真正的獲取客戶端真實(shí)IP地址及利弊分析

更新時(shí)間：2009年11月30日 19:24:29 作者：

目前網(wǎng)上流行的所謂“取真實(shí)IP地址”的方法，都有bug，沒(méi)有考慮到多層透明代理的情況。

多數(shù)代碼類似：

 
string IpAddress = (HttpContext.Current.Request.ServerVariables["HTTP_X_FORWARDED_FOR"]!=null 
&& HttpContext.Current.Request.ServerVariables["HTTP_X_FORWARDED_FOR"] !=String.Empty) 
?HttpContext.Current.Request.ServerVariables["HTTP_X_FORWARDED_FOR"] 
:HttpContext.Current.Request.ServerVariables["REMOTE_ADDR"]; 

事實(shí)上，上面的代碼只試用與用戶只使用了1層代理，如果用戶有2層，3層HTTP_X_FORWARDED_FOR 的值是：“本機(jī)真實(shí)IP,1層代理IP,2層代理IP,.....” ，如果這個(gè)時(shí)候你的數(shù)據(jù)中保存IP字段的長(zhǎng)度很?。?5個(gè)字節(jié)），數(shù)據(jù)庫(kù)就報(bào)錯(cuò)了。
實(shí)際應(yīng)用中，因?yàn)槭褂枚鄬油该鞔淼那闆r比較少，所以這種用戶并不多。
其他應(yīng)用情況，現(xiàn)在越來(lái)越多的網(wǎng)站使用了代理加速方式，比如新浪、SOHU的新聞都使用Squid做代理方式，利用多臺(tái)服務(wù)器分流。Squid本身類似透明代理，會(huì)發(fā)送“HTTP_X_FORWARDED_FOR” ，HTTP_X_FORWARDED_FOR 中包括客戶的IP地址，如果此時(shí)客戶已經(jīng)使用了一層透明代理，那么程序取的 “HTTP_X_FORWARDED_FOR” 就包括兩個(gè)IP地址。（我遇到過(guò)3個(gè)IP地址的情況，4個(gè)的未遇到過(guò)）
所以取“真正”IP地址的方式，還應(yīng)該判斷 “HTTP_X_FORWARDED_FOR” 中是否有“,”逗號(hào)，或者長(zhǎng)度是否超長(zhǎng)（超過(guò)15字節(jié) xxx.xxx.xxx.xxx）。
所以代碼應(yīng)該如下：

復(fù)制代碼代碼如下:

 
/**//// <summary> 
/// 取得客戶端真實(shí)IP。如果有代理則取第一個(gè)非內(nèi)網(wǎng)地址 
/// by flower.b 
/// </summary> 
public static string IPAddress 
{ 
get 
{ 
string result = String.Empty; 
result = HttpContext.Current.Request.ServerVariables["HTTP_X_FORWARDED_FOR"]; 
if(result!=null&&result!= String.Empty) 
{ 
//可能有代理 
if(result.IndexOf(".")==-1) //沒(méi)有“.”肯定是非IPv4格式 
result = null; 
else 
{ 
if(result.IndexOf(",")!=-1) 
{ 
//有“,”，估計(jì)多個(gè)代理。取第一個(gè)不是內(nèi)網(wǎng)的IP。 
result = result.Replace(" ","").Replace("'",""); 
string[] temparyip = result.Split(",;".ToCharArray()); 
for(int i=0;i<temparyip.Length;i++) 
{ 
if( Text.IsIPAddress(temparyip[i]) 
&& temparyip[i].Substring(0,3)!="10." 
&& temparyip[i].Substring(0,7)!="192.168" 
&& temparyip[i].Substring(0,7)!="172.16.") 
{ 
return temparyip[i]; //找到不是內(nèi)網(wǎng)的地址 
} 
} 
} 
else if(Text.IsIPAddress(result)) //代理即是IP格式 
return result; 
else 
result = null; //代理中的內(nèi)容 非IP，取IP 
} 
} 
string IpAddress = (HttpContext.Current.Request.ServerVariables["HTTP_X_FORWARDED_FOR"]!=null && HttpContext.Current.Request.ServerVariables["HTTP_X_FORWARDED_FOR"] !=String.Empty)?HttpContext.Current.Request.ServerVariables["HTTP_X_FORWARDED_FOR"]:HttpContext.Current.Request.ServerVariables["REMOTE_ADDR"]; 

if (null == result || result == String.Empty) 
result = HttpContext.Current.Request.ServerVariables["REMOTE_ADDR"]; 
if (result == null || result == String.Empty) 
result = HttpContext.Current.Request.UserHostAddress; 
return result; 
} 
} 

取“HTTP_X_FORWARDED_FOR” 的弊端。
HTTP_X_FORWARDED_FOR 是HTTP協(xié)議中頭的一部分，不影響TCP的通訊。也就是說(shuō)實(shí)際上客戶端可以發(fā)送任意內(nèi)容的 HTTP_X_FORWARDED_FOR，以就是偽造IP。最簡(jiǎn)單的是WEB程序的IP記錄，本來(lái)是要記錄真實(shí)IP的，反而被“黑客”欺騙。當(dāng)你的應(yīng)用程序記錄客戶的訪問(wèn)IP、拒絕或允許部分IP的訪問(wèn)、錯(cuò)誤日志都會(huì)出錯(cuò)，甚至誤殺。
因此必要的安全日志應(yīng)該記錄完整的 “HTTP_X_FORWARDED_FOR” （至少給數(shù)據(jù)庫(kù)中的字段分配 3*15+2 個(gè)字節(jié)，以記錄至少3個(gè)IP）和 “REMOTE_ADDR”。對(duì) HTTP_X_FORWARDED_FOR 的IP格式檢查也是不可少的。
附:(Text是我自定義的一個(gè)類，IsIPAddress是其中的一個(gè)判斷是否是IP地址格式的方法)

bool IsIPAddress(str1) 判斷是否是IP格式#region bool IsIPAddress(str1) 判斷是否是IP格式

復(fù)制代碼代碼如下:

 
/**//// <summary> 
/// 判斷是否是IP地址格式 0.0.0.0 
/// </summary> 
/// <param name="str1">待判斷的IP地址</param> 
/// <returns>true or false</returns> 
public static bool IsIPAddress(string str1) 
{ 
if(str1==null||str1==string.Empty||str1.Length<7||str1.Length>15) return false; 
string regformat = @"^\d{1,3}[\.]\d{1,3}[\.]\d{1,3}[\.]\d{1,3}$"; 
Regex regex = new Regex(regformat,RegexOptions.IgnoreCase ); 
return regex.IsMatch(str1); 
} 
#endregion 