Cara memperoleh alamat IP asal dari permintaan - Anti-DDoS

Setelah menambahkan layanan situs web ke Anti-DDoS Proxy, Anti-DDoS Proxy membersihkan lalu lintas yang ditujukan untuk layanan tersebut dan meneruskannya ke server asal. Server asal dapat memperoleh alamat IP asal melalui Header X-Forwarded-For atau dengan menginstal modul kernel TCP Option Address (TOA). Topik ini menjelaskan cara memperoleh alamat IP asal dari permintaan.

Layanan non-situs web yang disediakan menggunakan port

Dalam beberapa skenario, Anda dapat menginstal modul kernel TOA untuk memperoleh alamat IP asal dari permintaan. Untuk informasi lebih lanjut, lihat Instal modul kernel TOA untuk memperoleh alamat IP asal dari permintaan. Jika modul kernel TOA tidak dapat diinstal, hubungi dukungan teknis.

Anti-DDoS Proxy instance dengan alamat IPv4

Metode penggunaan field TCP OPTION: Setelah menambahkan layanan non-situs web di Lapisan 4 ke Anti-DDoS Proxy, Anti-DDoS Proxy terhubung ke server asal menggunakan proses jabat tangan tiga arah. Dalam TCP Option dari paket ACK terakhir, informasi seperti tipe opsi 254, nomor port sumber, dan IP sumber dimasukkan, mengisi total 8 byte. Posisi spesifik ditunjukkan pada gambar berikut.

Nomor port: Field Magic Number merepresentasikan nomor port dalam karakter heksadesimal. Dalam contoh, c4 06 dikonversi ke desimal untuk mendapatkan nomor port yang sesuai yaitu 50.182.
Alamat IP sumber: Empat byte berturut-turut setelah nomor port merepresentasikan alamat IP sumber dalam karakter heksadesimal. Dalam contoh, 65 ** ** 85 dikonversi ke desimal untuk mendapatkan alamat IP sumber yang sesuai yaitu 101.***.***.133.

Anti-DDoS Proxy instance dengan alamat IPv6

Mode V6tov4

Metode penggunaan field TCP OPTION: Setelah menambahkan layanan non-situs web di Lapisan 4 ke Anti-DDoS Proxy, node Anti-DDoS dan server asal menyelesaikan jabat tangan tiga arah. Dalam TCP Option dari paket ACK terakhir, tipe opsi 249, nomor port sumber, IP sumber, IP Anti-DDoS, dan informasi lainnya dimasukkan, mengisi total 40 byte. Posisi spesifik ditunjukkan pada gambar berikut.

Nomor port: Dua byte pertama dalam Payload merepresentasikan nomor port dalam karakter heksadesimal. Dalam contoh, adalah 9d7d, yang dikonversi ke desimal untuk mendapatkan nomor port yang sesuai yaitu 40.317.
Alamat IP sumber: Enam belas byte berturut-turut setelah nomor port merepresentasikan alamat IP sumber dalam karakter heksadesimal, langsung sesuai dengan alamat IPv6. Dalam contoh, adalah 2401*****0f87, yang berarti alamat IP sumber adalah 2401:b180:100*:*:*:f87:5d96:f87.
Catatan
Sisa dua puluh byte dalam Payload selain nomor port dan alamat IP sumber berisi informasi IP Anti-DDoS Proxy.

Skenario V6tov6

Metode penggunaan field TCP OPTION: Setelah menambahkan layanan non-situs web di Lapisan 4 ke Anti-DDoS Proxy, node Anti-DDoS dan server asal menyelesaikan jabat tangan tiga arah. Dalam TCP Option dari paket ACK terakhir, tipe opsi 253, nomor port sumber, dan informasi IP sumber dimasukkan, mengisi total 20 byte. Posisi spesifik ditunjukkan pada gambar berikut.

Nomor port: Field Experiment Identifier merepresentasikan nomor port dalam karakter heksadesimal. Dalam contoh, adalah eb98, yang dikonversi ke desimal untuk mendapatkan nomor port yang sesuai yaitu 60.312.
Alamat IP sumber: Field Data merepresentasikan alamat IP sumber dalam karakter heksadesimal, langsung sesuai dengan alamat IPv6. Dalam contoh, adalah 2401*****0f87, yang berarti alamat IP sumber adalah 2401:b180:100*:*:*:f87:5d96:f87.

Penting

Untuk mencegah lalu lintas dari blok CIDR balik ke asal instance Anti-DDoS Proxy Anda diblokir, kami sarankan Anda menambahkan blok CIDR balik ke asal instance ke daftar putih server asal. Untuk informasi lebih lanjut tentang cara menanyakan blok CIDR balik ke asal instance Anti-DDoS Proxy, lihat Izinkan blok CIDR balik ke asal untuk mengakses server asal.

Jika server asal Anda adalah instance Elastic Compute Service (ECS), tambahkan blok CIDR balik ke asal instance Anti-DDoS Proxy Anda ke grup keamanan instance ECS. Untuk informasi lebih lanjut, lihat Tambahkan aturan grup keamanan.
Jika server asal Anda adalah instance ECS yang diterapkan setelah instance Server Load Balancer (SLB), tambahkan blok CIDR balik ke asal instance Anti-DDoS Proxy Anda ke daftar putih instance SLB. Untuk informasi lebih lanjut, lihat Aktifkan kontrol akses.

Layanan situs web yang disediakan menggunakan nama domain

Jika permintaan layanan diteruskan ke server asal oleh server proxy Lapisan 7, seperti instance Anti-DDoS Proxy, alamat IP asal yang diperoleh oleh server asal adalah alamat IP balik ke asal instance Anti-DDoS Proxy. Alamat IP asal dicatat dalam header X-Forwarded-For. Formatnya adalah X-Forwarded-For: Alamat IP asal, Alamat IP balik ke asal Anti-DDoS Proxy.

Jika permintaan melewati lebih dari satu server proxy, header X-Forwarded-For mencatat alamat IP asal dan alamat IP semua server proxy. Formatnya adalah X-Forwarded-For: Alamat IP asal, Alamat IP server Proxy 1, Alamat IP server Proxy 2, Alamat IP server Proxy 3, .... Server proxy bisa berupa instance Web Application Firewall (WAF) atau instance Alibaba Cloud CDN (CDN).

Server aplikasi web umum dapat menggunakan header X-Forwarded-For untuk memperoleh alamat IP asal dari permintaan.

Anda dapat menggunakan metode berikut untuk memperoleh nilai header X-Forwarded-For dalam berbagai bahasa pemrograman:

ASP

Request.ServerVariables("HTTP_X_FORWARDED_FOR")

ASP.NET (C#)

Request.ServerVariables["HTTP_X_FORWARDED_FOR"]

PHP
```
`$_SERVER["HTTP_X_FORWARDED_FOR"]
```

JSP

request.getHeader("HTTP_X_FORWARDED_FOR")

Dalam header X-Forwarded-For, alamat IP sebelum koma pertama (,) adalah alamat IP asal dari permintaan.

Catatan

Anda juga dapat mengonfigurasi server web umum, seperti NGINX, IIS 6, IIS 7, Apache, dan Tomcat, untuk memperoleh alamat IP asal. Untuk informasi lebih lanjut, lihat Ambil alamat IP asal dari klien.