搜尋 ip, 結果:
由於 CDN 模式下,網站在判別 client ip 是透過 X-Forwarded-For 來判別來源IP
但因為 X-Forwarded-For 是可以偽裝的 header value,所以 hacker 會在裡面帶入特殊的IP,例如 127.0.0.1
這在正常 CDN 模式下,基本上應該沒有問題,因為程式上抓到的 X-Forwarded-For 會是最後一組IP
但萬一 client 端 不走CDN直連主機,開發者抓 client IP 是先抓 X-Forwarded-For,而不判斷網站是不是在 CDN 模式下
就會誤判來源IP。
解決方式可分為兩方面
1. 抓 X-Forworded-For 的 function 要判別內網IP (包括127.0.0.1),剔除掉
2. 網站程式判別白名單時,要用 Reuest.UserHostAddress 來判別內部IP
使用 ClientIP_After_CDN 只能用來判別外部IP
* 如果允許IP清單寫在系統參數或資料庫,但內容是 (內網IP + 外網IP)混用,最好是分開來
另外有一個防火牆的設定有關,也是建置網站很重要的設定
也就是設定 policy 時 wan -> virtual ip ,要記得把 NAT 關掉,
不然網站抓到的 UserHostAddress 都會是 190.168.x.254 之類的IP,這樣問題就大了。
但因為 X-Forwarded-For 是可以偽裝的 header value,所以 hacker 會在裡面帶入特殊的IP,例如 127.0.0.1
這在正常 CDN 模式下,基本上應該沒有問題,因為程式上抓到的 X-Forwarded-For 會是最後一組IP
但萬一 client 端 不走CDN直連主機,開發者抓 client IP 是先抓 X-Forwarded-For,而不判斷網站是不是在 CDN 模式下
就會誤判來源IP。
解決方式可分為兩方面
1. 抓 X-Forworded-For 的 function 要判別內網IP (包括127.0.0.1),剔除掉
2. 網站程式判別白名單時,要用 Reuest.UserHostAddress 來判別內部IP
使用 ClientIP_After_CDN 只能用來判別外部IP
* 如果允許IP清單寫在系統參數或資料庫,但內容是 (內網IP + 外網IP)混用,最好是分開來
另外有一個防火牆的設定有關,也是建置網站很重要的設定
也就是設定 policy 時 wan -> virtual ip ,要記得把 NAT 關掉,
不然網站抓到的 UserHostAddress 都會是 190.168.x.254 之類的IP,這樣問題就大了。
darren, 2022/3/1 下午 02:11:45
IIS 7.0 之後
用 HttpContext.Current.Request.UserHostAddress 抓的IP會是
類似 fe80::b148:cddc:81cd:fd10%2
這樣的IPv6 位址
如果要抓 IPv4 要特別改寫
參考
https://dotblogs.com.tw/hunterpo/2011/03/21/21991
HttpContext.Current.Request.UserHostAddress
暫時的替代方法
public static string GetClientIPv4() { string ipv4 = String.Empty; foreach (IPAddress ip in Dns.GetHostAddresses(GetClientIP())) { if (ip.AddressFamily.ToString() == "InterNetwork") { ipv4 = ip.ToString(); break; } } if (ipv4 != String.Empty) { return ipv4; } // 原作使用 Dns.GetHostName 方法取回的是 Server 端資訊,非 Client 端。 // 改寫為利用 Dns.GetHostEntry 方法,由獲取的 IPv6 位址反查 DNS 紀錄, // 再逐一判斷何者屬 IPv4 協定,即可轉為 IPv4 位址。 foreach (IPAddress ip in Dns.GetHostEntry(GetClientIP()).AddressList) //foreach (IPAddress ip in Dns.GetHostAddresses(Dns.GetHostName())) { if (ip.AddressFamily.ToString() == "InterNetwork") { ipv4 = ip.ToString(); break; } } return ipv4; } /// <summary> /// 取得客戶端主機位址 /// </summary> public static string GetClientIP() { if (null == HttpContext.Current.Request.ServerVariables["HTTP_VIA"]) { return HttpContext.Current.Request.ServerVariables["REMOTE_ADDR"]; } else { return HttpContext.Current.Request.ServerVariables["HTTP_X_FORWARDED_FOR"]; } }
用 HttpContext.Current.Request.UserHostAddress 抓的IP會是
