c#获取客户端IP地址(考虑代理)

2023-08-03 00:54:04 169

说明：本文中的内容是我综合博客园上的博文和MSDN讨论区的资料，再通过自己的实际测试而得来，属于自己原创的内容说实话很少，写这一篇是为了记录自己在项目中做过的事情，同时也想抛砖引玉。参考的博文及其作者在下文均有提及。待到自己以后对HTTP、TCP/IP等知识学深入了，一定再来这里深入讨论这个内容。

一、名词

首先说一下接下来要讲到的一些名词。

在Web开发中，我们大多都习惯使用HTTP请求头中的某些属性来获取客户端的IP地址，常见的属性是REMOTE_ADDR、HTTP_VIA和HTTP_X_FORWARDED_FOR。

这三个属性的含义，大概是如此：（摘自网上，欢迎指正）

REMOTE_ADDR：该属性的值是客户端跟服务器“握手”时候的IP。如果使用了“匿名代理”，REMOTE_ADDR将显示代理服务器的IP。

X-Forwarded-For：是用来识别通过HTTP代理或负载均衡方式连接到Web服务器的客户端最原始的IP地址的HTTP请求头字段。

XFF的有效性依赖于代理服务器提供的连接原始IP地址的真实性，因此,XFF的有效使用应该保证代理服务器是可信的,比如可以通过建立可信服务器白名单的方式。

这一HTTP头一般格式如下：

X-Forwarded-For:client1,proxy1,proxy2

其中的值通过逗号+空格，把多个IP地址区分开,最左边(client1)是最原始客户端的IP地址,代理服务器每成功收到一个请求，就把请求来源IP地址添加到右边。在上面这个例子中，这个请求成功通过了三台代理服务器：proxy1,proxy2及proxy3。请求由client1发出，到达了proxy3(proxy3可能是请求的终点)。请求刚从client1中发出时，XFF是空的，请求被发往proxy1；通过proxy1的时候，client1被添加到XFF中，之后请求被发往proxy2;通过proxy2的时候，proxy1被添加到XFF中，之后请求被发往proxy3；通过proxy3时，proxy2被添加到XFF中，之后请求的的去向不明，如果proxy3不是请求终点，请求会被继续转发。

鉴于伪造这一字段非常容易，应该谨慎使用X-Forwarded-For字段。正常情况下XFF中最后一个IP地址是最后一个代理服务器的IP地址,这通常是一个比较可靠的信息来源。

（另附维基中对X-Forwarded-For的完整介绍：http://zh.wikipedia.org/wiki/X-Forwarded-For）

至于在使用这些属性的时候，属性的值是什么，网上查到一份这样的博文：获取用户IP地址的三个属性的区别

而在ASP.NET中，还可以通过另外一种方式获得客户端的IP地址，那就是通过Request对象中的UserHostAddress属性。在MSDNLibrary中，对这个属性是这样解释的：属性值是远程客户端的IP地址。

如果客户端使用了代理服务器，那么Request.UserHostAddress属性获得的就是代理服务器的IP地址。

二、方法

好了，讲了那么多概念性的东西，咱们来讲一下实现的方法。

网上大多数方法的思路是：如果有代理IP，则优先获取代理IP，否则获取连接客户端的IP；或者调转过来，先获取连接客户端的IP，如获取失败，则获取代理IP。

以下方法参考博文asp.net获取客户端IP （作者comeonfyz）

///
///获取客户端IP地址
///
///若失败则返回回送地址
publicstaticstringGetIP()
{
//如果客户端使用了代理服务器，则利用HTTP_X_FORWARDED_FOR找到客户端IP地址
stringuserHostAddress=HttpContext.Current.Request.ServerVariables["HTTP_X_FORWARDED_FOR"].ToString().Split(',')[0].Trim();
//否则直接读取REMOTE_ADDR获取客户端IP地址
if(string.IsNullOrEmpty(userHostAddress))
{
userHostAddress=HttpContext.Current.Request.ServerVariables["REMOTE_ADDR"];
}
//前两者均失败，则利用Request.UserHostAddress属性获取IP地址，但此时无法确定该IP是客户端IP还是代理IP
if(string.IsNullOrEmpty(userHostAddress))
{
userHostAddress=HttpContext.Current.Request.UserHostAddress;
}
//最后判断获取是否成功，并检查IP地址的格式（检查其格式非常重要）
if(!string.IsNullOrEmpty(userHostAddress)&&IsIP(userHostAddress))
{
returnuserHostAddress;
}
return"127.0.0.1";
}

