客户端ip:
Request.ServerVariables.Get("Remote_Addr").ToString();
客户端主机名:
Request.ServerVariables.Get("Remote_Host").ToString();
客户端浏览器IE:
Request.Browser.Browser;
客户端浏览器 版本号:
Request.Browser.MajorVersion;//
客户端操做系统:
Request.Browser.Platform;html
服务器ip:
Request.ServerVariables.Get("Local_Addr").ToString();
服务器名:
Request.ServerVariables.Get("Server_Name").ToString();浏览器
若是你想进一步了解ServerVariables,能够用
foreach(String o in Request.ServerVariables){
Response.Write(o+"="+Request.ServerVariables[o]+"<br>");
}服务器
对于了解代理服务器状况的人,咱们会知道,若是用户使用了代理服务器,上述代码得到的是代理服务器的IP地址;若是用户使用了多个代理服务器,则是到达服务器的最后一个代理服务器的IP地址。post
REMOTE_ADDR 说明:测试
访问客户端的 IP 地址。
此项信息用户不能够修改。
若是真的给改了的话,你也和服务器链接不了了,服务器就是按照这个来与客户端创建链接并进行通信的。实际我测试修改这个 ServerVariables , 一点效果都没有。仍然得到是实际的值。
另: Request.UserHostAddress 和 Request.ServerVariables["REMOTE_ADDR"] 实际是同一个值。ui
如何绕过代理服务器得到用户真实的IP地址呢? 这时候咱们通常是相似以下的代码(这里我简单起见,没有做一些边界判断)spa
private static string getIp(){if (System.Web.HttpContext.Current.Request.ServerVariables["HTTP_VIA"] != null)return System.Web.HttpContext.Current.Request.ServerVariables["HTTP_X_FORWARDED_FOR"].Split(new char[]{','})[0];elsereturn System.Web.HttpContext.Current.Request.ServerVariables["REMOTE_ADDR"];}
这样就足够了么? 这样是有问题的,HTTP_X_FORWARDED_FOR 、HTTP_VIA 是能够被冒名的。若是正好这里有SQL注入问题的话,那可很是严重了。操作系统
下面咱们就来具体看HTTP_VIA 和HTTP_X_FORWARDED_FOR 这两个 ServerVariables。代理
HTTP_VIAorm
若是有该条信息, 就证实您使用了代理服务器,代理服务器的地址就是后面的数值。
HTTP_X_FORWARDED_FOR
若是有该条信息, 也证实了您使用了代理服务器代理服务器的地址就是后面的数值。
须要注意的,HTTP_X_FORWARDED_FOR 的值,并不必定是只有一个IP地址,下面的信息也是可能的,每行一条记录。下面数据取材于CSDN 实际的数据。
10.194.73.11
unknown, unknown, 211.100.22.30
203.98.182.163, 203.98.182.163, 203.129.72.215
172.16.20.110, 202.116.64.196, 203.81.21.61
10.194.75.83, 10.194.73.11, 10.194.73.11, unknown
192.168.120.57, unknown, unknown, 211.10.10.195
10.2.4.211, 219.141.250.3
3.242.165.168, 218.108.22.164
unknown, 211.100.22.30
192.168.83.56, 210.21.224.233
218.94.136.176, 203.81.21.61
unknown, 210.75.1.181
10.161.196.218, 202.104.134.23
222.216.6.148, 222.216.6.146
155.161.59.47, unknown
须要注意的是这两个值都是能够被改掉的。
对于这三个值:REMOTE_ADDR、HTTP_VIA、HTTP_X_FORWARDED_FOR 来讲,能够分如下五种状况:
1、没有使用代理服务器的状况:
REMOTE_ADDR = 您的 IP
HTTP_VIA = 没数值或不显示
HTTP_X_FORWARDED_FOR = 没数值或不显示
2、使用透明代理服务器的状况:Transparent Proxies
REMOTE_ADDR = 最后一个代理服务器 IP
HTTP_VIA = 代理服务器 IP
HTTP_X_FORWARDED_FOR = 您的真实 IP ,通过多个代理服务器时,这个值相似以下:203.98.182.163, 203.98.182.163, 203.129.72.215。
这类代理服务器仍是将您的信息转发给您的访问对象,没法达到隐藏真实身份的目的。
3、使用普通匿名代理服务器的状况:Anonymous Proxies
REMOTE_ADDR = 最后一个代理服务器 IP
HTTP_VIA = 代理服务器 IP
HTTP_X_FORWARDED_FOR = 代理服务器 IP ,通过多个代理服务器时,这个值相似以下:203.98.182.163, 203.98.182.163, 203.129.72.215。
