【WAF】【日志模块】日志中CDN地址与XFF地址显示不同

谢卓励发表于:2021年06月29日 16:51:34


问题描述

关键字:XFF, X-Forwarded-For,CDN

文字描述:WAF+通用版本+攻击日志中CDN IP与XFF IP显示的不一致。    

现象截图:

00160daded55b7dfa5fda783d287e78

处理步骤

如果全部正常则依次进入后续检查项,如果检查异常请参照对应检查项中的处理办法。

检查项1:

第一步:抓包或者查看攻击日志详情,查看请求头中是否有Cdn-Src-Ip字段和X-Forwarded-For字段。

第二步:查看两个字段的参数中的地址是否不同。

00160dadeec562e3c02ab91e0157a4c

异常处理办法:需要与客户解释,此问题是因为WAF收到的请求头中两个字段的ip不同导致的,XFF是通过代理后添加的字段,记录每一次代理前的源地址。Cdn-Src-Ip一般是通过CND设备后添加的,两个地址不一定会相同。

 

验证步骤

为验证问题是否解决,检查以下内容:

验证步骤1:验证日志中显示的XFF地址与CND与抓包查看到的请求头中字段值是否相同,若相同则表示无问题。

 

信息收集

如果当前知识库中的步骤无法解决问题,请收集以下信息提交至后端做进一步分析:

1.    命令行下输入realver显示的版本号。

2.    WAF上抓取的访问流量数据包。

3.    日志详情截图。