DDoS高防目前僅支持在Linux源站獲取真實IP�����。
業(yè)務接入DDoS高防后����,經過高防轉發(fā)的流量到服務端之后真實源IP將被隱藏����,在業(yè)務應用開發(fā)中,通常需要獲取客戶端真實的IP地址���。例如����,投票系統(tǒng)為了防止刷票�����,需要通過獲取客戶端真實IP地址,限制每個客戶端IP地址只能投票一次��。
本章節(jié)介紹如何通過安裝DDoS高防提供的TOA模塊獲取真實源IP�。
約束條件
源站服務器為以下Linux操作系統(tǒng)時,您通過安裝DDoS高防提供的TOA模塊獲取高防轉發(fā)后流量的真實源IP����。
CentOS6.5(對應Linux內核版本2.6.X)
CentOS7(對應Linux內核版本3.10.X)
toa_common(通用版本toa,一般針對Linux內核3.0及其以上的系統(tǒng)�,如Ubuntu 14/16 、Suse 11/42等)
toa_linux-2.6.32-220.23.1.el6.x86_64.rs(對應指定的版本:linux-2.6.32-220.23.1.el6.x86_64.rs)
須知:
如果源站服務器使用了其他操作系統(tǒng)(liruUbuntu����、SUSE等),請參考TOA插件配置定制編譯安裝TOA插件以獲取真實源IP����。
應用場景
安裝高防TOA插件是基于四層協(xié)議(TCP)獲取真實源IP的方法。如果您的業(yè)務部署場景為DDoS+WAF�����,請參考如何在啟用Web應用防火墻后獲取訪問者真實IP獲取七層協(xié)議(HTTP)真實源IP���。
原理說明
通常情況下�,經過高防的流量會修改真實源IP與高防IP(由真實源IP->高防IP轉換為回源IP->源站IP),用戶在自己的源站服務器上看到的流量源IP是回源IP����,如圖1所示。
圖1 原理說明
高防IP:華為云為用戶提供的IP��,用來代理源站IP��,確保源站的穩(wěn)定可靠���。
回源IP:用戶在自己的源站服務器上看到的所有流量的源IP就是回源IP�����。
源站IP:用戶的實際業(yè)務對外提供服務所使用的公網(wǎng)IP地址��。
操作步驟
請參考TOA模塊的開源代碼編譯安裝TOA模塊。
說明:
掛載內核模塊過程中�����,不影響服務器現(xiàn)有業(yè)務����,不用修改原有服務器進程即可獲取真實源IP�����。
驗證TOA內核模塊����。
可以參考TOA插件配置獲取真實源IP�����,或參考原理說明如下示例獲取源站IP�����。
>>print(newServerSocket.getpeername())
>>"('cip',cport)"
馬慧清
鄧海琳
閩公網(wǎng)安備 35010202001226號
