利用X-Forwarded-For伪造客户端IP漏洞成因及防范

问题背景

在Web应用开发中，常常会须要获取客户端IP地址。一个典型的例子就是投票系统，为了防止刷票，须要限制每一个IP地址只能投票一次。

如何获取客户端IP

在Java中，获取客户端IP最直接的方式就是使用request.getRemoteAddr()。这种方式能获取到链接服务器的客户端IP，在中间没有代理的状况下，的确是最简单有效的方式。可是目前互联网Web应用不多会将应用服务器直接对外提供服务，通常都会有一层Nginx作反向代理和负载均衡，有的甚至可能有多层代理。在有反向代理的状况下，直接使用request.getRemoteAddr()获取到的IP地址是Nginx所在服务器的IP地址，而不是客户端的IP。

HTTP协议是基于TCP协议的，因为request.getRemoteAddr()默认获取到的是TCP层直接链接的客户端的IP，对于Web应用服务器来讲直接链接它的客户端其实是Nginx，也就是TCP层是拿不到真实客户端的IP。

为了解决上面的问题，不少HTTP代理会在HTTP协议头中添加X-Forwarded-For头，用来追踪请求的来源。X-Forwarded-For的格式以下：

X-Forwarded-For: client1, proxy1, proxy2

X-Forwarded-For包含多个IP地址，每一个值经过逗号+空格分开，最左边（client1）是最原始客户端的IP地址，中间若是有多层代理，每一层代理会将链接它的客户端IP追加在X-Forwarded-For右边。

下面就是一种经常使用的获取客户端真实IP的方法，首先从HTTP头中获取X-Forwarded-For，若是X-Forwarded-For头存在就按逗号分隔取最左边第一个IP地址，不存在直接经过request.getRemoteAddr()获取IP地址：

public String getClientIp(HttpServletRequest request) {
    String xff = request.getHeader("X-Forwarded-For");
    if (xff == null) {
        return request.getRemoteAddr();
    } else {
        return xff.contains(",") ? xff.split(",")[0] : xff;
    }
}

另外，要让Nginx支持X-Forwarded-For头，须要配置：

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

$proxy_add_x_forwarded_for会将和Nginx直接链接的客户端IP追加在请求原有X-Forwarded-For值的右边。

伪造X-Forwarded-For

通常的客户端（例如浏览器）发送HTTP请求是没有X-Forwarded-For头的，当请求到达第一个代理服务器时，代理服务器会加上X-Forwarded-For请求头，并将值设为客户端的IP地址（也就是最左边第一个值），后面若是还有多个代理，会依次将IP追加到X-Forwarded-For头最右边，最终请求到达Web应用服务器，应用经过获取X-Forwarded-For头取左边第一个IP即为客户端真实IP。

可是若是客户端在发起请求时，请求头上带上一个伪造的X-Forwarded-For，因为后续每层代理只会追加而不会覆盖，那么最终到达应用服务器时，获取的左边第一个IP地址将会是客户端伪造的IP。也就是上面的Java代码中getClientIp()方法获取的IP地址颇有多是伪造的IP地址，若是一个投票系统用这种方式作的IP限制，那么很容易会被刷票。

伪造X-Forwarded-For头的方法很简单，例如Postman就能够轻松作到：

固然你也能够写一段刷票程序或者脚本，每次请求时添加X-Forwarded-For头并随机生成一个IP来实现刷票的目的。

如何防范

方法一

在直接对外的Nginx反向代理服务器上配置：

proxy_set_header X-Forwarded-For $remote_addr;

若是有多层Nginx代理，内层的Nginx配置：

proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;

在最外层Nginx（即直接对外提供服务的Nginx）使用$remote_addr代替上面的$proxy_add_x_forwarded_for，能够防止伪造X-Forwarded-For。$proxy_add_x_forwarded_for会在原有X-Forwarded-For上追加IP，这就至关于给了伪造X-Forwarded-For的机会。而$remote_addr是获取的是直接TCP链接的客户端IP，这个是没法伪造的，即便客户端伪造也会被覆盖掉，而不是追加。

须要注意的是，若是有多层代理，只在直接对外访问的Nginx上配置X-Forwarded-For为$remote_addr，内层的Nginx仍是要配置为$proxy_add_x_forwarded_for，否则内层的Nginx又会覆盖掉客户端的真实IP。

完成以上配置后，业务代码中再经过上面的getClientIp()方法，获取X-Forwarded-For最左边的IP地址即为真实的客户端地址，且客户端也没法伪造。

方法二

Tomcat服务器解决方案：org.apache.catalina.valves.RemoteIpValve

RemoteIpValve能够替换Servlet API中request.getRemoteAddr()方法的实现，让request.getRemoteAddr()方法从X-Forwarded-For头中获取IP地址。也就是在业务代码中不须要再本身实现相似于上面的getClientIp()方法来从X-Forwarded-For中获取IP，而是直接使用request.getRemoteAddr()方法。想要使用RemoteIpValve，仅须要在Tomcat配置文件server.xml中Host元素内末尾加上：

<Valve className="org.apache.catalina.valves.RemoteIpValve" ... />

RemoteIpValve有一套防止伪造X-Forwarded-For的机制，实现思路：遍历X-Forwarded-For头中的IP地址，和方法一不一样的是，不是直接取左边第一个IP，而是从右向左遍历。遍历时能够根据正则表达式剔除掉内网IP和已知的代理服务器自己的IP（例如192.168开头的IP），那么拿到的第一个非剔除IP就会是一个可信任的客户端IP。这种方法的巧妙之处在于，即便伪造X-Forwarded-For，那么请求到达应用服务器时，伪造的IP也会在X-Forwarded-For值的左边，真实的IP为放到右边的某个位置，从右向左遍历就能够避免取到这些伪造的IP地址。

方法三

Node.js 框架 Egg.js 的解决方案：https://eggjs.org/zh-cn/tutor...

Egg.js 可经过设置maxProxyCount指定代理层数，而后取X-Forwarded-For头中从右往左数第maxProxyCount个IP即为真实 IP 地址，若是有伪造 IP 地址了必然在最左边，就会被忽略掉。

关注我