類似 fe80::b148:cddc:81cd:fd10%2
這樣的IPv6 位址
如果要抓 IPv4 要特別改寫
參考
https://dotblogs.com.tw/hunterpo/2011/03/21/21991
HttpContext.Current.Request.UserHostAddress
暫時的替代方法
public static string GetClientIPv4() { string ipv4 = String.Empty; foreach (IPAddress ip in Dns.GetHostAddresses(GetClientIP())) { if (ip.AddressFamily.ToString() == "InterNetwork") { ipv4 = ip.ToString(); break; } } if (ipv4 != String.Empty) { return ipv4; } // 原作使用 Dns.GetHostName 方法取回的是 Server 端資訊,非 Client 端。 // 改寫為利用 Dns.GetHostEntry 方法,由獲取的 IPv6 位址反查 DNS 紀錄, // 再逐一判斷何者屬 IPv4 協定,即可轉為 IPv4 位址。 foreach (IPAddress ip in Dns.GetHostEntry(GetClientIP()).AddressList) //foreach (IPAddress ip in Dns.GetHostAddresses(Dns.GetHostName())) { if (ip.AddressFamily.ToString() == "InterNetwork") { ipv4 = ip.ToString(); break; } } return ipv4; } /// <summary> /// 取得客戶端主機位址 /// </summary> public static string GetClientIP() { if (null == HttpContext.Current.Request.ServerVariables["HTTP_VIA"]) { return HttpContext.Current.Request.ServerVariables["REMOTE_ADDR"]; } else { return HttpContext.Current.Request.ServerVariables["HTTP_X_FORWARDED_FOR"]; } }
sean, 2019/6/27 下午 06:47:31
IIS 發布專案可以打包成 zip, 之後直接用匯入的, 還不錯用.
Server 端要安裝兩個東西. 順序不可以錯, 錯了就要移除重新安裝.
1. IIS 的 Management Service
2. Web Deploy v3.6
Server 端要安裝兩個東西. 順序不可以錯, 錯了就要移除重新安裝.
1. IIS 的 Management Service
2. Web Deploy v3.6
Bike, 2018/6/10 下午 09:50:24
1. 打開 Service/Firewall
2. 按下最上方的 +
3. 填入 source 並把 Action 改為 Deny,再按下右上方的 "Apply" 即可。
2. 按下最上方的 +
3. 填入 source 並把 Action 改為 Deny,再按下右上方的 "Apply" 即可。
Bike, 2014/1/2 下午 07:09:33
Fortigate 要指定對外的 IP,可以在 "規則 > 防火牆策略 > 防火牆策略" 之下設定,可能必需配合路由的 "政策路由",有空再來試試。
1. 先建立位址:
2. 建立 IP Pool:
3. 建立策略:
1. 先建立位址:
2. 建立 IP Pool:
3. 建立策略:
Bike, 2013/11/25 下午 02:21:10
要允許在各目錄下限定 IP,要修改以下的檔案
C:\Windows\System32\inetsrv\config\applicationHost.config
修改的位置如下圖,把 ipSecurity 的 overrideModeDefault 改為 Allow:
C:\Windows\System32\inetsrv\config\applicationHost.config
修改的位置如下圖,把 ipSecurity 的 overrideModeDefault 改為 Allow:
Bike, 2013/5/19 下午 05:12:36
最近遇到客戶的電腦三不五時無法連接檔案分享的問題, 查了一下 Windows 2008 和 Win 7 很多網路問題都可能和 Auto Tuning 有關, 以下是關閉的方法.
顯示網路狀態:
關閉 Auto Tuning:
開啟 Auto Tuning:
2012/05/19
嘿嘿 .. 問題又發生了, 看來沒什麼效果..
顯示網路狀態:
netsh interface tcp show global
關閉 Auto Tuning:
netsh interface tcp set global autotuning=disabled
開啟 Auto Tuning:
netsh interface tcp set global autotuningl=normal
2012/05/19
嘿嘿 .. 問題又發生了, 看來沒什麼效果..
Bike, 2012/5/17 上午 08:28:35