攻击溯源真实IP是网站安全防护的工作任务之一。发现攻击后，我们要确定攻击源，需要特殊的安全设备来协助。支持群集工作模式的Lo,IP概念较多。VIP(虚拟IP)概念的提出，是基于负载均衡的流量分配机制，它使攻击者不能知道服务器的真实IP。但是，对于攻击追踪的工作来说，需要了解攻击追踪的IP。我们要得到更多的证据和情报，就必须获得真正的攻击目标。

Ip-track很难实现，因为我只有一个ip，没有任何技术支持。与此同时，我在公司没有服务器权限，只有后台，一般ip跟踪技术分类，反应式跟踪，主动跟踪，共享只是一个过程，提供一个思路。我无法保证每个人都能成功运用。

笔者：我春秋契约家。

早晨起床上班，打开电脑，吃早餐，看看我的春秋科技，打开公司的网站做个统计。但今天打开网站的cnzz统计，与往常不同的是，发现今天的路由域名中有一个站点看起来非常熟悉。请注意，这不是awv的扫描地址吗？

不知是否有黑客想要黑这个网站，发现一个ip站点被访问了64次，wvs给他扫描了64次。但这一数据可能不够准确。突然间想起在freebuf上看到大牛的文章《AWVS如何对付黑客》，还挺不错，不过这次想跟踪一下这个扫描器。Freebuf的这篇文章是故意让黑客进入他的网页。因此我不能使用，但我也学着去看谁会攻击网站，因为很多时候网站会被扫描，这不是第一次了，所以我不能每次都只是防守，让黑客们停下！

Cnzz里有很多信息可以找到，而且我们的网站还做了一些记录。网站今早访问量不大，查找起来很方便。uv包含超过900个IPs。从流量趋势来看，9:00-10:00有超过90个UVs和IPs，而800个PVs以上。现在是黑客浏览网页的时候了。

所以我在细节里找到了可疑的ip。ip在9-10年间被访问了超过200次，但仔细一看，ip一共被访问了超过200次。结果是，这个ip不是攻击者的ip，而另一个ip在网站上被点击了超过100次，平均3页/秒。显著性100%。据分析，wvs是在扫描，而ip是攻击者的ip。

ip可能是代理ip，而不是黑客的真正ip，这是因为一些“获取客户端”的实际ip已被添加到公司网站，以防止黑客利用其代理功能。

请参阅https://my.oschina.net/geekice/blog/149556nginx反向代理httpd以获得用户的真正ip，获得用户的公共网络(代理)ip，然后启动对用户的http请求。

gethader("x-forwhi-yu"),heque=reque.Gethader；

请求x-forwly-ly的请求就是tp访问的真实ip。

这种方法是普遍适用的。以下代码将对ip等进行判断。这个Java代码的目的还在于获得一个真正的ip，以供hatp访问。下面不做解释，只介绍它的主要功能。