Abrufen der Client-IP-Adresse: REMOTE_ADDR, HTTP_X_FORWARDED_FOR, was könnte sonst noch nützlich sein?

Verstehe ich, dass es eine gängige Praxis, um Blick auf diese beiden Variablen. Natürlich, Sie können leicht gefälscht werden. Ich bin mal gespannt wie oft können Sie erwarten, dass diese Werte (vor allem die HTTP_X_FORWARDED_FOR) enthalten echte Informationen und nicht nur Rührei oder Ihre Werte abgestreift?

Jemand mit dem Erfahrung oder Statistiken auf dieses Zeug?

Ist es etwas anderes, das nützlich sein kann für die Aufgabe zu bekommen, der client die IP-Adresse?

InformationsquelleAutor der Frage User | 2009-02-09

  1. 27

    Es hängt von der Art Ihrer Website.

    Zufällig bin ich auf Arbeit ein bisschen software, wo IP-tracking ist wichtig, und in einem Bereich verbraucht, Teiler Seiten, die ich Schätze, etwa 20% - 40% der Anfragen sind entweder detectably gefälschte IP-Adressen oder IP-Header ausgeblendet, abhängig von der Tageszeit und wo Sie herkamen. Für eine Website, die bekommt organischen traffic (also nicht durch den Partner), würde ich erwarten, dass ein viel höherer Anteil an guten IPs.

    Als Kosi sagte, sei vorsichtig, was du tust mit diesem - IPs sind in keiner Weise eine zuverlässige Methode zur Identifizierung eindeutiger Besucher.

    InformationsquelleAutor der Antwort annakata

  2. 58

    Neben REMOTE_ADDR und HTTP_X_FORWARDED_FOR es gibt einige andere Header, die gesetzt werden können, wie:

    • HTTP_CLIENT_IP
    • HTTP_X_FORWARDED_FOR kann durch Komma getrennte Liste von IPs
    • HTTP_X_FORWARDED
    • HTTP_X_CLUSTER_CLIENT_IP
    • HTTP_FORWARDED_FOR
    • HTTP_FORWARDED

    Fand ich den code auf der folgenden Website hilfreich sein:

    http://www.grantburton.com/?p=97

    InformationsquelleAutor der Antwort ejunker

  3. 10

    Habe ich portiert Grant Burton ist der PHP-code ein ASP.Net die statische Methode callable gegen die HttpRequestBase. Es wird Optional überspringen, die durch beliebige private IP-Bereiche.

    public static class ClientIP
{
    //based on http://www.grantburton.com/2008/11/30/fix-for-incorrect-ip-addresses-in-wordpress-comments/
    public static string ClientIPFromRequest(this HttpRequestBase request, bool skipPrivate)
    {
        foreach (var item in s_HeaderItems)
        {
            var ipString = request.Headers[item.Key];

        if (String.IsNullOrEmpty(ipString))
            continue;

        if (item.Split)
        {
            foreach (var ip in ipString.Split(','))
                if (ValidIP(ip, skipPrivate))
                    return ip;
        }
        else
        {
            if (ValidIP(ipString, skipPrivate))
                return ipString;
        }
    }

    return request.UserHostAddress;
}

private static bool ValidIP(string ip, bool skipPrivate)
{
    IPAddress ipAddr;

    ip = ip == null ? String.Empty : ip.Trim();

    if (0 == ip.Length
        || false == IPAddress.TryParse(ip, out ipAddr)
        || (ipAddr.AddressFamily != AddressFamily.InterNetwork
            && ipAddr.AddressFamily != AddressFamily.InterNetworkV6))
        return false;

    if (skipPrivate && ipAddr.AddressFamily == AddressFamily.InterNetwork)
    {
        var addr = IpRange.AddrToUInt64(ipAddr);
        foreach (var range in s_PrivateRanges)
        {
            if (range.Encompasses(addr))
                return false;
        }
    }

    return true;
}

///<summary>
///Provides a simple class that understands how to parse and
///compare IP addresses (IPV4) ranges.
///</summary>
private sealed class IpRange
{
    private readonly UInt64 _start;
    private readonly UInt64 _end;

    public IpRange(string startStr, string endStr)
    {
        _start = ParseToUInt64(startStr);
        _end = ParseToUInt64(endStr);
    }

    public static UInt64 AddrToUInt64(IPAddress ip)
    {
        var ipBytes = ip.GetAddressBytes();
        UInt64 value = 0;

