Получение IP-адреса клиента: REMOTE_ADDR, HTTP_X_FORWARDED_FOR, что еще может быть полезно?
Я понимаю эту стандартную практику, чтобы посмотреть на обе эти переменные. Конечно, их можно легко подделать. Мне любопытно, как часто вы можете ожидать, что эти значения (особенно HTTP_X_FORWARDED_FOR) будут содержать настоящую информацию, а не просто скремблироваться или лишить их значений?
Любой, у кого есть опыт или статистика по этому поводу?
Есть ли что-нибудь еще, что может быть полезно для задачи получения IP-адреса клиента?
Ответы
Ответ 1
Это зависит от характера вашего сайта.
Я работаю над небольшим количеством программного обеспечения, в котором важно отслеживать IP-адреса, и в пределах поля, потребляемого сайтами-партерами, я предполагаю, что около 20% - 40% запросов являются либо обнаруженными поддельными IP-адресами, либо заголовками, заглушенными, в зависимости от время суток и откуда они пришли. Для сайта, который получает органический трафик (т.е. Не через партнеров), я ожидаю гораздо более высокое соотношение хороших IP-адресов.
Как сказал Коси, будьте осторожны, что вы делаете с этим - IP-адреса не являются надежным способом идентификации уникальных посетителей.
Ответ 2
В дополнение к REMOTE_ADDR и HTTP_X_FORWARDED_FOR могут быть установлены другие заголовки, такие как:
-
HTTP_CLIENT_IP
-
HTTP_X_FORWARDED_FOR может быть разделен запятыми список IP-адресов
-
HTTP_X_FORWARDED
-
HTTP_X_CLUSTER_CLIENT_IP
-
HTTP_FORWARDED_FOR
-
HTTP_FORWARDED
Я нашел код на следующем сайте полезным:
http://www.grantburton.com/?p=97
Ответ 3
Я портировал PHP-код Grant Burton на статический метод ASP.Net, вызываемый против HttpRequestBase. Он будет необязательно пропускать любые частные диапазоны IP.
public static class ClientIP
{
// based on http://www.grantburton.com/2008/11/30/fix-for-incorrect-ip-addresses-in-wordpress-comments/
public static string ClientIPFromRequest(this HttpRequestBase request, bool skipPrivate)
{
foreach (var item in s_HeaderItems)
{
var ipString = request.Headers[item.Key];
if (String.IsNullOrEmpty(ipString))
continue;
if (item.Split)
{
foreach (var ip in ipString.Split(','))
if (ValidIP(ip, skipPrivate))
return ip;
}
else
{
if (ValidIP(ipString, skipPrivate))
return ipString;
}
}
return request.UserHostAddress;
}
private static bool ValidIP(string ip, bool skipPrivate)
{
IPAddress ipAddr;
ip = ip == null ? String.Empty : ip.Trim();
if (0 == ip.Length
|| false == IPAddress.TryParse(ip, out ipAddr)
|| (ipAddr.AddressFamily != AddressFamily.InterNetwork
&& ipAddr.AddressFamily != AddressFamily.InterNetworkV6))
return false;
if (skipPrivate && ipAddr.AddressFamily == AddressFamily.InterNetwork)
{
var addr = IpRange.AddrToUInt64(ipAddr);
foreach (var range in s_PrivateRanges)
{
if (range.Encompasses(addr))
return false;
}
}
return true;
}
/// <summary>
/// Provides a simple class that understands how to parse and
/// compare IP addresses (IPV4) ranges.
