ALB前面加上waf和ddos后获取不到真实客户端ip，怎么解决?

问题描述：

使用 ALB（Application Load Balancer）之前加上 WAF（Web Application Firewall）和 DDoS（Distributed Denial of Service）后在获取不到真实客户端 IP 地址，该如何解决？

完善且全面的答案内容：

1. 基本概念

在这之前，我们先了解一些关键概念：

ALB：应用负载均衡器，用于将流量分发到多个目标服务器，以提高应用的可用性、稳定性和性能。
WAF：Web应用防火墙，用于保护网站或Web应用免受包括SQL注入、XSS攻击、CSRF攻击等常见的网络攻击。
DDoS：分布式拒绝服务攻击，通过对目标服务器发送大量的请求流量，导致服务器过载而无法正常处理合法请求。

2. 问题原因分析

在 ALB 设置前加上 WAF 和 DDoS 后出现获取不到真实客户端 IP 地址的问题可能由于以下因素：

WAF： WAF 配置不当或限制对某个网络请求的访问可能引起获取不到真实客户端 IP 地址。需要检查 WAF 设置中的匹配模式、攻击过滤规则等，并确保 WAF 策略允许获取真实客户端 IP 地址。
DDoS： 分布式拒绝服务 (DDoS) 攻击可能让真实客户端 IP 地址被隐藏。需要在 DDoS 攻击发生时持续监控，并合理设置流量清洗和转发策略。
ALB： ALB 可能需要配置相应的 IP 池、会话保持机制等，以允许真实客户端 IP 地址保留在流量分配中。
ALB+WAF+DDoS组合： 这三者之间的组合需要根据特定情况调整，确保各个组件之间的协同工作能够正常运行并准确获得真实客户端 IP 地址。

3. 具体解决方案

针对上述问题，我们给出的解决思路及步骤包括：

检查 WAF 配置：对于限制访问的请求，请考虑修改 WAF 对应的访问控制规则以便获得真实的客户端 IP 地址。
监控 DDoS 攻击：持续监控流量，并设定流量清洗和转发策略，当流量达到一定程度时及时处理。
配置 ALB 规则与策略：请设定合适的 IP 池配置、会话保持策略以及其他 ALB 规则，以便让 WAF 处理之后的流量可以传递给真实的客户端 IP 地址。
验证配置效果：在测试环境下进行验证，以确保 ALB、WAF 和 DDoS 之间的协同工作正常运行；确认真实客户端 IP 地址可以得到有效的访问。

4. 推荐的腾讯云产品及介绍链接地址（产品名称/关键字）

WAF：腾讯云Web应用防火墙，链接地址：https://cloud.tencent.com/product/waf
DDoS：腾讯云DDoS防护服务，链接地址：https://cloud.tencent.com/product/ddos
ALB：腾讯云应用负载均衡器，链接地址：https://cloud.tencent.com/product/alb

页面内容是否对你有帮助？

有帮助

没帮助

IP遭到大流量DDOS攻击，已被封堵，这个怎么办？

云服务器、网络安全、tcp/ip、ddos、安全

浏览 1154提问于2021-09-03

1回答

建立领域环境的“官方实践”

windows-server-2003、domain-controller、resolution

由于我们的公司局域网启用了DHCP，两台计算机都被自动分配其动态IP和DNS服务器(这两张局域网卡都被设置为“自动获取IP地址”和“自动获取DNS服务器地址”)我不知怎么知道问题出在哪里。由于客户端机器被设置为自动获取DNS服务器地址，我们的公司LAN给了我们自己的“公司

浏览 0提问于2010-02-01得票数 3

回答已采纳

1回答

我正在开发一个api，其中包括发送用于密码重置和电子邮件确认的电子邮件。还有像“用户注册”这样的功能。起初我认为使用IP地址会很好，因为即使是恶意用户最终也会用完ip地址(至少我知道这一点)，但后来我意识到这可能会阻塞在大型建筑中的用户，并可能给VPN用户带来不便。这是我用nodejs写的一个例子，如果任何人对如何使其更独特有任何反馈和/或想法，我将洗耳恭听。 const db = require('../..AND ip = ?"AND ip =

浏览 20提问于2020-05-15得票数 0

回答已采纳

4回答

客户端没有收到ODP.NET通知。

oracle、notifications、odp.net

我有以下部署：然后，我

浏览 7提问于2016-10-19得票数 1

3回答

计算从客户端发送到服务器的数据包数量？

c++、winapi、sockets、winsock、winsockets

因此，我几乎完成了一项涉及Win32编程和套接字的任务，但我必须生成和分析有关传输的一些统计数据。我唯一遇到麻烦的部分是如何计算出从客户端发送到服务器的数据包的数量。我们必须使用异步调用来做所有事情，所以我一直在尝试为服务器套接字获取的每条FD_READ消息增加一个计数器。你知道怎么得到数据包的数量吗？提前感谢:)

浏览 8提问于2009-02-25得票数 1

6回答

类似创造101的投票系统是如何防刷票的？

我想问下，类似创造101这样的投票系统，面对恶意刷票是怎么做到，怎么从技术上防止恶意刷票？

浏览 1813提问于2018-06-19

5回答

如何让使用主机文件解析特定主机名

windows、domain-name-system、hosts

注意:这个问题的解决方案是完美的，因为它偏离了标题所表示的内容。我在Windows Server 2003 DNS service上遇到了一个小问题。解析到IP 172.16.)，并且它还被配置为DNS转发器，用于将其他域名(例如*.google.com、*.sf.net)转发到Internet real DNS servers。请注意，172.16.0.10和202.101.116.9不是同一台物理机器。202 one是一种防火墙机器，它完成端口25和110到intranet地址172.16.0.10的端口转发。现在我

浏览 0提问于2010-04-21得票数 20

回答已采纳

2回答

朱莉娅:数据类型/ DataFrame错误的混淆

julia

跟随这个博客去做神经网络：我认为我的问题是:这些函数正在接受：：矩阵{Float64}，而我正在传递DataFrame。我认为这是不可取的。矩阵()会解决这个问题吗？不确定。如何分析此错误并将这些函数传递给正确的类型(如果这是问题所在)？谢谢!

