XFF 攻击是什么？

XFF，即 “X – Forwarded – For”，原本是一个 HTTP 头字段，设计初衷是让代理服务器能够将客户端的真实 IP 地址传递给后端服务器。在正常的网络架构中，当客户端通过代理服务器访问网站时，代理服务器会在请求头中添加 X – Forwarded – For 字段，并将客户端的 IP 地址填入其中，这样后端服务器就能知道真正发起请求的客户端是谁。

然而，恶意攻击者却利用了这一机制。他们通过伪造 X – Forwarded – For 头信息，将其中的 IP 地址篡改为虚假的、甚至是恶意的地址，从而欺骗后端服务器。后端服务器如果没有对这个字段进行严格的验证和处理，就可能会根据伪造的 IP 地址做出错误的判断，比如给予非法访问权限、记录错误的用户行为等，进而导致安全漏洞。

XFF格式

XFF的格式通常为：

XFF的值通过一个 逗号+空格 把多个IP地址区分开, 最左边（client1）是最原始客户端的IP地址, 代理服务器每成功收到一个请求，就把请求来源IP地址添加到右边。

 例如，以下是一个 X-Forwarded-For 头部字段的示例：

其中，客户端 IP 地址为 203.0.xxx.195，该请求经过了两个代理服务器，IP 地址分别为 70.xxxx.3.18 和 150.xxxx.238。

XFF伪造原理

如果客户端在发起请求时，请求头上带上一个伪造的X-Forwarded-For，由于后续每层代理只会追加而不会覆盖，那么最终到达应用服务器时，获取的左边第一个IP地址将会是客户端伪造的IP。利用Java代码中getClientIp()方法获取的IP地址很有可能是伪造的IP地址。 

伪造X-Forwarded-For头的方法很简单，例如Postman就可以轻松做到：

曾经有一家知名的在线银行，其系统依赖 X – Forwarded – For 头信息来识别用户的来源 IP，以便进行访问控制和风险评估。一天，黑客发动了 XFF 攻击，他们伪造了 X – Forwarded – For 头，将其 IP 地址伪装成银行内部的信任 IP。

由于银行系统对这个头信息的验证机制不够完善，未能识别出这是伪造的请求，黑客成功绕过了部分安全防护措施，获取了一些客户的账户信息。虽然银行及时发现并采取了措施，但这次攻击还是给部分客户带来了恐慌，也让银行在声誉和经济上遭受了一定的损失。

防范 XFF 攻击

面对 XFF 攻击的威胁，我们并非束手无策。以下是一些有效的防范措施：