DDoS高防目前僅支持在Linux源站獲取真實IP��。
業(yè)務(wù)接入DDoS高防后��,經(jīng)過高防轉(zhuǎn)發(fā)的流量到服務(wù)端之后真實源IP將被隱藏����,在業(yè)務(wù)應(yīng)用開發(fā)中,通常需要獲取客戶端真實的IP地址�。例如,投票系統(tǒng)為了防止刷票���,需要通過獲取客戶端真實IP地址��,限制每個客戶端IP地址只能投票一次�����。
本章節(jié)介紹如何通過安裝DDoS高防提供的TOA模塊獲取真實源IP�。
約束條件
源站服務(wù)器為以下Linux操作系統(tǒng)時,您通過安裝DDoS高防提供的TOA模塊獲取高防轉(zhuǎn)發(fā)后流量的真實源IP����。
CentOS6.5(對應(yīng)Linux內(nèi)核版本2.6.X)
CentOS7(對應(yīng)Linux內(nèi)核版本3.10.X)
toa_common(通用版本toa����,一般針對Linux內(nèi)核3.0及其以上的系統(tǒng),如Ubuntu 14/16 ����、Suse 11/42等)
toa_linux-2.6.32-220.23.1.el6.x86_64.rs(對應(yīng)指定的版本:linux-2.6.32-220.23.1.el6.x86_64.rs)
須知:
如果源站服務(wù)器使用了其他操作系統(tǒng)(liruUbuntu、SUSE等)�����,請參考TOA插件配置定制編譯安裝TOA插件以獲取真實源IP���。
應(yīng)用場景
安裝高防TOA插件是基于四層協(xié)議(TCP)獲取真實源IP的方法���。如果您的業(yè)務(wù)部署場景為DDoS+WAF,請參考如何在啟用Web應(yīng)用防火墻后獲取訪問者真實IP獲取七層協(xié)議(HTTP)真實源IP��。
原理說明
通常情況下����,經(jīng)過高防的流量會修改真實源IP與高防IP(由真實源IP->高防IP轉(zhuǎn)換為回源IP->源站IP)�����,用戶在自己的源站服務(wù)器上看到的流量源IP是回源IP����,如圖1所示�。
圖1 原理說明
高防IP:華為云為用戶提供的IP,用來代理源站IP��,確保源站的穩(wěn)定可靠����。
回源IP:用戶在自己的源站服務(wù)器上看到的所有流量的源IP就是回源IP。
源站IP:用戶的實際業(yè)務(wù)對外提供服務(wù)所使用的公網(wǎng)IP地址�����。
操作步驟
請參考TOA模塊的開源代碼編譯安裝TOA模塊���。
說明:
掛載內(nèi)核模塊過程中����,不影響服務(wù)器現(xiàn)有業(yè)務(wù),不用修改原有服務(wù)器進程即可獲取真實源IP��。
驗證TOA內(nèi)核模塊�。
可以參考TOA插件配置獲取真實源IP,或參考原理說明如下示例獲取源站IP��。
>>print(newServerSocket.getpeername())
>>"('cip',cport)"
馬慧清
鄧海琳
閩公網(wǎng)安備 35010202001226號
