Hallo Leute,
ich betreibe ein Forum mit ca 1300 Mitgliedern und in letzter Zeit häufen sich Zugriffe aus einem IP-Adressbereich, der eigentlich nur für lokale Netze gedacht ist, und zwar liegen diese IPs im Bereich 172.16.0.0 - 172.31.255.255.
Ich habe auf IPs in diesem Bereich einen Bann gelegt, ebenso wie auf 192.168.x.x und 10.x.x.x.
Bloß wo kommen diese Zugriffe her? Leider war ich diesmal wieder nicht schnell genug um die IP zu tracen. Hat jemand evtl. eine Idee?
Nils
Zugriff aus lokalem IP-Adressbereich
-
Roger Wilco
- Posts: 5923
- Joined: 2004-05-23 12:53
Re: Zugriff aus lokalem IP-Adressbereich
Vielleicht besuchen einige Mitarbeiter deines ISPs deine Seite? ;)
-
khark
Re: Zugriff aus lokalem IP-Adressbereich
Erlaubst du evtl. Strict Source Routing?
Damit kann man den Weg der Pakete durch das Netz festlegen. Verbunden mit IP-Spoofing macht das richtig Laune :-D
Ich würde an der Firewall einfach alles abweisen was von !=lokal kommt und eine Source-IP-Adresse hat, die in einem privaten IP-Adressbereich liegt.
- Wenn man so Sachen wie OpenVPN nutzt, muss man eben entsprechende Ausnahmen definieren.
Oder die entsprechende IP-Option filtern, dann kann man sich das sparen. Kann aber probleme mit Protokollen geben die das nutzen.. Musst du eben gucken.
Zur Erklärung siehe: http://www.iss.net/security_center/advi ... efault.htm
Und: http://de.wikipedia.org/wiki/Source_Routing
Damit kann man den Weg der Pakete durch das Netz festlegen. Verbunden mit IP-Spoofing macht das richtig Laune :-D
Ich würde an der Firewall einfach alles abweisen was von !=lokal kommt und eine Source-IP-Adresse hat, die in einem privaten IP-Adressbereich liegt.
- Wenn man so Sachen wie OpenVPN nutzt, muss man eben entsprechende Ausnahmen definieren.
Oder die entsprechende IP-Option filtern, dann kann man sich das sparen. Kann aber probleme mit Protokollen geben die das nutzen.. Musst du eben gucken.
Zur Erklärung siehe: http://www.iss.net/security_center/advi ... efault.htm
Und: http://de.wikipedia.org/wiki/Source_Routing
-
r. u. serious
- Posts: 88
- Joined: 2006-06-10 14:17
Re: Zugriff aus lokalem IP-Adressbereich
Wo tauchen diese IPs auf? in den Apache-Logs oder in der Forensoftware? Falls es nur in der Forensoftware ist, dann kann es sein, dassdiese sich auf den HTTP-Header verläßt in den manche Proxies "X-FORWARDED-FOR" o.ä. eintragen. Wenn alle ehrlich sind ist das praktisch um Leute hinter einem Proxy noch unterscheiden zu können - andererseits nutzen das eben manche auch um Spaß haben zu können. IIRC haben u.a. veraltete Versionen von phpBB und auch vBulletin sich mal nur auf den Wert verlassen.
Re: Zugriff aus lokalem IP-Adressbereich
Danke für zahlreiche Antworten.
Die IPs tauchen in der Forensoftware auf (simplemachines 1.1.1), da schau ich doch glatt mal ins Apache Log um zu sehen ob's überhaupt stimmt. Danke für den Tipp....
EDIT: Tatsache, im Apache Log kann ich keine dieser IPs finden. Vielen Dank!
Die IPs tauchen in der Forensoftware auf (simplemachines 1.1.1), da schau ich doch glatt mal ins Apache Log um zu sehen ob's überhaupt stimmt. Danke für den Tipp....
EDIT: Tatsache, im Apache Log kann ich keine dieser IPs finden. Vielen Dank!