配置端口接入的业务(非网站业务)
1、安装TOA模块:在部分场景下,您可以通过安装TOA模块来获取真实来源IP,具体操作步骤可以参考相应的技术支持文档,这种方式适用于高防IPv4实例,但请注意,高防IPv6实例不支持获取真实来源IP。
2、使用TCP OPTION字段:业务四层端口接入后,可以在高防节点和源站进行的三次握手过程中,在最后一个ACK数据包的TCP Option中插入源端口号和源IP等信息,这些信息共占8个字节,其中Magic Number表示端口号,通过端口号可以定位到IP地址信息。
配置域名接入的业务(网站业务)
1、解析XForwardedFor字段:七层代理服务器(如DDoS高防)将用户访问请求转发到后端服务器时,真实的请求来源IP被记录在HTTP头部的XForwardedFor字段中,格式为“XForwardedFor: 用户真实IP, 高防代理IP”,如果请求经过了多个代理服务器,该字段会记录所有经过的代理服务器IP。
2、获取真实来源IP:常见的Web应用服务器都可以通过XForwardedFor字段的内容获取真实的请求来源IP,获取到XForwardedFor字段的内容后,以英文逗号(,)作为分隔符,截取其中的第一个IP地址,即可获取真实的请求来源IP。
相关问题与解答
Q1: 如果使用了WAF或CDN等其他代理服务,如何确保获取到的是真实的源IP?
A1: 如果请求经过了WAF或CDN等其他代理服务,XForwardedFor字段会记录所有经过的代理服务器IP,格式为“XForwardedFor: 用户真实IP, 代理服务器1IP, 代理服务器2IP, 代理服务器3IP, ...”,您需要解析出第一个IP地址,即用户真实IP。
Q2: 如何避免DDoS高防的回源流量被误拦截?
A2: 为了避免DDoS高防的回源流量被误拦截,您需要在源站放行DDoS高防的回源IP段,具体的放行操作取决于您的网络架构,在网络架构为DDoS高防>阿里云ECS的情况下,应将DDoS高防的回源IP段加入到ECS安全组的白名单中。
原创文章,作者:K-seo,如若转载,请注明出处:https://www.kdun.cn/ask/561502.html
微信扫一扫 