为Web业务部署DDoS高防后,您可以参照本文介绍的方法,获取客户端真实IP。

四层接入(非网站防护)

按照以下不同的部署配置场景,选择适合您的获取客户端IP的方式。
注意
  • 2018年10月后创建的ECS实例,默认支持获取客户端真实IP,即在源站ECS服务器上看到的客户端IP就是真实访问源IP。
  • 2018年10月前创建的ECS实例,默认情况下无法获取客户端真实IP,您需提交工单申请开通相关配置。
  • 高防 > 阿里云ECS

    通过TCP端口转发流量的情况,您无需做任何改动。源站服务器上看到的客户端IP就是真实的客户端IP。因此,ECS的安全组配置对象也可以针对真实的客户端IP进行设置。

    说明 如果您使用UDP端口转发,源站ECS将无法获取真实客户端IP。
  • 高防 > SLB > ECS

    默认支持获取客户端真实IP。通过TCP端口转发流量的情况,您无需做任何改动。源站服务器上看到的客户端IP就是真实的客户端IP。

    说明
    • 负载均衡SLB访问控制设置白名单中必须添加高防回源IP段
    • 如果您使用UDP端口转发,源站ECS将无法获取真实客户端IP。
    • 如果您修改了ECS私网IP或进行了ECS过户,将导致无法获取真实源IP。遇到这种情况时,请您提交工单联系我们协助解决。
  • 高防 > 阿里云外服务器

    部分情况下支持获取客户端真实IP,具体方法请参见高防如何支持云外主机获取客户端IP

七层接入(网站防护)

当七层代理服务器(如DDoS高防)将用户的访问请求转发到后端服务器时,源站默认看到的是该七层代理服务器(如DDoS高防)的回源IP。而真实的客户端IP被七层代理服务器,以X-Forwarded-For: 用户真实IP, 高防代理IP的格式记录在HTTP头部的X-Forwarded-For字段中。

如果访问者客户端到后端服务器间经过一台以上代理服务器(如经过WAF、CDN等代理服务器),此时HTTP头部的X-Forwarded-For字段中将以X-Forwarded-For: 用户真实IP, 代理服务器1-IP, 代理服务器2-IP, 代理服务器3-IP, …的格式记录用户真实IP与所经过的代理服务器IP。

因此,常见的Web应用服务器都可以使用X-Forwarded-For的方式获取访问者客户端真实IP。

针对不同编程语言,常用的获取X-Forwarded-For内容的方式如下。
  • ASP
    Request.ServerVariables(“HTTP_X_FORWARDED_FOR”)
  • ASP.NET(C#)
    Request.ServerVariables[“HTTP_X_FORWARDED_FOR”]
  • PHP
    `$_SERVER[“HTTP_X_FORWARDED_FOR”]
  • JSP
    request.getHeader(“HTTP_X_FORWARDED_FOR”)

获取到HTTP头部的X-Forwarded-For字段的相关内容后,以英文逗号(,)作为分隔符,截取其中的第一个IP地址,即可获取客户端真实IP。

附录:常见Web服务器获取真实IP的方法

Nginx配置方案

  1. 确认已安装http_realip_module模块。

    为实现负载均衡,Nginx使用http_realip_module模块来获取真实IP。

    您可以通过执行# nginx -V | grep http_realip_module命令查看是否已安装该模块。如未安装,则需要重新编译Nginx服务并加装该模块。

    说明 一般情况下,如果您通过一键安装包安装Nginx服务器,默认不安装该模块。
    参考以下方法,安装http_realip_module模块。
    wget http://nginx.org/download/nginx-1.12.2.tar.gz
    tar zxvf nginx-1.12.2.tar.gz
    cd nginx-1.12.2
    ./configure --user=www --group=www --prefix=/alidata/server/nginx --with-http_stub_status_module --without-http-cache --with-http_ssl_module --with-http_realip_module
    make
    make install
    kill -USR2 `cat /alidata/server/nginx/logs/nginx.pid`
    kill -QUIT `cat /alidata/server/nginx/logs/ nginx.pid.oldbin`
  2. 修改Nginx服务配置文件。

    打开default.conf配置文件,在location / {}中添加以下内容:

    说明

    其中,ip_range1,2,...,x 指WAF的回源IP地址,需要分多条分别添加。

    set_real_ip_from ip_range1;
    set_real_ip_from ip_range2;
    ...
    set_real_ip_from ip_rangex;
    real_ip_header    X-Forwarded-For;
  3. 修改日志记录格式(log_format)。

    log_format一般在nginx.conf配置文件中的http配置部分。在log_format中,添加x-forwarded-for字段,替换默认的remote-address字段,即将log_format修改为以下内容:

    log_format  main  '$http_x_forwarded_for - $remote_user [$time_local] "$request" ' '$status $body_bytes_sent "$http_referer" ' '"$http_user_agent" ';
  4. 重启Nginx服务,使配置生效。

    完成以上操作后,执行nginx -s reload命令重启Nginx服务。配置生效后,Nignx服务器即可通过X-Forwarded-For的方式记录访问者真实IP。

