У меня есть несколько IP-адресов, например 192.168.0. * Или 192.168.7. *, Для доступа к моему сайту.
Я размещаю его в Rackspace.
Как такое возможно? Подмена IP? любая подсказка?
Спасибо!
Не уверен насчет Rackspace, но некоторые хостинг-провайдеры предоставляют серверы с двумя сетевыми картами, одна общедоступная, а также внутренняя, которая находится в их собственной внутренней сети, которую они используют для администрирования системы.
Было бы странно видеть веб-трафик с этого IP-адреса, если бы это была внутренняя сеть - если только они не отслеживают уязвимости или что-то подобное?
Если вы запустите ipconfig (windows) или ifconfig (Linux), вы сможете увидеть список сетевых карт, их IP-адреса и подсети, которые могут дать подсказку.
Вы предлагаете внутренние IP-адреса?
Да. Каждый сервер имеет внутренний IP-адрес, который используется для связи между серверами.. Трафик, который проходит через этот интерфейс (eth1) на вашем сервере, не измеряется и не оплачивается. Эта сеть также называется ServiceNet. ServiceNet - это только внутреннее мультитенантное сетевое соединение в каждом центре обработки данных Rackspace. IP-адреса ServiceNet недоступны из общедоступного Интернета и локально на центр обработки данных.
(Из Облачные серверы: часто задаваемые вопросы | Центр знаний | Хостинг Rackspace)
Вполне возможно, что кто-то запускает сетевой сканер и / или краулер, работающий внутри сети Rckspace.
Вы можете настроить свой сервер на прослушивание только тех адресов, которые вам нужны. Обычно это называется «адрес привязки». Директива связывания Apache - например.
Прослушивание всех интерфейсов само по себе небезопасно, но может быть опасным, поскольку некоторые веб-приложения обрабатывают локальные сетевые соединения по-разному.
Обратите внимание, что это относится только к «настоящему» IP-адресу источника.
как @ 3molo отметил в комментариях, X-Forwarded-For заголовок можно легко подменить на любое значение.
Да, скорее всего, это либо поддельные IP-адреса, либо внутренние машины.
Вы можете их защитить?
Почему вы думаете, что это необычно?
Давайте на мгновение проигнорируем пуф пакетов - это будет поводом для меня изменить хостера (хостер должен блокировать внутренние IP-адреса на своих внешних шлюзах). А также игнорировать внутреннюю подмену пакетов - маловероятно.
Почему вы предполагаете, что Rackspace НЕ использует внутренние IP-адреса для систем, которые не должны быть общедоступными? Как админские системы. Например, один контролирующий каждый веб-сервер отвечает должным образом;)
Скорее всего, здесь и происходит. Вы получаете запрос либо изнутри Rackspace (т.е. у них также есть люди, и я думаю, что эти люди также иногда занимаются серфингом, может быть полностью действительным), либо внутри инфраструктуры стойки (автоматическая система тестирования сервера работает и возвращает действительное возвращаемое значение в соответствии с TCP - сервис на высшем уровне, если вы спросите меня).
Я бы попытался получить имя хоста для этого IP-адреса в их сети. Может быть подсказкой, что происходит. Другой билет поддержки поможет вам узнать, что вас там поражает. Это их система, они узнают.