HTTP 请求头中的 Remote
作者:mmseoamin日期:2023-12-21

一、$remote_addr

表示发出请求的客户端主机的 IP 地址,但它的值不是由客户端提供的,而是Nginx与客户端进行TCP连接过程中,获得的客户端的真实地址 IP 地址,REMOTE_ADDR 无法伪造,因为建立 TCP 连接需要三次握手,如果伪造了源 IP,无法建立 TCP 连接,更不会有后面的 HTTP 请求。

当你的浏览器访问某个网站时:

  • 假设中间没有任何代理,那么网站的Web服务器(Nginx,Apache等)获取的remote_addr为你的机器IP。
  • 如果你用了某个代理,那么你的浏览器会先访问这个代理,然后再由这个代理转发到网站,这样Web服务器获取的remote_addr为代理机器的IP。

    二、$X-Real-IP

    X-Real-IP是一个自定义Header。X-Real-Ip 通常被 HTTP 代理用来表示与它产生 TCP 连接的设备 IP,这个设备可能是其他代理,也可能是真正的请求端。需要注意的是,X-Real-Ip 目前并不属于任何标准,代理和 Web 应用之间可以约定用任何自定义头来传递这个信息。

    三、$X-Forwarded-For

    X-Forwarded-For(XFF)是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。

    这一HTTP头一般格式如下:

    X-Forwarded-For: client1, proxy1, proxy2, proxy3
    

    其中的值通过一个 逗号+空格 把多个IP地址区分开, 最左边(client1)是最原始客户端的IP地址, 代理服务器每成功收到一个请求,就把请求来源IP地址添加到右边。

    在上面这个例子中,这个请求成功通过了三台代理服务器:proxy1, proxy2 及 proxy3。

    请求由client1发出,到达了proxy3(proxy3可能是请求的终点)。

    请求刚从client1中发出时,XFF是空的,请求被发往proxy1;

    通过proxy1的时候,client1被添加到XFF中,之后请求被发往proxy2;

    通过proxy2的时候,proxy1被添加到XFF中,之后请求被发往proxy3;

    通过proxy3时,proxy2被添加到XFF中,之后请求的的去向不明,如果proxy3不是请求终点,请求会被继续转发。

    最后一次代理服务器的地址并没有记录在X-Forwarded-For中,在下文会进行此说明的验证。

    鉴于伪造这一字段非常容易,应该谨慎使用X-Forwarded-For字段。正常情况下XFF中最后一个IP地址是一个比较可靠的信息来源。

    代理转发反向代理中经常使用X-Forwarded-For 字段:

    • 代理转发

      代理转发的场景中,你可以通过内部代理链以及记录在网关设备上的IP地址追踪到网络中客户端的IP地址。处于安全考虑,网关设备在把请求发送到外网(因特网)前,应该去除 X-Forwarded-For 字段里的所有信息。这种情况下所有的信息都是在你的内部网络内生成,因此X-Forwarded-For字段中的信息应该是可靠的。

      • 反向代理

        反向代理的情况下,你可以追踪到互联网上连接到你的服务器的客户端的IP地址, 即使你的网络服务器和互联网在路由上是不可达的。这种情况下你不应该信任所有X-Forwarded-For信息,其中有部分可能是伪造的。因此需要建立一个信任白名单来确保X-Forwarded-For中哪些IP地址对你是可信的

        最后一次代理服务器的地址并没有记录在代理链中,因此只记录 X-Forwarded-For 字段是不够的完整起见,Web服务器应该记录请求来源的IP地址(remote_addr)以及X-Forwarded-For 字段信息

        四、示例及分析

        4.1 示例环境说明

        以nginx进行反向代理示例:

        服务IP角色
        192.168. 1.82客户端
        192.168. 0.31nginx proxy1
        192.168. 0.41nginx proxy2
        192.168. 0.42nginx proxy3
        192.168. 0.36nginx 后台服务

