可以记录IP的网络协议笔记

转载 于 2025-07-24 15:00:07 发布 · 15 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://www.cnblogs.com/mysticbinary/p/19002611
文章标签:

#it

目录
  • 背景:
  • 解决方案1——HTTP头记录
  • 解决方案2——proxy protocol协议
  • 解决方案3——加密 TCP Option
  • 总结

背景:

  • 需求1——审计日志需要真实IP:
    安全审计要求记录访问服务的最终用户或设备的真实来源IP地址。这对于追踪恶意活动、排查问题、满足合规性要求至关重要。

  • 需求2——风控需要真正IP:
    一些活动、风险管理都是需要对客户的真实IP进行筛选甄别。

解决方案1——HTTP头记录

为了实现上述目标,有一些现成的解决办法,比如在HTTP协议中加入一些参数,这些参数可以记录IP信息,比如:
/* by 01130.hk - online tools website : 01130.hk/zh/navtiveunicode.html */ X-Forwarded-For标头,记录相关源地址信息,
/* by 01130.hk - online tools website : 01130.hk/zh/navtiveunicode.html */ X-Original-To标头,用来携带目的地址的信息。

缺点:

  1. 不安全,容易被篡改;

    • 头部可被篡改:如果请求在到达可信代理前经过不可信节点,攻击者可伪造 X-Forwarded-For: 1.1.1.1 ;

  2. 遇到代理服务器,相关标头信息容易被篡改、覆盖。

    • 代理链中若有一个设备未正确传递该头部,信息即丢失;

为什么服务器无法发现真实IP?
以企业WEB服务拓扑图来分析:
image

  1. 代理行为导致, 如果代理服务器使用覆盖模式(如Nginx),则后台服务器就无法获取到Client的真实IP。

  2. 代理/负载均衡的普遍性: 现代Web架构中,客户端(浏览器/App)通常不直接连接最终的应用服务器(如Tomcat, Nginx, Apache)。中间会经过反向代理/负载均衡器 (如Nginx, HAProxy, F5): 负责SSL终止、负载分发、安全防护等。

    • Web应用防火墙 (WAF): 提供额外的安全防护层;

    • CDN节点: 缓存内容,加速访问;

    • SSL/TLS终止: HTTPS的核心是端到端加密。为了检查内容(如WAF扫描攻击)、进行负载均衡或优化性能,SSL/TLS解密通常在代理/负载均衡器/WAF/CDN处终止。代理服务器建立与客户端的加密连接,然后建立一个(通常是未加密的或新加密的)连接到后端应用服务器。

结果: 当请求到达最终的应用服务器时,服务器看到的网络连接来源IP地址是最后一个代理设备(如Nginx, F5, WAF)的IP地址,而不是原始客户端的真实IP地址。

其它知识:
篡改XFF不会影响实际的网络传输,网络传输由路由提供服务,路由决策仅依赖网络层(IP头),XFF作为应用层数据,对TCP/IP协议栈透明。

解决方案2——proxy protocol协议

Proxy Protocol的出现解决了上述代理丢失IP问题,它允许代理服务器在转发连接之前,将原始客户端连接的相关信息封装在特殊的协议头部中传递给目标服务器。 目标服务器可以解析该头部信息,获取客户端的真实IP和端口等连接信息。

Proxy Protocol的工作原理:
Proxy Protocol使用一种简单而有效的协议头部格式来传递连接信息。协议头部被插入到原始客户端数据之前,以确保目标服务器能够正确解析它。

流程图:
image

image

优势:在传输层建立连接前明文传递IP

  • 需双方支持,双方选择Proxy Protocol,表示将客户端信息插入到TCP Payload字段中携带至服务端;
  • 仅当服务端支持解析TCP Payload字段时,Proxy Protocol参数设置才有效;

风险:未加密,内网传输可接受;

