C#取真實(shí)IP地址及分析

2019-11-17 02:56:51

字體：大中小

供稿：網(wǎng)友

C#取真實(shí)數(shù)據(jù)庫(kù)就報(bào)錯(cuò)了。實(shí)際應(yīng)用中，因?yàn)槭褂枚鄬油该鞔淼那闆r比較少，所以這種用戶并不多。其他應(yīng)用情況，現(xiàn)在越來(lái)越多的網(wǎng)站使用了代理加速方式，比如新浪、SOHU的新聞都使用Squid做代理方式，利用多臺(tái)服務(wù)器分流。Squid本身類(lèi)似透明代理，會(huì)發(fā)送"HTTP_X_FORWARDED_FOR" ，HTTP_X_FORWARDED_FOR 中包括客戶的IP地址，如果此時(shí)客戶已經(jīng)使用了一層透明代理，那么程序取的 "HTTP_X_FORWARDED_FOR" 就包括兩個(gè)IP地址。（我遇到過(guò)3個(gè)IP地址的情況，4個(gè)的未遇到過(guò)）所以取"真正"IP地址的方式，還應(yīng)該判斷 "HTTP_X_FORWARDED_FOR" 中是否有","逗號(hào)，或者長(zhǎng)度是否超長(zhǎng)（超過(guò)15字節(jié) xxx.xxx.xxx.xxx）。

所以代碼應(yīng)該如下：

[csharp]view plaincopy

/**////<summary>
///取得客戶端真實(shí)IP。如果有代理則取第一個(gè)非內(nèi)網(wǎng)地址
///</summary>
publicstaticstringIPAddress
{
get
{
stringresult=String.Empty;
result=HttpContext.Current.Request.ServerVariables["HTTP_X_FORWARDED_FOR"];
if(result!=null&&result!=String.Empty)
{
//可能有代理
if(result.IndexOf(".")==-1)//沒(méi)有"."肯定是非IPv4格式
result=null;
else
{
if(result.IndexOf(",")!=-1)
{
//有","，估計(jì)多個(gè)代理。取第一個(gè)不是內(nèi)網(wǎng)的IP。
result=result.Replace("","").Replace(""","");
string[]temparyip=result.Split(",;".ToCharArray());
for(inti=0;i<temparyip.Length;i++)
{
if(Text.IsIPAddress(temparyip[i])
&&temparyip[i].Substring(0,3)!="10."
&&temparyip[i].Substring(0,7)!="192.168"
&&temparyip[i].Substring(0,7)!="172.16.")
{
returntemparyip[i];//找到不是內(nèi)網(wǎng)的地址
}
}
}
elseif(Text.IsIPAddress(result))//代理即是IP格式
returnresult;
else
result=null;//代理中的內(nèi)容非IP，取IP
}
}
stringIpAddress=(HttpContext.Current.Request.ServerVariables["HTTP_X_FORWARDED_FOR"]!=null&&HttpContext.Current.Request.ServerVariables["HTTP_X_FORWARDED_FOR"]!=String.Empty)?HttpContext.Current.Request.ServerVariables["HTTP_X_FORWARDED_FOR"]:HttpContext.Current.Request.ServerVariables["REMOTE_ADDR"];
if(null==result||result==String.Empty)
result=HttpContext.Current.Request.ServerVariables["REMOTE_ADDR"];
if(result==null||result==String.Empty)
result=HttpContext.Current.Request.UserHostAddress;
returnresult;
}
}

取"HTTP_X_FORWARDED_FOR" 的弊端。HTTP_X_FORWARDED_FOR 是HTTP協(xié)議中頭的一部分，不影響TCP的通訊。也就是說(shuō)實(shí)際上客戶端可以發(fā)送任意內(nèi)容的 HTTP_X_FORWARDED_FOR，以就是偽造IP。最簡(jiǎn)單的是WEB程序的IP記錄，本來(lái)是要記錄真實(shí)IP的，反而被"黑客"欺騙。當(dāng)你的應(yīng)用程序記錄客戶的訪問(wèn)IP、拒絕或允許部分IP的訪問(wèn)、錯(cuò)誤日志都會(huì)出錯(cuò)，甚至誤殺。因此必要的安全日志應(yīng)該記錄完整的 "HTTP_X_FORWARDED_FOR" （至少給數(shù)據(jù)庫(kù)中的字段分配 3*15+2 個(gè)字節(jié)，以記錄至少3個(gè)IP）和 "REMOTE_ADDR"。對(duì) HTTP_X_FORWARDED_FOR 的IP格式檢查也是不可少的。附:(Text是我自定義的一個(gè)類(lèi)，IsIPAddress是其中的一個(gè)判斷是否是IP地址格式的方法)

[csharp]view plaincopy