设为首页收藏本站

简体中文 繁體中文 English 日本語 Deutsch 한국 사람 بالعربية TÜRKÇE português คนไทย Français

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
全球主机交流论坛»论坛 主机综合交流 美国VPS综合讨论 求助:cloudflare真实ip分析
返回列表 发新帖
查看: 71|回复: 8

求助:cloudflare真实ip分析

[复制链接]
yaren

53

主题

795

回帖

1887

积分

金牌会员

积分
1887
发表于 2020-1-8 10:54:53 | 显示全部楼层 |阅读模式
本帖最后由 yaren 于 2020-1-8 23:35 编辑

最近用了CF发现有个VPS上的几个站点,都遭受一个不明的采集或者bot:
我nginx上日志格式是 ( nginx with http_realip_module ):

[ol]
  • log_format main '$remote_addr - $remote_user [$time_local] “$request” ’
  • '$status $body_bytes_sent “$http_referer” ’ request_time: '"$request_time" ’ upstream_response_time '"$upstream_response_time" ’
  • '"$http_user_agent" http_x_forwarded_for: “$http_x_forwarded_for” ’ host: '"$host" ’ http_cf_connecting_ip: '"$http_cf_connecting_ip" ’ ;[/ol]复制代码

    然后发现大量请求日志如:

    [ol]
  • 172.69.33.99 - - [07/Jan/2020:21:09:53 -0500] “GET /xx/ HTTP/1.1” 200 13962 “http://cc.com/xx/” request_time:“0.002” upstream_response_time"0.002" “WordPress/5.3.2; http://cc.com” http_x_forwarded_for: “200.200.200.200” host:“cc.com” http_cf_connecting_ip:“200.200.200.200”[/ol]复制代码


    奇怪的问题有两个:
    1  http_x_forwarded_for and http_cf_connecting_ip 记录的ip (200.200.200.200 ) 为什么是本鸡的ip,网卡上绑定了的。那这两个header难道是伪装的?从cf过来的还是伪装从CF来的? 关于这个设置,我用本机chrome打开查看日志中ip都是准确的。

    终于定位出来了。

    原来是WP Super Cache的问题。。这个插件无意我开了个preload模式,一旦触发了,会自动遍历所有post url,以期生成缓存。 蛋疼的插件

    2  类似ip “172.69.33.99” 是来自cloudflare套套吗? 但是在官方ip列表 https://www.cloudflare.com/ips/没找到,那是否是伪装的ip?

    -----这个已经解决,借助楼下几位分析是在CF IP列表中



    看看有没有CF大神一起看看。


    也在CF官方询问了,可以围观:https://community.cloudflare.com/t/help-is-this-ip-is-a-fake-cloudflare-ip/140975
    • 回复

    使用道具 举报

    落叶随风

    12

    主题

    321

    回帖

    746

    积分

    高级会员

    积分
    746
    发表于 2020-1-8 10:58:15 | 显示全部楼层
    反代套cf?
    这个ip像是cf的回源ip
    回复

    使用道具 举报

    冻猫

    10

    主题

    1427

    回帖

    2962

    积分

    金牌会员

    积分
    2962
    发表于 2020-1-8 10:59:05 | 显示全部楼层
    172.69开头的是CF回源服务器IP
    回复

    使用道具 举报

    affyun.org

    7

    主题

    1057

    回帖

    2209

    积分

    金牌会员

    积分
    2209
    发表于 2020-1-8 10:59:26 | 显示全部楼层
    172.64.0.0/13
    你为何这么白
    回复

    使用道具 举报

    mobisww

    110

    主题

    411

    回帖

    1168

    积分

    金牌会员

    积分
    1168
    发表于 2020-1-8 11:02:18 | 显示全部楼层

    affyun.org 发表于 2020-1-8 10:59

    172.64.0.0/13
    你为何这么白
    哈哈,ip段没仔细研究过

    回复

    使用道具 举报

    yaren

    53

    主题

    795

    回帖

    1887

    积分

    金牌会员

    积分
    1887
     楼主| 发表于 2020-1-8 11:04:28 | 显示全部楼层
    了解一下IPV4 IP段格式算法
    回复

    使用道具 举报

    羞涩

    40

    主题

    726

    回帖

    1694

    积分

    金牌会员

    积分
    1694
    发表于 2020-1-8 10:59:00 | 显示全部楼层
    http://nginx.org/en/docs/http/ngx_http_realip_module.html
    应该搭配这个指令 set_real_ip_from

    放到nginx配置文件http块里
    [ol]
  • set_real_ip_from 173.245.48.0/20;
  • set_real_ip_from 103.21.244.0/22;
  • ...
  • real_ip_header X-Forwarded-For;
  • real_ip_recursive on;[/ol]复制代码
    • 回复

    使用道具 举报

    shiro

    16

    主题

    847

    回帖

    1844

    积分

    金牌会员

    积分
    1844
    发表于 2020-1-8 11:05:40 | 显示全部楼层

    shiro 发表于 2020-1-8 11:09

    http://nginx.org/en/docs/http/ngx_http_realip_module.html
    应该搭配这个指令 set_real_ip_from
    这个我有配置过
    配置之后,remote_addr就也变成了本机ip (200.200.200.200)了。
    所以非常奇怪的是,为啥从cf过来的http_cf_connecting_ip也是本机Ip
    回复

    使用道具 举报

    yaren

    53

    主题

    795

    回帖

    1887

    积分

    金牌会员

    积分
    1887
     楼主| 发表于 2020-1-8 11:09:13 | 显示全部楼层
    顶一下,关键是,为什么cf过来的客户地址  会是 我vps的ip啊?有没有人遇到过?
    难道是openvz的vps有bug吗?或者是母鸡上的请求吗?这个vps还能用吗?
    回复

    使用道具 举报

    返回列表 发新帖
    高级模式
    B Color Image Link Quote Code Smilies
    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    Archiver|手机版|小黑屋|Discuz! X

    GMT+8, 2025-12-22 13:04 , Processed in 0.018850 second(s), 4 queries , Gzip On, Redis On.

    Powered by Discuz! X3.5

    © 2001-2025 Discuz! Team.

    快速回复 返回顶部 返回列表