IIS 6 配置方案

您可以通过安装F5XForwardedFor.dll插件,从IIS 6服务器记录的访问日志中获取访问者真实IP地址。

  1. 根据您服务器的操作系统版本将x86\Release或者x64\Release目录中的F5XForwardedFor.dll文件拷贝至指定目录(例如,C:\ISAPIFilters),同时确保IIS进程对该目录有读取权限。
  2. 打开IIS管理器,找到当前开启的网站,在该网站上右键选择属性,打开属性页。
  3. 在属性页切换至ISAPI筛选器,单击添加
  4. 在添加窗口下,配置以下参数,并单击确定
    • 筛选器名称:F5XForwardedFor
    • 可执行文件:F5XForwardedFor.dll的完整路径,例如C:\ISAPIFilters\F5XForwardedFor.dll
  5. 重启IIS服务器,等待配置生效。

IIS 7 配置方案

您可以通过安装F5XForwardedFor模块,获取访问者真实IP地址。

  1. 根据服务器的操作系统版本将x86\Release或者x64\Release目录中的F5XFFHttpModule.dllF5XFFHttpModule.ini文件拷贝到指定目录(例如,C:\x_forwarded_for\x86C:\x_forwarded_for\x64),并确保IIS进程对该目录有读取权限。
  2. IIS服务器选项中,双击打开模块打开模块配置
  3. 单击配置本机模块配置本机模块
  4. 配置本机模块对话框中,单击注册,分别注册已下载的DLL文件。 注册模块
    • 注册模块x_forwarded_for_x86
      • 名称:x_forwarded_for_x86
      • 路径C:\x_forwarded_for\x86\F5XFFHttpModule.dll
    • 注册模块x_forwarded_for_x64
      • 名称:x_forwarded_for_x64
      • 路径C:\x_forwarded_for\x64\F5XFFHttpModule.dll
  5. 注册完成后,勾选新注册的模块(x_forwarded_for_x86 和 x_forwarded_for_x64)并单击确定启用模块
  6. API 和CGI限制中,分别添加已注册的DLL,并将其限制改为允许启用功能
  7. 重启IIS服务器,等待配置生效。

Apache配置方案

  • Windows操作系统
    在Apache 2.4及以上版本的安装包中已自带remoteip_module模块文件(mod_remoteip.so),您可以通过该模块获取访问者真实IP地址。
    1. 在Apache的extra配置文件夹(conf/extra/)中,新建httpd-remoteip.conf配置文件。
      说明 为减少直接修改httpd.conf配置文件的次数,避免因操作失误而导致的业务异常,通过引入remoteip.conf配置文件的方式加载相关配置。
    2. 在httpd-remoteip.conf配置文件中,添加以下访问者真实IP的获取规则。
      #加载mod_remoteip.so模块
      LoadModule remoteip_module modules/mod_remoteip.so
      #设置RemoteIPHeader头部
      RemoteIPHeader X-Forwarded-For
      #设置回源IP段
      RemoteIPInternalProxy 112.124.159.0/24 118.178.15.0/24 120.27.173.0/24 203.107.20.0/24 203.107.21.0/24 203.107.22.0/24 203.107.23.0/24 47.97.128.0/24 47.97.129.0/24 47.97.130.0/24 47.97.131.0/24
    3. 修改conf/httpd.conf配置文件,插入httpd-remoteip.conf配置文件。
      Include conf/extra/httpd-remoteip.conf
    4. 在httpd.conf配置文件中,修改日志格式。
      LogFormat "%a %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
      LogFormat "%a %l %u %t \"%r\" %>s %b" common
    5. 重启Apache服务,使配置生效。
  • Linux操作系统

    您可以参考上述Windows操作系统服务器的配置方式添加Apache 2.4及以上版本自带的remoteip_module模块(mod_remoteip.so)并配置日志格式,获取访问者真实IP地址。

    1. 执行以下命令,安装mod_rpaf模块。
      wget https://github.com/gnif/mod_rpaf/archive/v0.6.0.tar.gz
      tar zxvf mod_rpaf-0.6.tar.gz
      cd mod_rpaf-0.6
      /alidata/server/httpd/bin/apxs -i -c -n mod_rpaf-2.0.so mod_rpaf-2.0.c
    2. 修改Apache配置文件/alidata/server/httpd/conf/httpd.conf,在文件最后添加以下内容:
      说明 其中,RPAFproxy_ips ip地址不是代理服务器提供的公网IP。具体IP可参考Apache的日志,通常会有两个IP地址。
      LoadModule rpaf_module modules/mod_rpaf-2.0.so
      RPAFenable On
      RPAFsethostname On
      RPAFproxy_ips ip地址
      RPAFheader X-Forwarded-For
    3. 添加完成后,执行以下命令重启Apache服务,使配置生效。
      /alidata/server/httpd/bin/apachectl restart

    mod_rpaf模块配置示例

Tomcat配置方案

通过启用Tomcat的X-Forwarded-For功能,获取访问者真实IP地址。

打开tomcat/conf/server.xml配置文件,将AccessLogValve日志记录功能部分修改为以下内容:
<Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"
prefix="localhost_access_log." suffix=".txt"
pattern="%{X-FORWARDED-FOR}i %l %u %t %r %s %b %D %q %{User-Agent}i %T" resolveHosts="false"/>