Java获取客户端IP地址及注意事项

 

在JSP里,获取客户端的IP地址的方法是:request.getRemoteAddr(),这种方法在大部分情况下都是有效的。但是在通过了Apache,Squid等反向代理软件就不能获取到客户端的真实IP地址了。

    如果使用了反向代理软件,将http://192.168.1.110:2046/ 的URL反向代理为 http://www.javapeixun.com.cn / 的URL时,用request.getRemoteAddr()方法获取的IP地址是:127.0.0.1 或 192.168.1.110,而并不是客户端的真实IP。

    于是可得出获得客户端真实IP地址的方法一:

Java代码:

public String getRemortIP(HttpServletRequest request) {

  if (request.getHeader("x-forwarded-for") == null) {

    return request.getRemoteAddr();

  }

  return request.getHeader("x-forwarded-for");

}

   可是当我访问http://www.5a520.cn /index.jsp/ 时,返回的IP地址始终是unknown,也并不是如上所示的127.0.0.1 或 192.168.1.110了,而我访问http://192.168.1.110:2046/index.jsp 时,则能返回客户端的真实IP地址,写了个方法去验证。原因出在了Squid上。squid.conf 的配制文件 forwarded_for 项默认是为on,如果 forwarded_for 设成了 off  则:X-Forwarded-For: unknown


于是可得出获得客户端真实IP地址的方法二:

Java代码:

public String getIpAddr(HttpServletRequest request) {

       String ip = request.getHeader("x-forwarded-for");

       if(ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {

           ip = request.getHeader("Proxy-Client-IP");

       }

       if(ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {

           ip = request.getHeader("WL-Proxy-Client-IP");

       }

       if(ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {

           ip = request.getRemoteAddr();

       }

       return ip; 

}

    可是,如果通过了多级反向代理的话,X-Forwarded-For的值并不止一个,而是一串Ip值,究竟哪个才是真正的用户端的真实IP呢?

    答案是取X-Forwarded-For中第一个非unknown的有效IP字符串。

    如:X-Forwarded-For:192.168.1.110, 192.168.1.120, 192.168.1.130, 192.168.1.100用户真实IP为: 192.168.1.110

 

最近做一个安全系统,需要对用户的 ip 和 mac 地址进行验证,这里用到获取客户端ip和mac地址的两个方法,留存。

获取客户端mac地址

调用window的命令,在后台Bean里实现 通过ip来获取mac地址。方法如下:

public String getMACAddress(String ip){

   String str = "";

   String macAddress = "";

   try {

        Process p = Runtime.getRuntime().exec("nbtstat -A " + ip);

        InputStreamReader ir = new InputStreamReader(p.getInputStream());

        LineNumberReader input = new LineNumberReader(ir);

        for (int i = 1; i < 100; i++) {

             str = input.readLine();

             if (str != null) {

                 if (str.indexOf("MAC Address") > 1) {

                     macAddress = str.substring(str.indexOf("MAC Address") + 14, str.length());

                     break;

                 }

             }

        }

   } catch (IOException e) {

        e.printStackTrace(System.out);

   }

   return macAddress;

}

补充:

关于获取IP地址的方式,最近在linux下有一个教训,如果单纯通过InetAddress来获取IP地址,就会出现在不同的机器上IP地址不同的问题。

InetAddress.getLocalHost().getAddress() 实际上是根据hostname来获取IP地址的。linux系统在刚刚装完默认的hostname是localhost,所以通过上面代码获取到的本机ip就是127.0.0.1, 相对应,比如我的hostname就是rjlin.atsig.com 返回的ip地址确是atsig.com的地址。暂时采用下面代码来处理,当然还不够灵活:

public static byte[] getIp() throws UnknownHostException {

byte[] b = InetAddress.getLocalHost().getAddress();

Enumeration allNetInterfaces = null;

try {

allNetInterfaces = NetworkInterface.getNetworkInterfaces();

} catch (SocketException e) {

e.printStackTrace();

}

InetAddress ip = null;

NetworkInterface netInterface = null;

while (allNetInterfaces.hasMoreElements()) {

netInterface = (NetworkInterface) allNetInterfaces.nextElement();

if (netInterface.getName().trim().equals("eth0")){

Enumeration addresses = netInterface.getInetAddresses();

while (addresses.hasMoreElements()) {

ip = (InetAddress) addresses.nextElement();

}

break;

}

}

if (ip != null && ip instanceof Inet4Address) {

return b = ip.getAddress();

}

return b;

}

 

上面代码看来起是正常的.可惜这里却隐藏了一个隐患!!因为"X_FORWARDED_FOR"这个值是通过获取HTTP头的"X_FORWARDED_FOR"属性取得.所以这里就提供给恶意破坏者一个办法:可以伪造IP地址!! 可以直接使用java设置X_FORWARDED_FOR的值,甚至可以设置可执行的sql语句,因此在此判断校验要非常小心。

 

你可能感兴趣的:(代理,客户端IP,获取mac地址)