///
///检查IP地址格式
///
///
///
publicstaticboolIsIP(stringip)
{
returnSystem.Text.RegularExpressions.Regex.IsMatch(ip,@"^((2[0-4]\d|25[0-5]|[01]?\d\d?)\.){3}(2[0-4]\d|25[0-5]|[01]?\d\d?)$");
}

但是这样做有一个很严重的缺陷，那就是如大牛Kingthy在其博文使用HTTP_X_FORWARDED_FOR获取客户端IP的严重后果中所说的，"HTTP_X_FORWARDED_FOR"这个值是通过获取HTTP头的"X_FORWARDED_FOR"属性取得的，恶意破坏者可以很轻松地伪造IP地址；而且上文特别提到过，XFF的有效性依赖于代理服务器提供的连接原始IP地址的真实性，因此,XFF的有效使用应该保证代理服务器是可信的。但是作为开发者，我们既不知道用户的IP地址的真实性，更是难以分辨代理服务器的可信性。

因此，综合各个方面的资料，我个人的想法与大牛Kingthy一样：无视代理。

///
///获取客户端IP地址
///
///若失败则返回回送地址
publicstaticstringGetIP()
{
//如果客户端使用了代理服务器，则利用HTTP_X_FORWARDED_FOR找到客户端IP地址
stringuserHostAddress=HttpContext.Current.Request.ServerVariables["HTTP_X_FORWARDED_FOR"].ToString().Split(',')[0].Trim();
//否则直接读取REMOTE_ADDR获取客户端IP地址
if(string.IsNullOrEmpty(userHostAddress))
{
userHostAddress=HttpContext.Current.Request.ServerVariables["REMOTE_ADDR"];
}
//前两者均失败，则利用Request.UserHostAddress属性获取IP地址，但此时无法确定该IP是客户端IP还是代理IP
if(string.IsNullOrEmpty(userHostAddress))
{
userHostAddress=HttpContext.Current.Request.UserHostAddress;
}
//最后判断获取是否成功，并检查IP地址的格式（检查其格式非常重要）
if(!string.IsNullOrEmpty(userHostAddress)&&IsIP(userHostAddress))
{
returnuserHostAddress;
}
return"127.0.0.1";
}

///
///检查IP地址格式
///
///
///
publicstaticboolIsIP(stringip)
{
returnSystem.Text.RegularExpressions.Regex.IsMatch(ip,@"^((2[0-4]\d|25[0-5]|[01]?\d\d?)\.){3}(2[0-4]\d|25[0-5]|[01]?\d\d?)$");
}

三、总结

无视代理服务器肯定不是最好的解决方案，如果项目需求明确说要客户端的真实地址，那肯定就不能无视代理服务器了。

另外，我也向Artech大牛请教过这方面的问题，他虽然对这些没有深入的研究，但是他也认为没有一种IP获取方式是完全值得信赖的，因为这是TCP/IP协议本身决定的。

附上Artech大牛给我的一份资料，分享分享。http://www.symantec.com/connect/articles/ip-spoofing-introduction

以上就是本文的全部内容，希望对大家的学习有所帮助，也希望大家多多支持毛票票。

声明：本文内容来源于网络，版权归原作者所有，内容由互联网用户自发贡献自行上传，本网站不拥有所有权，未作人工编辑处理，也不承担相关法律责任。如果您发现有涉嫌版权的内容，欢迎发送邮件至：czq8825#qq.com（发邮件时，请将#更换为@）进行举报，并提供相关证据，一经查实，本站将立刻删除涉嫌侵权内容。

c#获取客户端IP地址(考虑代理)

热门推荐

随机推荐