我得到了一些 IP 如 192.168.0.* 或 192.168.7.* 访问我的网站。
我将其托管在 Rackspace 中。
这怎么可能?IP 欺骗?有什么线索吗?
谢谢!
答案1
不确定 Rackspace,但一些托管服务提供商为服务器提供 2 个网卡,一个面向公众,另一个面向内部,位于他们自己的内部网络上,用于管理系统。
如果它是内部网络,那么看到来自该 IP 的网络流量似乎很奇怪 - 除非他们正在监控漏洞或类似的东西?
如果你运行 ipconfig (windows) 或 ifconfig (Linux),你将能够看到网卡及其 IP 地址和子网的列表,这可能会给你一些线索
答案2
你们提供内部 IP 吗?
是的。每台服务器都有一个内部 IP 地址,用于服务器之间的通信。通过服务器上的此接口 (eth1) 流动的流量不受计量限制,无需付费。此网络也称为 ServiceNet。ServiceNet 是每个 Rackspace 数据中心内仅供内部使用的多租户网络连接。ServiceNet IP 无法从公共互联网访问,并且每个数据中心的本地。
(从云服务器:常见问题解答 | 知识中心 | Rackspace Hosting)
可能有人正在运行在 Rackspace 网络内部运行的网络扫描器和/或爬虫程序。
你可以将服务器配置为只监听你需要的地址。这通常称为“绑定地址”。Apache 绑定指令- 例如。
监听所有接口本身并不是不安全的,但由于某些 Web 应用程序以不同的方式处理本地网络连接,因此可能会很危险。
请注意,这仅适用于“真实”源 IP 地址。
正如 @3molo 在评论中指出的那样,X-Forwarded-For标题可以很容易地被欺骗为任何值。
答案3
是的,最有可能的是,它要么是欺骗性的 IP,要么是内部机器在与您对话。
你能用防火墙保护它们吗?
答案4
您为什么认为这不寻常?
让我们暂时忽略数据包欺骗 - 这可能是我更换主机的原因(主机应该在其外部网关上阻止内部 IP 地址)。并且也忽略内部数据包欺骗 - 太不可能了。
为什么您认为 Rackspace 不会对不应公开的系统使用内部 IP 地址?例如管理系统。例如,监控每个 Web 服务器的 IP 地址均正确响应 ;)
这很可能就是这里发生的情况。您收到的请求要么来自 Rackspace 内部(也就是说,他们那里也有人,我猜这些人有时也会上网,可能完全有效),要么来自 rackspace 基础设施(自动系统测试服务器是否工作并根据 TCP 返回有效的返回值 - 在我看来,这是一流的服务)。
我会尝试在他们的网络中获取该 IP 地址的主机名。这可能是发生情况的线索。否则,支持票将帮助您找出是什么在攻击您。这是他们的系统,他们会知道的。