/// </summary>
private sealed class IpRange
{
private readonly UInt64 _start;
private readonly UInt64 _end;
public IpRange(string startStr, string endStr)
{
_start = ParseToUInt64(startStr);
_end = ParseToUInt64(endStr);
}
public static UInt64 AddrToUInt64(IPAddress ip)
{
var ipBytes = ip.GetAddressBytes();
UInt64 value = 0;
foreach (var abyte in ipBytes)
{
value <<= 8; // shift
value += abyte;
}
return value;
}
public static UInt64 ParseToUInt64(string ipStr)
{
var ip = IPAddress.Parse(ipStr);
return AddrToUInt64(ip);
}
public bool Encompasses(UInt64 addrValue)
{
return _start <= addrValue && addrValue <= _end;
}
public bool Encompasses(IPAddress addr)
{
var value = AddrToUInt64(addr);
return Encompasses(value);
}
};
private static readonly IpRange[] s_PrivateRanges =
new IpRange[] {
new IpRange("0.0.0.0","2.255.255.255"),
new IpRange("10.0.0.0","10.255.255.255"),
new IpRange("127.0.0.0","127.255.255.255"),
new IpRange("169.254.0.0","169.254.255.255"),
new IpRange("172.16.0.0","172.31.255.255"),
new IpRange("192.0.2.0","192.0.2.255"),
new IpRange("192.168.0.0","192.168.255.255"),
new IpRange("255.255.255.0","255.255.255.255")
};
/// <summary>
/// Describes a header item (key) and if it is expected to be
/// a comma-delimited string
/// </summary>
private sealed class HeaderItem
{
public readonly string Key;
public readonly bool Split;
public HeaderItem(string key, bool split)
{
Key = key;
Split = split;
}
}
// order is in trust/use order top to bottom
private static readonly HeaderItem[] s_HeaderItems =
new HeaderItem[] {
new HeaderItem("HTTP_CLIENT_IP",false),
new HeaderItem("HTTP_X_FORWARDED_FOR",true),
new HeaderItem("HTTP_X_FORWARDED",false),
new HeaderItem("HTTP_X_CLUSTER_CLIENT_IP",false),
new HeaderItem("HTTP_FORWARDED_FOR",false),
new HeaderItem("HTTP_FORWARDED",false),
new HeaderItem("HTTP_VIA",false),
new HeaderItem("REMOTE_ADDR",false)
};
}
Ответ 4
Нет ответа на ваш вопрос, но:
В целом, полагаясь на IP-адрес клиентов, на мой взгляд, это не очень хорошая практика, так как нецелесообразно идентифицировать клиентов по-разному.
Проблемы на дороге состоят в том, что существует довольно много сценариев, в которых IP-адрес не соответствует клиенту:
- Proxy/Webfilter (запрещает почти все)
- Сеть анонимайзера (здесь нет никаких шансов)
- NAT (внутренний IP-адрес не очень полезен для вас)
- ...
Я не могу представить статистику о том, сколько IP-адресов в среднем надежное, но что я могу сказать вам, что практически невозможно определить, является ли данный IP-адрес реальным адресом клиентов.
Ответ 5
IP + "Пользовательский агент" может быть лучше для уникального посетителя.
Ответ 6
Если вы находитесь за прокси-сервером, вы должны использовать X-Forwarded-For: http://en.wikipedia.org/wiki/X-Forwarded-For
Это проект стандарта IETF с широкой поддержкой:
Поле X-Forwarded-For поддерживается большинством прокси-серверов, включая Squid, Apache mod_proxy, Pound, HAProxy, кэш-память, IronPort Web Security Appliance, AVANU WebMux, ArrayNetworks, Radware AppDirector и Alteon ADC, ADC-VX и ADC-VA, F5 Big-IP, Blue Coat ProxySG, Cisco Cache Engine, McAfee Web Gateway, Phion Airlock, Finjan Vital Security, NetApp NetCache, jetNEXUS, Crescendo Сети Maestro, Web Adjuster и Websense Web Security Gateway.
Если нет, вот несколько других общих заголовков, которые я видел:
Ответ 7
Вызовите метод ниже действия из вашего файла JS (чтобы получить IP-адрес IPv4).
[HttpGet]
public string GetIP()
{
IPAddress[] ipv4Addresses = Array.FindAll(
Dns.GetHostEntry(string.Empty).AddressList,
a => a.AddressFamily == System.Net.Sockets.AddressFamily.InterNetwork);
return ipv4Addresses.ToString();
}
Проверьте после сохранения точки останова и используйте согласно вашему требованию. Это работает нормально для меня.
