DDoS高防目前僅支持在Linux源站獲取真實(shí)IP�����。
業(yè)務(wù)接入DDoS高防后��,經(jīng)過高防轉(zhuǎn)發(fā)的流量到服務(wù)端之后真實(shí)源IP將被隱藏��,在業(yè)務(wù)應(yīng)用開發(fā)中��,通常需要獲取客戶端真實(shí)的IP地址�����。例如���,投票系統(tǒng)為了防止刷票,需要通過獲取客戶端真實(shí)IP地址���,限制每個(gè)客戶端IP地址只能投票一次��。
本章節(jié)介紹如何通過安裝DDoS高防提供的TOA模塊獲取真實(shí)源IP��。
約束條件
源站服務(wù)器為以下Linux操作系統(tǒng)時(shí)����,您通過安裝DDoS高防提供的TOA模塊獲取高防轉(zhuǎn)發(fā)后流量的真實(shí)源IP。
CentOS6.5(對(duì)應(yīng)Linux內(nèi)核版本2.6.X)
CentOS7(對(duì)應(yīng)Linux內(nèi)核版本3.10.X)
toa_common(通用版本toa�,一般針對(duì)Linux內(nèi)核3.0及其以上的系統(tǒng),如Ubuntu 14/16 ����、Suse 11/42等)
toa_linux-2.6.32-220.23.1.el6.x86_64.rs(對(duì)應(yīng)指定的版本:linux-2.6.32-220.23.1.el6.x86_64.rs)
須知:
如果源站服務(wù)器使用了其他操作系統(tǒng)(liruUbuntu、SUSE等)��,請(qǐng)參考TOA插件配置定制編譯安裝TOA插件以獲取真實(shí)源IP���。
應(yīng)用場(chǎng)景
安裝高防TOA插件是基于四層協(xié)議(TCP)獲取真實(shí)源IP的方法����。如果您的業(yè)務(wù)部署場(chǎng)景為DDoS+WAF���,請(qǐng)參考如何在啟用Web應(yīng)用防火墻后獲取訪問者真實(shí)IP獲取七層協(xié)議(HTTP)真實(shí)源IP��。
原理說明
通常情況下��,經(jīng)過高防的流量會(huì)修改真實(shí)源IP與高防IP(由真實(shí)源IP->高防IP轉(zhuǎn)換為回源IP->源站IP)�����,用戶在自己的源站服務(wù)器上看到的流量源IP是回源IP���,如圖1所示�����。
圖1 原理說明
高防IP:華為云為用戶提供的IP�,用來代理源站IP�,確保源站的穩(wěn)定可靠。
回源IP:用戶在自己的源站服務(wù)器上看到的所有流量的源IP就是回源IP�����。
源站IP:用戶的實(shí)際業(yè)務(wù)對(duì)外提供服務(wù)所使用的公網(wǎng)IP地址��。
操作步驟
請(qǐng)參考TOA模塊的開源代碼編譯安裝TOA模塊����。
說明:
掛載內(nèi)核模塊過程中,不影響服務(wù)器現(xiàn)有業(yè)務(wù)���,不用修改原有服務(wù)器進(jìn)程即可獲取真實(shí)源IP�。
驗(yàn)證TOA內(nèi)核模塊��。
可以參考TOA插件配置獲取真實(shí)源IP��,或參考原理說明如下示例獲取源站IP���。
>>print(newServerSocket.getpeername())
>>"('cip',cport)"
馬慧清
鄧海琳
閩公網(wǎng)安備 35010202001226號(hào)
