DDoS高防如何获取真实源IP_如何获取真实源IP

DDoS高防获取真实源IP的方法包括使用XForwardedFor、HTTP头部中的CFConnectingIP或TrueClientIP等字段。还可以通过配置路由器或防火墙日志来记录I（https://WWW.KENgniAO.cOM）P地址，或者使用第三方服务如MaxMind的GeoIP数据库进行查询。

配置端口接入的业务（非网站业务）

（图片来源网络，侵删）

1、安装TOA模块：在部分场景下，您可以通过安装TOA模块来获取真实来源IP，具体操作步骤可以参考相应的技术支持文档，这种方式适用于高防IPv4实例，但请注意，高防IPv6实例不支持获取真实来源IP。

2、使用TCP OPTION字段：业务四层端口接入后，可以在高防节点和源站进行的三次握手过程中，在最后一个ACK数据包的TCP Option中插入源端口号和源IP等信息，这些信息共占8个字节，其中Magic Number表示端口号，通过端口号可以定位到IP地址信息。

配置域名接入的业务（网站业务）

1、解析XForwardedFor字段：七层代理服务器（如DDoS高防）将用户访问请求转发到后端服务器时，真实的请求来源IP被记录在HTTP头部的XForwardedFor字段中，格式为“XForwardedFor: 用户真实IP, 高防代理IP”，如果请求经过了多个代理服务器，该字段会记录所有经过的代理服务器IP。

2、获取真实来源IP：常见的Web应用服务器都可以通过XForwardedFor字段的内容获取真实的请求来源IP，获取到XForwardedFor字段的内容后，以英文逗号（，）作为分隔符，截取其中的第一个IP地址，即可获取真实的请求来源IP。

（图片来源网络，侵删）

相关问题与解答

Q1: 如果使用了WAF或CDN等其他代理服务，如何确保获取到的是真实的源IP？

A1: 如果请求经过了WAF或CDN等其他代理服务，XForwardedFor字段会记录所有经过的代理服务器IP，格式为“XForwardedFor: 用户真实IP, 代理服务器1IP, 代理服务器2IP, 代理服务器3IP, ...”，您需要解析出第一个IP地址，即用户真实IP。

Q2: 如何避免DDoS高防的回源流量被误拦截？

A2: 为了避免DDoS高防的回源流量被误拦截，您需要在源站放行DDoS高防的回源IP段，具体的放行操作取决于您的网络架构，在网络架构为DDoS高防>阿里云ECS的情况下，应将DDoS高防的回源IP段加入到ECS安全组的白名单中。

（图片来源网络，侵删）