解决方案3——加密 TCP Option

可以简单理解为加密版proxy protocol协议,但需要在服务器端、边缘代理端都进行改造,主要是在两端加入相关功能模块和设置一个对称密钥。

流程图:
image

image

总结

一般Web系统用 Proxy Protocol严格配置的XFF

# Nginx代理强制覆盖XFF (安全配置)
proxy_set_header X-Forwarded-For $remote_addr;  # 覆盖而非追加

金融/政务系统选择 TCP Option加密方案

cmdos
关注
<计算机网络>笔记1: TCP/IP五层协议
小电车没有名字
09-01 4510
因特网: 世界上最大的互联网络(用户数以亿计,设备数以百万计)ARPANET: 阿帕网, 1969年美国防部创建的第一个分组交换网1983: TCP/IP协议成为ARPANET的标准协议, 所有用TCP/IP的计算机可以互联, 1983称为因特网诞生时间internet: 互联网, 通用名词, 泛指多个计算机网络连成网络Internet: 因特网, 专用名词, 全球最大,开放的, 众多网络互连成的特定计算机网络, 采用TCP/IP协议族作为通信规则, 前身是美国ARPANET。
【JavaEE】IP协议 网络层协议
2302_79806056的博客
09-15 1913
简介IP协议是一种无连接、尽最大努力交付的协议,它负责将数据从源主机传输到目的主机。IP协议定义了数据包的格式,并规定了如何将数据包发送到目的地。IP协议有两个主要版本:IPv4和IPv6,两者都在当今的网络环境中发挥着重要作用。IPv4IPv4是最早的IP协议版本,它使用32位地址,可以提供大约43亿个唯一的地址。尽管IPv4在互联网发展的早期阶段表现良好,但随着互联网用户的快速增长,IPv4地址资源逐渐耗尽。IPv6。
【网络】网络层协议-IP协议
℉f的博客
08-24 4982
网络层&IP协议基本概念、IP协议格式详解、网段划分相关概念、IP地址数量限制、私有IP和公网IP以及路由相关知识。
网络层协议 ——— IP协议
热门推荐
2021dragon的博客
07-17 5万+
IP协议全称为“网际互连协议(Internet Protocol)”,IP协议是TCP/IP体系中的网络层协议。 双方在进行网络通信时,发送的数据并不是直接从一方的传输层直接发送到了另一方的传输层,而是需要传输层将数据继续向下进行交付,在网络层和链路层经过数据封装后再通过网络发送到对方主机,对方主机收到数据后也同样需要在链路层和网络层进行数据解包,此时对方的传输层才拿到了发送过来的数据,然后再继续将该数据向上进行交付。............
TCP/IP网络协议详解
Biao
03-30 1万+
一、 计算机网络体系结构分层 一图看完本文 计算机网络体系结构分层 计算机网络体系结构分层 不难看出,TCP/IP 与 OSI 在分层模块上稍有区别。OSI 参考模型注重“通信协议必要的功能是什么”,而 TCP/IP 则更强调“在计算机上实现协议应该开发哪种程序”。 二、 TCP/IP 基础 2.1 TCP/IP 的具体含义 从字面意义上讲,有人可能会认为 TCP/IP 是指 TCP 和 IP 两种协议。实际生活当中有时也确实就是指这两种协议。然而在很多情况下,它只是利用 I.
TCP/IP协议学习总结
zhanglu0302的博客
11-15 3万+
TCP/IP协议学习总结网络基础知识连接人与人的计算机网络协议随处可见的协议协议的必要性计算机中的协议分组交换协议协议分层与OSI参考模型协议的分层OSI参考模型OSI协议与OSI参考模型OSI参考模型中各个分层的作用7层通信 网络基础知识 下面总结了深入理解TCP/IP所必备的基础知识,其中包括计算机与网络发展的历史及其标准化过程、OSI参考模型、网络概念的本质、网络构建的设备等。 连接人与人的计算机网络 计算机网络最初的目的是连接一个个独立的计算机,使它们组成一个更强有力的计算环境。简而言之,就是为了
【计算机网络】网络层——IP协议
一直往前走。
02-28 2433
本文是对 TCP/IP 协议栈中网络层的重要协议 IP协议 的基本介绍。
Linux 网络编程学习笔记——一、TCP/IP 协议族
BeZer0的学习笔记
03-20 1万+
