Come fermi un hacker quando il loro indirizzo IP è 0.0.0.0?

31

Wordfence riporta il seguente visitatore:

An unknown location at IP 0.0.0.0 visited
4 hours 45 mins ago   IP: 0.0.0.0
Browser: Baiduspider version 2.0
Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)

An unknown location at IP 0.0.0.0 visited
4 hours 45 mins ago   IP: 0.0.0.0 
Browser: Opera version 12.15 running on Win7
Opera/9.80 (Windows NT 6.1; WOW64) Presto/2.12.388 Version/12.15 

    
posta ovtorne 02.06.2014 - 07:47
fonte

3 risposte

69

Sospetto che il tuo plug-in di Wordfence si fida ciecamente dell'intestazione X-Forwarded-For . Questa intestazione viene utilizzata dai proxy per indicare l'indirizzo IP dei computer che inviano il traffico attraverso di essi, ma può essere facilmente falsificato. È anche molto probabile che alcune delle visite da "0.0.0.0" non siano dannose, ma semplicemente utenti dietro a un proxy configurato in modo errato.

Modifica: Wordfence sta effettivamente facendo questo, ma questo è configurabile ed è pensato per ospitare proxy inversi come CloudFlare. Vedi commento del fondatore di Wordfence Mark Maunder in basso.

    
risposta data 02.06.2014 - 10:49
fonte
18

Poiché l'indirizzo "0.0.0.0" non è valido, è un pacchetto spoofato (improbabile) o un bug in Wordfence (probabile).

Nell'improbabile caso che qualcuno stia facendo un attacco di spoofing dei pacchetti, aggiorna il firewall per bloccare i pacchetti in entrata con indirizzi non validi (vedi, ad esempio, questa domanda e le sue risposte per un elenco di intervalli e motivi).

    
risposta data 02.06.2014 - 08:45
fonte
0

Se l'indirizzo IP non può essere risolto prontamente, si presenta come 0.0.0.0.

Forse, si tratta di un attacco di porta distribuita per la scansione . Questo utilizza più indirizzi IP per la scansione delle porte del dispositivo di destinazione. Configura la tua infrastruttura per impedirlo.

    
risposta data 04.06.2014 - 12:01
fonte

Leggi altre domande sui tag