        4.2 示例一

        4.2.1 nginx proxy1 配置

        location /proxy {
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_pass  http://192.168.0.41:3333;
        }
        

        4.2.2 nginx proxy2 配置

        location /proxy {
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_pass  http://192.168.0.42:3333;
        }
        

        4.2.3 nginx proxy3 配置

        location /proxy {
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_pass  http://192.168.0.36:3333;
        }
        

        4.2.4 nginx 后台服务配置

        location /proxy {
            default_type text/html;
            charset gbk;
            return 200 "remote_addr:$remote_addr \r\n ,http_x_real_ip:$http_x_real_ip \r\n ,http_x_forwarded_for:$http_x_forwarded_for";
        }
        

        4.2.5 客户端访问服务

        在客户端192.168.1.82发起服务请求:http://192.168.0.31:3333/proxy/,输出结果为:

        remote_addr:192.168.0.42 ,http_x_real_ip:192.168.1.82 ,http_x_forwarded_for:192.168.1.82, 192.168.0.31, 192.168.0.41
        

        4.2.6 分析

        • 在离用户最近的反向代理nginx proxy1,通过proxy_set_header X-Real-IP $remote_addr把真实客户端IP写入到请求头X-Real-IP,在nginx 后台服务输出$http_x_real_ip获取到的真实客户端IP;而nginx 后台服务的$remote_addr输出为最后一个反向代理的IP;

        • 最后一次代理服务器的地址并没有记录在$X-Forwarded-For中,$X-Forwarded-For加上$remote_addr才能构建出完整的代理链路。

        • 当有多个代理时,可以在第一个反向代理上配置proxy_set_header X-Real-IP $remote_addr获取真实客户端IP;

          4.3 示例二

          4.3.1 伪造x-forwarded-for

          利用PostMan伪造x-forwarded-for发起请求:

          HTTP 请求头中的 Remote,在这里插入图片描述,第1张

          输出结果为:

          remote_addr:192.168.0.42
          ,http_x_real_ip:192.168.1.82
          ,http_x_forwarded_for:127.0.0.1, 192.168.0.1, 192.168.1.82, 192.168.0.31, 192.168.0.41
          

          4.3.2 改造nginx proxy1 配置

          location /proxy {
              proxy_set_header X-Real-IP $remote_addr;
              proxy_set_header X-Forwarded-For $remote_addr;
              proxy_pass  http://192.168.0.41:3333;
          }
          

          在第一个代理服务器上(nginx proxy1)用$remote_addr来覆盖X-Forwarded-For,用真实客户端IP过滤掉或覆盖伪造的IP。

          4.3.3 客户端访问服务

          再次利用PostMan伪造x-forwarded-for发起请求:

          HTTP 请求头中的 Remote,在这里插入图片描述,第2张

          输出结果为:

          remote_addr:192.168.0.42
          ,http_x_real_ip:192.168.1.82
          ,http_x_forwarded_for:192.168.1.82, 192.168.0.31, 192.168.0.41
          

          4.3.4 分析

          • 当有多个代理时,可以在第一个反向代理上配置proxy_set_header X-Forwarded-For $remote_addr,用真实客户端IP过滤掉或覆盖伪造的客户端IP。
          • 此时$X-Forwarded-For获取的第一个IP为真实客户端IP。

            五、结论

            当存在一个或多个代理时:

            • 可以在第一个反向代理上配置proxy_set_header X-Real-IP $remote_addr获取真实客户端IP;
            • 可以在第一个反向代理上配置proxy_set_header X-Forwarded-For $remote_addr,用真实客户端IP过滤掉或覆盖伪造的客户端IP,此时$X-Forwarded-For获取的第一个IP为真实客户端IP。
            • 最后一个代理服务器的地址并没有记录在$X-Forwarded-For中,$X-Forwarded-For加上$remote_addr才能构建出完整的代理链路。