浏览 1提问于2015-01-27得票数 3

回答已采纳

2回答

WireGuard用户认证

wireguard

任何拥有服务器公钥并且其IP地址在服务器配置中被白化的客户端都可以连接。有人知道提供用户身份验证的WireGuard扩展或实现吗？

浏览 0提问于2019-01-13得票数 9

10回答

2017年PHP获取真实用户IP地址的最准确/最安全的方法

php、security、proxy、ip、reverse-proxy

通过PHP在2017年获得用户IP地址的最准确方法是什么？ $ip = $_SERVER['HTTP_CLIENT_IP'];

浏览 18提问于2017-05-20得票数 18

回答已采纳

2回答

为什么这个网站DNS的改变在美国的一些地方失败了

domain-name-system、migration、shared-hosting

妈妈和流行网站没有提供任何工具来自己管理DNS，所以我们不得不打个电话和时间数据库的最后移动随着他们的DNS的变化。在俄勒冈州，我在两台计算机上的windows 7计算机上刷新了域名DNS，在不到30秒的时间内，域名site.com就像预期的那样工作了。Ping tracert确认域名正在解析到新主机上的新IP。在佛罗里达，客户端正在向旧站点报告域名解析。(我们在旧主机服务器上设置

浏览 0提问于2010-01-16得票数 5

回答已采纳

9回答

有一个VNC服务器为mac提供良好的国际键盘支持？

windows、mac、vnc

我尝试过内置的桌面共享和几个版本的Vine，但它们都有几个键的问题。也许有人知道Mac服务器和Windows客户端的工作组合，它们正确地支持客户机上的德国键盘布局？更新:我不认为Windows客户端是问题所在，因为我在连接Linux机箱方面没有问题。我试过几个不同的客户。

浏览 0提问于2009-06-01得票数 12

28回答

如何在PHP中获取客户端IP地址

php、environment-variables、ip-address

如何使用PHP获取客户端IP地址？我想记录通过他/她的IP地址登录我网站的用户。

浏览 8提问于2010-06-09得票数 1308

10回答

“在known_hosts中添加正确的主机键”/每个主机名多个ssh主机键？

ssh、ssh-keys

我读了几十个帖子，说解决这个问题的方法是从known_hosts文件中删除旧密钥。但是我想让ssh同时接受旧的键和新的键。

浏览 0提问于2011-10-13得票数 212

回答已采纳

7回答

使用本地网络中的xampp服务器的托管站点，无需端口转发

apache、http、networking、xampp

我无法访问任何类型的服务器和调制解调器。情况如下所示：我的站点服务器有wifi路由器分配的本地ip，运行Windows8。请记住，我无法访问任何类型的服务器和调制解调器，因此端口端口转发是不可能的(超出我的范围)。

浏览 0提问于2013-08-20得票数 11

3回答

如何检测和防止postfix从受损邮件帐户中分发垃圾邮件

postfix、spam

我们在运行CentOS并通过Virtualmin配置的专用服务器上为众多客户提供电子邮件和网站。电子邮件通过后缀处理。

浏览 0提问于2013-04-22得票数 6

22回答

【有奖问答】如何评价 OpenAI 的超级对话模型 ChatGPT ？

搜索引擎、人工智能、编程算法、腾讯云开发者社区

12月1日，微软投资的 AI 实验室 OpenAI 发布了一款聊天机器人模型 ChatGPT ，能够模拟人类的语言行为，与用户进行自然的交互。一经问世，ChatGPT就被用户们疯狂“调戏”。图片图片图片图片ChatGPT 有哪些神奇的使用方式？Ch

浏览 1895提问于2022-12-07

11回答

与Android设备共享文件(如何安装、Cyanogen 9?)

android、mtp

Ubuntu将将Touchpad识别为一个digicam，并且只允许我访问两个目录："DCIM“和"Pictures”。然后，我尝试通过MTP访问平板电脑，在OMGUbuntu！上使用这篇文章。

浏览 0提问于2012-03-07得票数 8

3回答

客户端密码散列在其他安全机制之上的好处

authentication、passwords、hash、client-side

我们生活在一个密码重用很常见的世界里，大多数互联网用户不使用密码管理器，而黑客和非法入侵正在变得越来越普遍。这些漏洞的重要性不仅在于访问被泄露的网站，而且还在于泄露的密码通常被用于社交媒体、电子邮件或银行账户，并用于获取各种可能对个人生活造成破坏的脆弱信息。问题在于客户端对普通用户的好处，而不是高学历用户。我在多篇文章上读到过ssl解决了运输过程中

浏览 0提问于2017-12-05得票数 1

回答已采纳

52回答