数据链路层实现了网卡接口的网络驱动程序,以处理数据在物理媒介(以太网、令牌环等)上的传输,不同的物理网络具有不同的电气特性,网络驱动程序隐藏了这些细节,为上层协议提供一个统一的接口。最常用的协议是 ARP(Address Resolve Protocol,地址解析协议)和 RARP(Reverse Address Resolve Protocol),它们实现了 IP 地址和机器物理地址(通常是 MAC 地址)之间的相互转换。
计算机网络复习笔记一:IP协议
qianbao55的博客
04-10 2259
计算机网络复习笔记一:IP协议 文章目录计算机网络复习笔记一:IP协议IP协议特点:IPV4头部结构:IP路由 IP协议特点: 无状态、无连接、不可靠; 特点 特点 优点 缺点 无状态 双方不同步传输数据的状态信息(发、传、收都是独立的) 简单、高效,节省内存 容易出现乱序与重复,需要上层协议(比如TCP)来处理这些乱序、重复的报文段 无连接 双方不保持长期的连接状态; 同上 需要明确对方ip地址,确保数据发送准确 不可靠 IP协议不能保证IP数据报能准确到达接收端 同上 数据报容易
Linux 网络编程学习笔记——二、IP 协议详解
BeZer0的学习笔记
03-21 1万+
由于网络是实时变化的,因此路由表必须能够实时更新。前文中提到,不是发送给本机的 IP 数据报将由数据报转发子模块来处理,这称之为 IP 转发,路由器都能执行数据报转发操作,而主机一般只发送或接受数据报,这是因为 /proc/sys/net/ipv4/ip_forward 内核参数默认被设置为 0 ,将其修改为 1 可使主机具备数据转发功能。IP 模块实现数据报路由的核心数据结构是路由表,此表按照数据报的目标 IP 地址分类,同一类型的 IP 数据报将被发往相同的下一跳路由器。
TCP/IP协议栈笔记
10-23
交换机的MAC地址表会记录源MAC地址与接收接口的对应关系,利用这一机制可以实现高效率的网络数据传输。交换机通过学习每个接口收到的数据包,不断更新其MAC地址表,提高数据转发的准确性和速度。当目的MAC地址不存在...
计算机网络笔记(二十)——4.2网际协议IP
2301_79318558的博客
05-10 1235
特征 | IPv4 | IPv6 || 地址长度 | 32位 | 128位 || 地址表示 | 点分十进制 | 冒分十六进制|| 示例 | 192.168.1.1 | 2001:db8::1 || 是否支持自动配置 | 需要DHCP | 原生支持 |ARP 通过广播查询和单播响应的方式解决 IP 到 MAC 的映射问题,是局域网通信的基础。理解 ARP 后,学习 ICMP、DHCP 等协议会更顺畅。
medici.zip
12-19
medici.zip
STM32电机库无感代码注释无传感器版本龙贝格观测三电阻双AD采样前馈控制弱磁控制斜坡启动
12-19
STM32电机库无感代码注释无传感器版本龙贝格观测三电阻双AD采样前馈控制弱磁控制斜坡启动内容概要:本文档为一份关于STM32电机控制的无传感器版本代码注释资源,聚焦于龙贝格观测器在永磁同步电机(PMSM)无感控制中的应用。内容涵盖三电阻双通道AD采样技术、前馈控制、弱磁控制及斜坡启动等关键控制策略的实现方法,旨在通过详细的代码解析帮助开发者深入理解基于STM32平台的高性能电机控制算法设计与工程实现。文档适用于从事电机控制开发的技术人员,重点解析了无位置传感器控制下的转子初始定位、速度估算与系统稳定性优化等问题。; 适合人群:具备一定嵌入式开发基础,熟悉STM32平台及电机控制原理的工程师或研究人员,尤其适合从事无感FOC开发的中高级技术人员。; 使用场景及目标:①掌握龙贝格观测器在PMSM无感控制中的建模与实现;②理解三电阻采样与双AD同步采集的硬件匹配与软件处理机制;③实现前馈补偿提升动态响应、弱磁扩速控制策略以及平稳斜坡启动过程;④为实际项目中调试和优化无感FOC系统提供代码参考和技术支持; 阅读建议:建议结合STM32电机控制硬件平台进行代码对照阅读与实验验证,重点关注观测器设计、电流采样校准、PI参数整定及各控制模块之间的协同逻辑,建议配合示波器进行信号观测以加深对控制时序与性能表现的理解。
自定义button样式,round-corners按钮
12-19
