IP伪造与防范

在阅读本文前，你们要有一个概念，因为TCP须要三次握手链接，在实现正常的TCP/IP 双方通讯状况下，是没法伪造来源 IP 的，也就是说，在 TCP/IP 协议中，能够伪造数据包来源 IP ，但这会让发送出去的数据包有去无回，没法实现正常的通讯。

一些DDoS 攻击，它们只须要不断发送数据包，而不须要正常通讯，它们就会采起这种“发射出去就无论”的行为来进行攻击。

那么在HTTP 中， “ 伪造来源 IP”, 又是如何形成的？如何防护之？
先搞明白后端应用IP获取来源
1.’REMOTE_ADDR’是远端IP，默认来自tcp链接客户端的Ip。能够说，它最准确，肯定是，只会获得直接连服务器客户端IP。若是对方经过代理服务器上网，就发现。获取到的是代理服务器IP了。
如：a→b(proxy)→c ,若是c 经过’REMOTE_ADDR’ ，只能获取到b的IP,获取不到a的IP了。
这个值是没法修改的。

2.’HTTP_X_FORWARDED_FOR’，’HTTP_CLIENT_IP’ 为了能在大型网络中，获取到最原始用户IP，或者代理IP地址。对HTTp协议进行扩展。定义了实体头。
HTTP_X_FORWARDED_FOR = clientip,proxy1,proxy2其中的值经过一个 逗号+空格 把多个IP地址区分开, 最左边(client1)是最原始客户端的IP地址, 代理服务器每成功收到一个请求，就把请求来源IP地址添加到右边。
HTTP_CLIENT_IP 在高级匿名代理中，这个表明了代理服务器IP。
其实这些变量，来自http请求的：X-Forwarded-For字段，以及client-ip字段。 正常代理服务器，固然会按rfc规范来传入这些值。
可是，攻击者也能够直接构造该x-forword-for值来“伪造源IP”,而且能够传入任意格式IP.
这样结果会带来2大问题，其一，若是你设置某个页面，作IP限制。 对方能够容易修改IP不断请求该页面。 其二，这类数据你若是直接使用，将带来SQL注册，跨站攻击等漏洞。

这类问题，其实很容易出现，好比不少时候利用这个骗取大量假装投票。那么该如何修复呢？
在代理转发及反向代理中常常使用X-Forwarded-For 字段。
X-Forwarded-For(XFF)的有效性依赖于代理服务器提供的链接原始IP地址的真实性，所以, XFF的有效使用应该保证代理服务器是可信的.
好比Nginx代理服务器，咱们能够在其转发/反向代理的时候主动配置X-Forwarded-For为正确的值。

location / {
    proxy_pass  ....;
    proxy_set_header X-Forwarded-For $remote_addr ;
}

$remote_addr 是 nginx 的内置变量，表明了客户端真实（网络传输层） IP 。经过此项措施，强行将 X-Forwarded-For 设置为客户端 ip, 使客户端没法经过本文所述方式“伪造 IP ”。

若是最前端（与用户直接通讯）代理服务器是与php fastcgi 直接通讯，则须要在其上设定：

location ~ \.php$ {
fastcgi_pass localhost:9000;
fastcgi_param  HTTP_X_FORWARD_FOR  $remote_addr;
}

可是更经常使用的配置以下：

proxy_set_header   Host             $host;
proxy_set_header   X-Real-IP        $remote_addr;
proxy_set_header   X-Forwarded-For  $proxy_add_x_forwarded_for;

后台代码，经过X-Real-IP头来获取客户真实IP

参考:
http://www.cnblogs.com/chengm...
http://zhangxugg-163-com.itey...
http://blog.csdn.net/lemon_tr...