Como descobrir o IP de usuários atrás de proxy?

O IP de origem de usuários atrás de proxies pode ser encontrado no header HTTP X-Forwarded-For. Veja como descobrir de onde eles são.

Ao observar os logs de acesso do seu servidor web, você encontrará IPs de clientes e IPs de proxy. Esses endereços podem corresponder a proxies web ou proxies reversos. Para descobrir o IP original desses clientes, é importante entender os motivos do uso do proxy e como encontrar essa informação em meio ao tráfego de rede.

Proxy web

Proxies web aparecem como clientes para o servidor web e agem como gateway para o usuário se conectar a um site.

Eles possuem funcionalidades de cache, restrição de acesso, anonymizer e descriptografia. Em redes corporativas, podem filtrar o tráfego dos usuários internos para a Internet. Já no uso pessoal, permitem alterar o IP de origem de requisições HTTP para acessar, por exemplo, conteúdo indisponível no país do usuário (restrição regional).

Proxy reverso

Proxies reversos aparecem como servidores web para os clientes pois agem como sites para redistribuição do conteúdo.

Da mesma forma que os proxies web, proxies reversos têm funcionalidades de cache, criptografia e compressão. O cache permite poupar a banda larga usada entre o proxy e o servidor web, pois armazena o conteúdo mais solicitado pelos clientes.

Acoplados a um firewall, proxies reversos têm IP público. Eles servem como ponto de controle do tráfego destinado aos servidores internos e podem fazer balanceamento de carga.

Descobrindo o IP de origem dos usuários

Conexões que envolvem um ou mais proxies não mostram toda a diversidade dos seus usuários. Porém, a maioria das tecnologias de proxy informa os endereços IP de origem no X-Forwarded-For, um campo presente no cabeçalho HTTP.

As informações são apresentadas com a seguinte sintaxe:

X-Forwarded-For: <client>, <proxy1>, <proxy2>

Essas informações podem ser “capturadas” do tráfego de rede com soluções de Wire Data Analytics, como o Zerum Falcon. A tecnologia intercepta, extrai e disponibiliza os valores do campo, seja de um, dois ou vários proxies, permitindo a descoberta dos IPs de origem dos usuários e diversos insights relacionados

Análises do tráfego de proxy

As informações de acesso presentes no cabeçalho HTTP provê visibilidade sobre o tráfego de rede e possibilita a realização de uma série de análises, como:

  • De onde vêm os seus clientes e estatísticas de acesso;

  • O consumo geográfico e o respeito à restrições na distribuição de mídia;

  • Isolamento e correção de bugs associados a proxies.

Por meio de análises como estas, o Zerum Falcon agrega valor à exploração de logs do seu site, auxiliando no planejamento da arquitetura dos seus serviços web.