隐藏了您的真实IP,可是向访问对象透露了您是使用代理服务器访问他们的。
4、使用欺骗性代理服务器的状况:Distorting Proxies
REMOTE_ADDR = 代理服务器 IP
HTTP_VIA = 代理服务器 IP
HTTP_X_FORWARDED_FOR = 随机的 IP ,通过多个代理服务器时,这个值相似以下:203.98.182.163, 203.98.182.163, 203.129.72.215。
告诉了访问对象您使用了代理服务器,但编造了一个虚假的随机IP代替您的真实IP欺骗它。
5、使用高匿名代理服务器的状况:High Anonymity Proxies (Elite proxies)
REMOTE_ADDR = 代理服务器 IP
HTTP_VIA = 没数值或不显示
HTTP_X_FORWARDED_FOR = 没数值或不显示,通过多个代理服务器时,这个值相似以下:203.98.182.163, 203.98.182.163, 203.129.72.215。
彻底用代理服务器的信息替代了您的全部信息,就象您就是彻底使用那台代理服务器直接访问对象。
下面是一个简单的代码,来演示冒名上述信息,博客的测试代码。
服务器端的 UserIP.ASPX 页面的代码:
protected void Page_Load(object sender, EventArgs e){StringBuilder info = new StringBuilder();// 咱们关注的三个 ServerVariablesinfo.AppendFormat("HTTP_VIA = {0} <br />\r\n", Request.ServerVariables["HTTP_VIA"]);info.AppendFormat("HTTP_X_FORWARDED_FOR = {0} <br />\r\n", Request.ServerVariables["HTTP_X_FORWARDED_FOR"]);info.AppendFormat("REMOTE_ADDR = {0} <br />\r\n", Request.ServerVariables["REMOTE_ADDR"]);info.AppendLine("*********** \r\n<br />");// 其余有参考价值的 ServerVariablesforeach (string key in Request.ServerVariables.AllKeys){info.AppendFormat("{0} = {1} <br />\r\n", key, Request.ServerVariables[key]);}Response.Clear();Response.Write(info.ToString());Response.End();}
客户端发送请求的代码:
static void Main(string[] args){HttpWebRequest request = (HttpWebRequest)HttpWebRequest.Create("http://localhost:7867/MyTestWebSite/UserIP.aspx");request.Headers.Add("REMOTE_ADDR", "192.168.5.88");request.Headers.Add("VIA", "ghj1976");request.Headers.Add("X_FORWARDED_FOR", "0.0.0.0");HttpWebResponse response = (HttpWebResponse)request.GetResponse();StreamReader stream = new StreamReader(response.GetResponseStream());string info = stream.ReadToEnd();stream.Close();response.Close();request = null;Console.Write(info);Console.ReadLine();}
测试的结果中的重要信息:
测试的结果数据比较多,我这里只罗列了几个重要的。
HTTP_VIA = ghj1976 <br />
HTTP_X_FORWARDED_FOR = 0.0.0.0 <br />
REMOTE_ADDR = 127.0.0.1 <br />
***********
REMOTE_ADDR = 127.0.0.1 <br />
HTTP_VIA = ghj1976 <br />
HTTP_REMOTE_ADDR = 192.168.5.88 <br />
HTTP_X_FORWARDED_FOR = 0.0.0.0 <br />
上面测试代码须要注意的是:
咱们在客户端代码中设置了三个HTTP头信息,分别是:
REMOTE_ADDR、VIA、X_FORWARDED_FOR
实际在服务器段,这三个值应该经过下面三个属性来读取
HTTP_REMOTE_ADDR、HTTP_VIA 、HTTP_X_FORWARDED_FOR 注意他们的区别!!
REMOTE_ADDR 属性是没法设置的。或者说,设置的不是咱们所但愿的。
小结:
一、REMOTE_ADDR 不可被修改,可是可能会得到代理服务器的IP,而不是实际客户端的IP。
二、经过 HTTP_VIA、HTTP_X_FORWARDED_FOR 咱们能够得到代理服务器所代理的信息,可是这依靠代理服务器的支持。另外,这两个值能够被修改。咱们经过它得到的信息多是不真实的。另,HTTP_X_FORWARDED_FOR 的信息多是一个集合,不含 REMOTE_ADDR 中的代理服务器IP
posted @ 2010-01-15 11:32 kingwangzhen 阅读(19) 评论(0) 编辑