it-swarm.com.de

Gibt es etwas Ungewöhnliches oder Schändliches an privaten IP-Adressen in Serverprotokollen?

Eine von mir betreute Site wurde gerade von jemandem aus den Versionen 172.31.13.241 und 172.31.42.227 gecrawlt. Laut WHOIS-Info sind diese Teile eines Blocks, der von IANA für spezielle Zwecke, insbesondere für private Netzwerke, reserviert wurde.

Sie machen 400 U/min - obwohl es nicht allzu schlimm ist und kein Problem für die Infrastruktur darstellt, fühlt es sich nicht wie harmloses Crawlen an (z. B. wird Googlebot anscheinend weit weniger Anfragen stellen, und ich habe zuvor andere Websites gecrawlt 1 bis 5 U/min).

Ich habe sie für den Moment gesperrt, möchte aber wissen, ob es eine plausible Erklärung gibt, die darauf hinweist, dass private IPs in Apache-Zugriffsprotokollen aus irgendeinem Grund eine normale, "übliche" Sache sind. Bisher konnte ich keine solchen Erklärungen in Superuser.com, Webmasters SE oder im weiteren Netz finden.

EDIT: Danke für den umfassenden Überblick John McNamara. Es stellte sich heraus, dass die beiden IPs zum Elastic Load Balancer vor unseren AWS-Instanzen gehörten. Die Sache ist, dass es normalerweise die IP der Anfrage direkt an die Instanzen weiterleitet (z. B. kann ich die IP von GoogleBot sehen, während ich surfe, kann ich die IP von Nutzern und meine eigene IP sehen). Ich habe die Protokolle des Load Balancers verwendet, um die öffentliche IP herauszufinden. Es stellte sich heraus, dass wir ein Produkt ausprobieren, das Crawlen erfordert. Ich glaube, sie crawlen normalerweise viel größere Websites als unsere, daher die ungewöhnlich hohe Anzahl.

1
Emanuil Tolev

Gibt es etwas Ungewöhnliches oder Schändliches an privaten IP-Adressen in Serverprotokollen?

ich würde gerne wissen, ob es eine plausible Erklärung gibt, die darauf hinweist, dass private IPs in Apache-Zugriffsprotokollen aus irgendeinem Grund eine normale, "übliche" Sache sind

Ungewöhnlich, nein. Schändlich, möglicherweise hängt es wirklich davon ab, was der Verkehr versucht zu tun.

von https://www.iana.org/help/abuse-answers

Wenn Sie einen offensichtlichen Angriff oder Spam sehen, der von einem dieser Adressbereiche ausgeht, kommt er entweder aus Ihrer lokalen Umgebung, von Ihrem ISP oder die Adresse wurde " gefälscht ".

Die Grundursache kann eine der folgenden sein

  1. falsch konfiguriertes Gerät in Ihrem LAN, das viele Anfragen verursacht
  2. falsch konfiguriertes Gerät im Netzwerk Ihres Internetdienstanbieters, das viele Anfragen verursacht
  3. malware/aktiver Angreifer in Ihrem LAN
  4. malware/aktiver Angreifer im Netzwerk Ihres ISP
  5. aktiver Angreifer beim Internet-Spoofing von IP-Adressen
1
John McNamara