下载前必看:https://pan.quark.cn/s/cbeecb3ae425 GSCaptchaButton 功能 倒计时 自动禁用/启用按钮 自定义文字 使用方法 无论是自定义控件还是 xib,将继承自 UIButton 改为 GSCaptchaButton 开始倒计时 手动结束 判断是否处于倒计时状态 要求 Master iOS 8.0+ Xcode 10 (Swift 4.2 - 5.0) 安装 CocoaPods: 在 中增加: 手动 将 文件拖入你的项目
电气设备故障检测.zip
最新发布
12-19
1.版本:matlab2014a/2019b/2024b 2.附赠案例数据可直接运行。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
FCN网络实现(PyTorch)
12-19
下载方式:https://pan.quark.cn/s/abd8d67e2b79 pytorch FCN easiest demo 不断更新中~ 这个repo是在读论文Fully Convolutional Networks for Semantic Segmentation时的一个pytorch简单复现,数据集很小,是一些随机背景上的一些包的图片(所有数据集大小一共不到80M),如下图 数据集示意图 关于此数据集详细信息,见数据集 根据论文实现了FCN32s、FCN16s、FCN8s和FCNs 部分代码参考了这个repo 使用visdom可视化,运行了20个epoch后的可视化如下图: 可视化1 可视化2 如何运行 1 我的运行环境 Windows 10 CUDA 9.x (可选) Anaconda 3 (numpy、os、datetime、matplotlib) pytorch == 0.4.1 or 1.0 torchvision == 0.2.1 visdom == 0.1.8.5 OpenCV-Python == 3.4.1 2 具体操作 打开终端,输入 打开另一终端,输入 若没有问题可以打开浏览器输入来使用可视化 3 训练细节 训练细节 数据集 training data来自这里,ground-truth来自这里。 链接中提供的图片中,部分ground-truth的有误,而且部分有ground-truth的图片没有对应training data的图片,将这些有错误的图片分别剔除,重新编号排序之后剩余533张图片。 之后我随机选取了67张图片旋转180度,一共在training data和ground-truth分别凑够600张图片(0.jpg ~...
VaComm64-v.2.0.0.0-D5-XE12.Full.Source.rar
12-19
VaComm64-v.2.0.0.0-D5-XE12.Full.Source.rar
【汽车电子诊断】基于ISO 15765-2的UDS网络层时间参数配置:CAN总线多帧传输可靠性与实时性优化
12-19
内容概要:本文系统性地讲解了UDS(统一诊断服务)协议中网络层时间参数的定义、作用、配置方法及实际应用,重点围绕ISO 15765-2标准中的核心参数如N_As、N_Ar、N_Bs、STmin、BS等展开,详细阐述其技术特性、相互关系与实现机制,并结合代码示例展示参数管理、超时处理和动态调整策略。文章还涵盖了不同应用场景下的配置方案、常见问题排查与性能优化策略,强调通过动态调节和智能预测提升诊断通信的可靠性与效率。; 适合人群:从事汽车电子、嵌入式系统开发、ECU固件设计或诊断工具开发的工程师,具备一定CAN通信和车载网络基础知识的技术人员;; 使用场景及目标:①理解并正确配置UDS多帧传输中的关键时间参数,确保诊断通信稳定可靠;②应用于ECU刷写、故障诊断、实时数据读取等场景,优化传输性能与系统响应;③解决因时间参数不匹配导致的超时、丢帧等问题,提升诊断系统的鲁棒性; 阅读建议:建议结合ISO 15765-2标准文档对照阅读,重点关注参数间的约束关系(如N_Ar > N_As、N_Bs > N_Br),并在实际开发中通过日志监控、总线负载分析等方式验证参数配置效果,同时可参考文中代码实现构建自己的时间参数管理系统。
网络编程笔记:PDF格式详细记录
1. **网络编程基础**:网络编程的基础包括了解计算机网络的基本概念,如OSI七层模型、TCP/IP模型、IP地址、端口、套接字(Socket)等。学习如何建立套接字连接,实现不同主机的进程间通信,是网络编程入门的关键。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值