X-Forwarded-For

X-Forwarded-ForXFF)是用来识别通过HTTP代理负载均衡方式连接到Web伺服器的客户端最原始的IP地址HTTP头字段Squid缓存代理伺服器的开发人员最早引入了这一HTTP头字段,并由IETF在HTTP头字段标准化草案[1]中正式提出。

当今多数缓存伺服器的用户为大型ISP,为了通过缓存的方式来降低他们的外部带宽,他们常常通过鼓励或强制用户使用代理伺服器来接入互联网。有些情况下,这些代理伺服器是透明代理,用户甚至不知道自己正在使用代理上网。

如果没有XFF或者其他类似技术,所有通过代理伺服器的连接只会显示代理伺服器的IP地址,而非连接发起的原始IP地址,这样的代理伺服器实际上充当了匿名服务提供者的角色,如果连接的原始IP地址不可得,恶意访问的检测与预防的难度将大大增加。XFF的有效性依赖于代理伺服器提供的连接原始IP地址的真实性,因此,XFF的有效使用应该保证代理伺服器是可信的,比如可以通过建立可信伺服器白名单的方式。

格式

这一HTTP头一般格式如下:

X-Forwarded-For: client1, proxy1, proxy2

其中的值通过一个 逗号+空格 把多个IP地址区分开, 最左边(client1)是最原始客户端的IP地址, 代理伺服器每成功收到一个请求,就把请求来源IP地址添加到右边。 在上面这个例子中,这个请求成功通过了三台代理伺服器:proxy1、proxy2和proxy3。请求由client1发出,到达了proxy3(proxy3可能是请求的终点)。请求刚从client1中发出时,XFF是空的,请求被发往proxy1;通过proxy1的时候,client1被添加到XFF中,之后请求被发往proxy2;通过proxy2的时候,proxy1被添加到XFF中,之后请求被发往proxy3;通过proxy3时,proxy2被添加到XFF中,之后请求的的去向不明,如果proxy3不是请求终点,请求会被继续转发。

鉴于伪造这一字段非常容易,应该谨慎使用X-Forwarded-For字段。正常情况下XFF中最后一个IP地址是最后一个代理伺服器的IP地址, 这通常是一个比较可靠的资讯来源。

使用

代理转发反向代理中经常使用X-Forwarded-For字段。

代理转发

代理转发的场景中,你可以通过内部代理链以及记录在网关装置上的IP地址追踪到网络中客户端的IP地址。处于安全考虑,网关装置在把请求发送到外网(因特网)前,应该去除X-Forwarded-For字段里的所有资讯。这种情况下所有的资讯都表现为从内部网络公共IP生成,因此X-Forwarded-For字段中的资讯应该是可靠的。

反向代理

反向代理的情况下,你可以追踪到互联网上连接到你的伺服器的客户端的IP地址,即使你的网络伺服器和互联网在路由上是不可达的。这种情况下你不应该信任所有X-Forwarded-For资讯,其中有部分可能是伪造的。因此需要建立一个信任白名单来确保X-Forwarded-For中哪些IP地址对你是可信的。

最后一次代理伺服器的地址并没有记录在代理链中,因此只记录X-Forwarded-For字段是不够的。完整起见,Web伺服器应该记录请求来源的IP地址以及X-Forwarded-For字段资讯。

Web伺服器日志中的X-Forwarded-For

大多数Web伺服器可以通过配置在日志中记录X-Forwarded-For。Apache中可以非常简单地修改配置来实现,但MS IIS 6及以下的版本需要第三方软件支持来实现。[2]IIS7用户可以从IIS.net获得免费的IIS相关组件来实现。[3]

参见

引用

  1. ^ draft-petersson-forwarded-for-02 - Forwarded HTTP Extension. [2015-10-31]. (原始内容存档于2019-12-20). 
  2. ^ Winfrasoft X-Forwarded-For for IIS页面存档备份,存于互联网档案馆) 是一个通过添加XFF资讯替换C-IP资讯的IIS 插件。
  3. ^ blogs.iis.net. [2011-12-01]. (原始内容存档于2015-03-26). 

外部链接