獲取客戶端IP地址-考慮代理

時間 2020-01-19

標籤獲取客戶端 ip地址考慮代理简体版

原文原文鏈接

來自森大科技官方博客
http://www.cnsendblog.com/index.php/?p=298
GPS平臺、網站建設、軟件開發、系統運維，找森大網絡科技！
http://cnsendnet.taobao.comphp

說明：本文中的內容是我綜合博客園上的博文和MSDN討論區的資料，再經過本身的實際測試而得來，屬於本身原創的內容說實話不多，寫這一篇是爲了記錄本身在項目中作過的事情，同時也想拋磚引玉。參考的博文及其做者在下文均有說起。待到本身之後對HTTP、TCP/IP等知識學深刻了，必定再來這裏深刻討論這個內容。服務器

1、名詞
　　首先說一下接下來要講到的一些名詞。網絡

　　在Web開發中，咱們大多都習慣使用HTTP請求頭中的某些屬性來獲取客戶端的IP地址，常見的屬性是REMOTE_ADDR、HTTP_VIA和HTTP_X_FORWARDED_FOR。負載均衡

　　這三個屬性的含義，大概是如此：（摘自網上，歡迎指正）asp.net

　　REMOTE_ADDR：該屬性的值是客戶端跟服務器「握手」時候的IP。若是使用了「匿名代理」，REMOTE_ADDR將顯示代理服務器的IP。運維

　　X-Forwarded-For：是用來識別經過HTTP代理或負載均衡方式鏈接到Web服務器的客戶端最原始的IP地址的HTTP請求頭字段。ide

　　　　XFF的有效性依賴於代理服務器提供的鏈接原始IP地址的真實性，所以, XFF的有效使用應該保證代理服務器是可信的, 好比能夠經過創建可信服務器白名單的方式。測試

　　這一HTTP頭通常格式以下：網站

　　X-Forwarded-For: client1, proxy1, proxy2.net

　　其中的值經過逗號+空格，把多個IP地址區分開, 最左邊(client1)是最原始客戶端的IP地址, 代理服務器每成功收到一個請求，就把請求來源IP地址添加到右邊。在上面這個例子中，這個請求成功經過了三臺代理服務器：proxy1, proxy2 及 proxy3。請求由client1發出，到達了proxy3(proxy3多是請求的終點)。請求剛從client1中發出時，XFF是空的，請求被髮往proxy1；經過proxy1的時候，client1被添加到XFF中，以後請求被髮往proxy2;經過proxy2的時候，proxy1被添加到XFF中，以後請求被髮往proxy3；經過proxy3時，proxy2被添加到XFF中，以後請求的的去向不明，若是proxy3不是請求終點，請求會被繼續轉發。

　　鑑於僞造這一字段很是容易，應該謹慎使用X-Forwarded-For字段。正常狀況下XFF中最後一個IP地址是最後一個代理服務器的IP地址, 這一般是一個比較可靠的信息來源。

　　（另附維基中對X-Forwarded-For的完整介紹：http://zh.wikipedia.org/wiki/X-Forwarded-For）

　　至於在使用這些屬性的時候，屬性的值是什麼，網上查到一份這樣的博文：獲取用戶IP地址的三個屬性的區別（原做者不詳）。

　　而在ASP.NET中，還能夠經過另一種方式得到客戶端的IP地址，那就是經過Request對象中的UserHostAddress屬性。在MSDN Library中，對這個屬性是這樣解釋的：屬性值是遠程客戶端的 IP 地址。

