說明:本文中的內容是我綜合博客園上的博文和MSDN討論區的資料,再通過自己的實際測試而得來,屬於自己原創的內容說實話很少,寫這一篇是為了記錄自己在項目中做過的事情,同時也想拋磚引玉。參考的博文及其作者在下文均有提及。待到自己以后對HTTP、TCP/IP等知識學深入了,一定再來這里深入討論這個內容。
一、名詞
首先說一下接下來要講到的一些名詞。
在Web開發中,我們大多都習慣使用HTTP請求頭中的某些屬性來獲取客戶端的IP地址,常見的屬性是REMOTE_ADDR、HTTP_VIA和HTTP_X_FORWARDED_FOR。
這三個屬性的含義,大概是如此:(摘自網上,歡迎指正)
REMOTE_ADDR:該屬性的值是客戶端跟服務器“握手”時候的IP。如果使用了“匿名代理”,REMOTE_ADDR將顯示代理服務器的IP。
X-Forwarded-For:是用來識別通過HTTP代理或負載均衡方式連接到Web服務器的客戶端最原始的IP地址的HTTP請求頭字段。
XFF的有效性依賴於代理服務器提供的連接原始IP地址的真實性,因此, XFF的有效使用應該保證代理服務器是可信的, 比如可以通過建立可信服務器白名單的方式。
這一HTTP頭一般格式如下:
X-Forwarded-For: client1, proxy1, proxy2
其中的值通過逗號+空格,把多個IP地址區分開, 最左邊(client1)是最原始客戶端的IP地址, 代理服務器每成功收到一個請求,就把請求來源IP地址添加到右邊。 在上面這個例子中,這個請求成功通過了三台代理服務器:proxy1, proxy2 及 proxy3。請求由client1發出,到達了proxy3(proxy3可能是請求的終點)。請求剛從client1中發出時,XFF是空的,請求被發往proxy1;通過proxy1的時候,client1被添加到XFF中,之后請求被發往proxy2;通過proxy2的時候,proxy1被添加到XFF中,之后請求被發往proxy3;通過proxy3時,proxy2被添加到XFF中,之后請求的的去向不明,如果proxy3不是請求終點,請求會被繼續轉發。
鑒於偽造這一字段非常容易,應該謹慎使用X-Forwarded-For字段。正常情況下XFF中最后一個IP地址是最后一個代理服務器的IP地址, 這通常是一個比較可靠的信息來源。
(另附維基中對X-Forwarded-For的完整介紹:http://zh.wikipedia.org/wiki/X-Forwarded-For)
至於在使用這些屬性的時候,屬性的值是什么,網上查到一份這樣的博文:獲取用戶IP地址的三個屬性的區別(原作者不詳)。
而在ASP.NET中,還可以通過另外一種方式獲得客戶端的IP地址,那就是通過Request對象中的UserHostAddress屬性。在MSDN Library中,對這個屬性是這樣解釋的:屬性值是遠程客戶端的 IP 地址。
如果客戶端使用了代理服務器,那么Request.UserHostAddress屬性獲得的就是代理服務器的IP地址。
二、方法
好了,講了那么多概念性的東西,咱們來講一下實現的方法。
網上大多數方法的思路是:如果有代理IP,則優先獲取代理IP,否則獲取連接客戶端的IP;或者調轉過來,先獲取連接客戶端的IP,如獲取失敗,則獲取代理IP。
以下方法參考博文 asp.net獲取客戶端IP (作者comeonfyz)
-----------------------------------------------------------------------------------------------------------
/// <summary> /// 獲取客戶端IP地址 /// </summary> /// <returns>若失敗則返回回送地址</returns> public static string GetIP() { //如果客戶端使用了代理服務器,則利用HTTP_X_FORWARDED_FOR找到客戶端IP地址 string userHostAddress = HttpContext.Current.Request.ServerVariables["HTTP_X_FORWARDED_FOR"].ToString().Split(',')[0].Trim(); //否則直接讀取REMOTE_ADDR獲取客戶端IP地址 if (string.IsNullOrEmpty(userHostAddress)) { userHostAddress = HttpContext.Current.Request.ServerVariables["REMOTE_ADDR"]; } //前兩者均失敗,則利用Request.UserHostAddress屬性獲取IP地址,但此時無法確定該IP是客戶端IP還是代理IP if (string.IsNullOrEmpty(userHostAddress)) { userHostAddress = HttpContext.Current.Request.UserHostAddress; } //最后判斷獲取是否成功,並檢查IP地址的格式(檢查其格式非常重要) if (!string.IsNullOrEmpty(userHostAddress) && IsIP(userHostAddress)) { return userHostAddress; } return "127.0.0.1"; } /// <summary> /// 檢查IP地址格式 /// </summary> /// <param name="ip"></param> /// <returns></returns> public static bool IsIP(string ip) { return System.Text.RegularExpressions.Regex.IsMatch(ip, @"^((2[0-4]\d|25[0-5]|[01]?\d\d?)\.){3}(2[0-4]\d|25[0-5]|[01]?\d\d?)$"); }
-----------------------------------------------------------------------------------------------------------
但是這樣做有一個很嚴重的缺陷,那就是如大牛Kingthy在其博文 使用HTTP_X_FORWARDED_FOR獲取客戶端IP的嚴重后果 中所說的,"HTTP_X_FORWARDED_FOR"這個值是通過獲取HTTP頭的"X_FORWARDED_FOR"屬性取得的,惡意破壞者可以很輕松地偽造IP地址;而且上文特別提到過,XFF的有效性依賴於代理服務器提供的連接原始IP地址的真實性,因此, XFF的有效使用應該保證代理服務器是可信的。但是作為開發者,我們既不知道用戶的IP地址的真實性,更是難以分辨代理服務器的可信性。
因此,綜合各個方面的資料,我個人的想法與大牛Kingthy一樣:無視代理。
-----------------------------------------------------------------------------------------------------------
1 /// <summary>
2 /// 獲取客戶端IP地址(無視代理) 3 /// </summary>
4 /// <returns>若失敗則返回回送地址</returns>
5 public static string GetHostAddress() 6 { 7 string userHostAddress = HttpContext.Current.Request.UserHostAddress; 8
9 if (string.IsNullOrEmpty(userHostAddress)) 10 { 11 userHostAddress = HttpContext.Current.Request.ServerVariables["REMOTE_ADDR"]; 12 } 13
14 //最后判斷獲取是否成功,並檢查IP地址的格式(檢查其格式非常重要)
15 if (!string.IsNullOrEmpty(userHostAddress) && IsIP(userHostAddress)) 16 { 17 return userHostAddress; 18 } 19 return "127.0.0.1"; 20 } 21
22 /// <summary>
23 /// 檢查IP地址格式 24 /// </summary>
25 /// <param name="ip"></param>
26 /// <returns></returns>
27 public static bool IsIP(string ip) 28 { 29 return System.Text.RegularExpressions.Regex.IsMatch(ip, @"^((2[0-4]\d|25[0-5]|[01]?\d\d?)\.){3}(2[0-4]\d|25[0-5]|[01]?\d\d?)$"); 30 }
-----------------------------------------------------------------------------------------------------------
三、總結
無視代理服務器肯定不是最好的解決方案,如果項目需求明確說要客戶端的真實地址,那肯定就不能無視代理服務器了。
另外,我也向Artech大牛請教過這方面的問題,他雖然對這些沒有深入的研究,但是他也認為沒有一種IP獲取方式是完全值得信賴的,因為這是TCP/IP協議本身決定的。
附上Artech大牛給我的一份資料,分享分享。http://www.symantec.com/connect/articles/ip-spoofing-introduction
希望這篇博文能夠拋磚引玉,歡迎批評和建議。