取真實來源IP,具體操作步驟可以參考相應的技術支持文檔,這種方式適用于高防IPv4實例,但請注意,高防IPv6實例不支持獲取真實來源IP。
2、使用TCP OPTION字段:業務四層端口接入后,可以在高防節點和源站進行的三次握手過程中,在最后一個ACK數據包的TCP Option中插入源端口號和源IP等信息,這些信息共占8個字節,其中Magic Number表示端口號,通過端口號可以定位到IP地址信息。
配置域名接入的業務(網站業務)
1、解析XForwardedFor字段:七層代理服務器(如DDoS高防)將用戶訪問請求轉發到后端服務器時,真實的請求來源IP被記錄在HTTP頭部的XForwardedFor字段中,格式為“XForwardedFor: 用戶真實IP, 高防代理IP”,如果請求經過了多個代理服務器,該字段會記錄所有經過的代理服務器IP。
2、獲取真實來源IP:常見的Web應用服務器都可以通過XForwardedFor字段的內容獲取真實的請求來源IP,獲取到XForwardedFor字段的內容后,以英文逗號(,)作為分隔符,截取其中的第一個IP地址,即可獲取真實的請求來源IP。
相關問題與解答
Q1: 如果使用了WAF或CDN等其他代理服務,如何確保獲取到的是真實的源IP?
A1: 如果請求經過了WAF或CDN等其他代理服務,XForwardedFor字段會記錄所有經過的代理服務器IP,格式為“XForwardedFor: 用戶真實IP, 代理服務器1IP, 代理服務器2IP, 代理服務器3IP, ...”,您需要解析出第一個IP地址,即用戶真實IP。
Q2: 如何避免DDoS高防的回源流量被誤攔截?
A2: 為了避免DDoS高防的回源流量被誤攔截,您需要在源站放行DDoS高防的回源IP段,具體的放行操作取決于您的網絡架構,在網絡架構為DDoS高防>阿里云ECS的情況下,應將DDoS高防的回源IP段加入到ECS安全組的白名單中。
