Java获取客户端IP地址及注意事项

 

在JSP里，获取客户端的IP地址的方法是：request.getRemoteAddr（），这种方法在大部分情况下都是有效的。但是在通过了Apache，Squid等反向代理软件就不能获取到客户端的真实IP地址了。

    如果使用了反向代理软件，将http://192.168.1.110：2046/ 的URL反向代理为 http://www.javapeixun.com.cn / 的URL时，用request.getRemoteAddr（）方法获取的IP地址是：127.0.0.1　或　192.168.1.110，而并不是客户端的真实IP。

    于是可得出获得客户端真实IP地址的方法一：

Java代码：

public String getRemortIP(HttpServletRequest request) {

  if (request.getHeader("x-forwarded-for") == null) {

    return request.getRemoteAddr();

  }

  return request.getHeader("x-forwarded-for");

}

   可是当我访问http://www.5a520.cn /index.jsp/ 时，返回的IP地址始终是unknown，也并不是如上所示的127.0.0.1　或　192.168.1.110了，而我访问http://192.168.1.110：2046/index.jsp 时，则能返回客户端的真实IP地址，写了个方法去验证。原因出在了Squid上。squid.conf 的配制文件　forwarded_for 项默认是为on，如果 forwarded_for 设成了 off 　则：X-Forwarded-For： unknown

于是可得出获得客户端真实IP地址的方法二：

Java代码：

public String getIpAddr(HttpServletRequest request) {

       String ip = request.getHeader("x-forwarded-for");

       if(ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {

           ip = request.getHeader("Proxy-Client-IP");

       }

       if(ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {

           ip = request.getHeader("WL-Proxy-Client-IP");

       }

       if(ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {

           ip = request.getRemoteAddr();

       }

       return ip; 

}

    可是，如果通过了多级反向代理的话，X-Forwarded-For的值并不止一个，而是一串Ip值，究竟哪个才是真正的用户端的真实IP呢？

    答案是取X-Forwarded-For中第一个非unknown的有效IP字符串。

    如：X-Forwarded-For：192.168.1.110， 192.168.1.120， 192.168.1.130， 192.168.1.100用户真实IP为： 192.168.1.110

 

最近做一个安全系统，需要对用户的 ip 和 mac 地址进行验证，这里用到获取客户端ip和mac地址的两个方法，留存。

获取客户端mac地址

调用window的命令，在后台Bean里实现 通过ip来获取mac地址。方法如下：

public String getMACAddress(String ip){

   String str = "";

   String macAddress = "";

   try {

        Process p = Runtime.getRuntime().exec("nbtstat -A " + ip);

        InputStreamReader ir = new InputStreamReader(p.getInputStream());

        LineNumberReader input = new LineNumberReader(ir);

        for (int i = 1; i < 100; i++) {

             str = input.readLine();

             if (str != null) {

                 if (str.indexOf("MAC Address") > 1) {

                     macAddress = str.substring(str.indexOf("MAC Address") + 14, str.length());

                     break;

                 }

             }

        }

   } catch (IOException e) {

        e.printStackTrace(System.out);

   }

   return macAddress;

}

补充：

关于获取IP地址的方式，最近在linux下有一个教训，如果单纯通过InetAddress来获取IP地址，就会出现在不同的机器上IP地址不同的问题。

InetAddress.getLocalHost().getAddress() 实际上是根据hostname来获取IP地址的。linux系统在刚刚装完默认的hostname是localhost，所以通过上面代码获取到的本机ip就是127.0.0.1, 相对应，比如我的hostname就是rjlin.atsig.com 返回的ip地址确是atsig.com的地址。暂时采用下面代码来处理，当然还不够灵活：

public static byte[] getIp() throws UnknownHostException {

byte[] b = InetAddress.getLocalHost().getAddress();

Enumeration allNetInterfaces = null;

try {

allNetInterfaces = NetworkInterface.getNetworkInterfaces();

} catch (SocketException e) {

e.printStackTrace();

}

InetAddress ip = null;

NetworkInterface netInterface = null;

while (allNetInterfaces.hasMoreElements()) {

netInterface = (NetworkInterface) allNetInterfaces.nextElement();

if (netInterface.getName().trim().equals("eth0")){

Enumeration addresses = netInterface.getInetAddresses();

while (addresses.hasMoreElements()) {

ip = (InetAddress) addresses.nextElement();

}

break;

}

}

if (ip != null && ip instanceof Inet4Address) {

return b = ip.getAddress();

}

return b;

}

 

上面代码看来起是正常的.可惜这里却隐藏了一个隐患!!因为"X_FORWARDED_FOR"这个值是通过获取HTTP头的"X_FORWARDED_FOR"属性取得.所以这里就提供给恶意破坏者一个办法:可以伪造IP地址!! 可以直接使用java设置X_FORWARDED_FOR的值，甚至可以设置可执行的sql语句，因此在此判断校验要非常小心。