　　若是客戶端使用了代理服務器，那麼Request.UserHostAddress屬性得到的就是代理服務器的IP地址。

2、方法
　　好了，講了那麼多概念性的東西，我們來說一下實現的方法。

　　網上大多數方法的思路是：若是有代理IP，則優先獲取代理IP，不然獲取鏈接客戶端的IP；或者調轉過來，先獲取鏈接客戶端的IP，如獲取失敗，則獲取代理IP。

　　如下方法參考博文 asp.net獲取客戶端IP （做者comeonfyz）

/// <summary>
/// 獲取客戶端IP地址
/// </summary>
/// <returns>若失敗則返回回送地址</returns>
public static string GetIP()
{
    //若是客戶端使用了代理服務器，則利用HTTP_X_FORWARDED_FOR找到客戶端IP地址
    string userHostAddress = HttpContext.Current.Request.ServerVariables["HTTP_X_FORWARDED_FOR"].ToString().Split(',')[0].Trim();
    //不然直接讀取REMOTE_ADDR獲取客戶端IP地址
    if (string.IsNullOrEmpty(userHostAddress))
    {
        userHostAddress = HttpContext.Current.Request.ServerVariables["REMOTE_ADDR"];
    }
    //前二者均失敗，則利用Request.UserHostAddress屬性獲取IP地址，但此時沒法肯定該IP是客戶端IP仍是代理IP
    if (string.IsNullOrEmpty(userHostAddress))
    {
        userHostAddress = HttpContext.Current.Request.UserHostAddress;
    }
    //最後判斷獲取是否成功，並檢查IP地址的格式（檢查其格式很是重要）
    if (!string.IsNullOrEmpty(userHostAddress) && IsIP(userHostAddress))
    {
        return userHostAddress;
    }
    return "127.0.0.1";
}

/// <summary>
/// 檢查IP地址格式
/// </summary>
/// <param name="ip"></param>
/// <returns></returns>
public static bool IsIP(string ip)
{
    return System.Text.RegularExpressions.Regex.IsMatch(ip, @"^((2[0-4]\d|25[0-5]|[01]?\d\d?)\.){3}(2[0-4]\d|25[0-5]|[01]?\d\d?)$");
}

　可是這樣作有一個很嚴重的缺陷，那就是如大牛Kingthy在其博文使用HTTP_X_FORWARDED_FOR獲取客戶端IP的嚴重後果中所說的，"HTTP_X_FORWARDED_FOR"這個值是經過獲取HTTP頭的"X_FORWARDED_FOR"屬性取得的，惡意破壞者能夠很輕鬆地僞造IP地址；並且上文特別提到過，XFF的有效性依賴於代理服務器提供的鏈接原始IP地址的真實性，所以, XFF的有效使用應該保證代理服務器是可信的。可是做爲開發者，咱們既不知道用戶的IP地址的真實性，更是難以分辨代理服務器的可信性。

　　所以，綜合各個方面的資料，我我的的想法與大牛Kingthy同樣：無視代理。

1     /// <summary>
 2     /// 獲取客戶端IP地址（無視代理）
 3     /// </summary>
 4     /// <returns>若失敗則返回回送地址</returns>
 5     public static string GetHostAddress()
 6     {
 7         string userHostAddress = HttpContext.Current.Request.UserHostAddress;
 8 
 9         if (string.IsNullOrEmpty(userHostAddress))
10         {
11             userHostAddress = HttpContext.Current.Request.ServerVariables["REMOTE_ADDR"];
12         }
13 
14         //最後判斷獲取是否成功，並檢查IP地址的格式（檢查其格式很是重要）
15         if (!string.IsNullOrEmpty(userHostAddress) && IsIP(userHostAddress))
16         {
17             return userHostAddress;
18         }
19         return "127.0.0.1";
20     }
21 
22     /// <summary>
23     /// 檢查IP地址格式
24     /// </summary>
25     /// <param name="ip"></param>
26     /// <returns></returns>
27     public static bool IsIP(string ip)
28     {
29         return System.Text.RegularExpressions.Regex.IsMatch(ip, @"^((2[0-4]\d|25[0-5]|[01]?\d\d?)\.){3}(2[0-4]\d|25[0-5]|[01]?\d\d?)$");
30     }

3、總結　　
　　無視代理服務器確定不是最好的解決方案，若是項目需求明確說要客戶端的真實地址，那確定就不能無視代理服務器了。

　　另外，我也向Artech大牛請教過這方面的問題，他雖然對這些沒有深刻的研究，可是他也認爲沒有一種IP獲取方式是徹底值得信賴的，由於這是TCP/IP協議自己決定的。

　　附上Artech大牛給個人一份資料，分享分享。http://www.symantec.com/connect/articles/ip-spoofing-introduction

　　但願這篇博文可以拋磚引玉，歡迎批評和建議。