        foreach (var abyte in ipBytes)
        {
            value <<= 8;    //shift
            value += abyte;
        }

        return value;
    }

    public static UInt64 ParseToUInt64(string ipStr)
    {
        var ip = IPAddress.Parse(ipStr);
        return AddrToUInt64(ip);
    }

    public bool Encompasses(UInt64 addrValue)
    {
        return _start <= addrValue && addrValue <= _end;
    }

    public bool Encompasses(IPAddress addr)
    {
        var value = AddrToUInt64(addr);
        return Encompasses(value);
    }
};

private static readonly IpRange[] s_PrivateRanges =
    new IpRange[] { 
            new IpRange("0.0.0.0","2.255.255.255"),
            new IpRange("10.0.0.0","10.255.255.255"),
            new IpRange("127.0.0.0","127.255.255.255"),
            new IpRange("169.254.0.0","169.254.255.255"),
            new IpRange("172.16.0.0","172.31.255.255"),
            new IpRange("192.0.2.0","192.0.2.255"),
            new IpRange("192.168.0.0","192.168.255.255"),
            new IpRange("255.255.255.0","255.255.255.255")
    };


///<summary>
///Describes a header item (key) and if it is expected to be 
///a comma-delimited string
///</summary>
private sealed class HeaderItem
{
    public readonly string Key;
    public readonly bool Split;

    public HeaderItem(string key, bool split)
    {
        Key = key;
        Split = split;
    }
}

//order is in trust/use order top to bottom
private static readonly HeaderItem[] s_HeaderItems =
    new HeaderItem[] { 
            new HeaderItem("HTTP_CLIENT_IP",false),
            new HeaderItem("HTTP_X_FORWARDED_FOR",true),
            new HeaderItem("HTTP_X_FORWARDED",false),
            new HeaderItem("HTTP_X_CLUSTER_CLIENT_IP",false),
            new HeaderItem("HTTP_FORWARDED_FOR",false),
            new HeaderItem("HTTP_FORWARDED",false),
            new HeaderItem("HTTP_VIA",false),
            new HeaderItem("REMOTE_ADDR",false)
    };
}

    InformationsquelleAutor der Antwort IDisposable

  4. 7

    Keine wirkliche Antwort auf deine Frage, aber:

    In der Regel verlassen sich auf den clients die IP-Adresse ist meiner Meinung nach keine gute Praxis, da es nicht verwendet werden, um clients zu identifizieren, die in einer einzigartigen Weise.

    Probleme auf der Straße sind, es gibt ziemlich viele Szenarien, in denen die IP nicht wirklich ausrichten, um eine client:

    • Proxy/Webfilter (mangle fast alles)
    • Anonymizer network (hier keine chance)
    • NAT (eine interne IP ist nicht sehr nützlich für Sie)
    • ...

    Kann ich nicht bieten keine Statistiken darüber, wie viele IP-Adressen sind durchschnittlich zuverlässig, aber was ich Ihnen sagen kann, dass es fast unmöglich zu sagen, ob eine gegebene IP-Adresse die echte Kunden-Adresse.

    InformationsquelleAutor der Antwort Kosi2801

  5. 2

    IP + User-Agent" könnte sich besser für einmalige Besucher.

    InformationsquelleAutor der Antwort

  6. 1

    Wenn Sie sich hinter einem proxy verwenden, sollten Sie X-Forwarded-For: http://en.wikipedia.org/wiki/X-Forwarded-For

    Es ist ein IETF draft standard mit breiter Unterstützung:

    Den X-Forwarded-For-Feld wird unterstützt durch die meisten proxy-Servern,
    einschließlich Squid, Apache, mod_proxy, Pound, HAProxy, Varnish cache,
    IronPort Web Security Appliance, AVANU WebMux, ArrayNetworks,
    Radware ist AppDirector und Alteon ADC, ADC-VX, und ADC-VA, F5 Big-IP,
    Blue Coat ProxySG, Cisco Cache Engine, McAfee Web Gateway, Phion
    Airlock, Finjan ' s Vital Security, NetApp, NetCache, jetNEXUS, Crescendo
    Networks' Maestro, Web-Einsteller und Websense Web Security Gateway.

    Wenn nicht, hier sind ein paar andere übliche Header, die ich gesehen habe:

    InformationsquelleAutor der Antwort lmsurprenant

Schreibe einen Kommentar