Re: Ist 23.100.232.xxx (Beispiel) echt oder faked? Sperrung in .htaccess sinnvoll?

[Christoph Schneegans]

Eugen Gregor schrieb:

> Manchmal wird unter einer solchen MS-IP auch eine Brute-Force-Attacke
> versucht.

Wenn ein Bot eine Website einmal vollständig abgrast, indem er Links
innerhalb der Website folgt, würde ich das noch nicht als
Brute-Force-Angriff bezeichnen, auch wenn dabei ggf. erheblicher Traffic
verursacht wird. Mißbräuchlich wird es m.E. erst, wenn der Bot URLs auf
Verdacht abruft, um so nicht-öffentliche Resourcen zu finden oder
bekannte Sicherheitslücken zu testen.

Ich verstehe allerdings nicht, warum du hier nicht die echte IP-Adresse
nennst.

> Frage: IP bzw. IP-Bereich in .htaccess sperren, ist das sinnvoll?

Wahrscheinlich besser schon vorher per Firewall, etwa mittels

ufw prepend deny from 192.0.2.1

per ufw. Aber das ist wahrscheinlich ein Kampf gegen Windmühlen.

--
<https://schneegans.de/windows/safer/> · SAFER mit Windows

[Eugen Gregor]

On Sat, 2 Apr 2022 21:43:30 +0200, "Christoph Schneegans"
<chri...@schneegans.de> wrote:

Thx für die Hinweise.

>Ich verstehe allerdings nicht, warum du hier nicht die echte IP-Adresse
>nennst.

Ist *imho* nicht erlaubt, deshalb habe ich die letzten 3 Stellen
maskiert.

>
>> Frage: IP bzw. IP-Bereich in .htaccess sperren, ist das sinnvoll?
>
>Wahrscheinlich besser schon vorher per Firewall, etwa mittels

Der Blog hat die Ninja Firewall, diese meldet manchmal Brute Force
Attacks und behauptet auch, sie abzuwehren.
--
Eugen Gregor

[Eugen Gregor]

On Sat, 2 Apr 2022 21:43:30 +0200, "Christoph Schneegans"
<chri...@schneegans.de> wrote:

Thx füd die Hinweise, aber meine Frage war eigentlich: ist so eine IP
als MS-Original oder eher als MS-Fake einzustufen?
--
Eugen Gregor

[Marcel Mueller]

Am 02.04.22 um 10:13 schrieb Eugen Gregor:

> Manchmal wird unter einer solchen MS-IP auch eine Brute-Force-Attacke
> versucht.
>

> whois.com sagt: ja, das ist MS,

Azure Cloud?

> Frage: IP bzw. IP-Bereich in .htaccess sperren, ist das sinnvoll?

Wohl kaum.

Echte böse Buben nehmen niemals eigene IPs, sondern immer die von
gehackten Rechnern oder ggf. auch IoT-Devices. Kurzum, die wechseln und
du sperrst willkürlich irgendwelche Provider.

IP-Sperren sind nur bei akuten Angriffen temporär sinnvoll.

> Oder ist das eher eine faked IP und eine Sperre somit sinnlos?

Exakt.


Marcel

[Christoph Schneegans]

Eugen Gregor schrieb:

> Thx füd die Hinweise, aber meine Frage war eigentlich: ist so eine IP
> als MS-Original oder eher als MS-Fake einzustufen?

Ich kann jedenfalls bestätigen, dass der auf
https://www.bing.com/webmasters/help/how-to-verify-bingbot-3905dc26
beschriebene Test für alle Adressen in 23.100.232.0/24 scheitert.
Gleichzeitig sehe ich meinen Webserver-Logs, dass ebendieser Test von
mehr als 99% der Adressen, von denen Anfragen mit "bingbot" im
"User-Agent"-Header kommen, bestanden wird. Insofern kann man wohl davon
ausgehen, dass die von dir beobachten Anfragen nicht vom echten Bingbot
stammen.

[Marco Moock]

Am Samstag, 02. April 2022, um 10:13:27 Uhr schrieb Eugen Gregor:

> Ich helfe einem Nachbarn bei seiner Wordpress-Site.

Wordpress --> HTTP --> TCP
Das Faken von IP-Adressen bei TCP bewirkt, dass kein 3-Wege-Handschlag
möglich ist. Ergo geht es gar nicht bis zum Webserver, man kann dann
gar keine Dateien per HTTP abrufen.
Daher wird es kein IP-Spoofing sein, aber ggf. ein gehackter Rechner.

[Marco Moock]

Am Samstag, 02. April 2022, um 23:44:48 Uhr schrieb Eugen Gregor:

> On Sat, 2 Apr 2022 21:43:30 +0200, "Christoph Schneegans"
> <chri...@schneegans.de> wrote:
> >Ich verstehe allerdings nicht, warum du hier nicht die echte
> >IP-Adresse nennst.
> Ist *imho* nicht erlaubt, deshalb habe ich die letzten 3 Stellen
> maskiert.

Ist dem wirklich so?
Wer soll sich beschweren?

> Der Blog hat die Ninja Firewall, diese meldet manchmal Brute Force
> Attacks und behauptet auch, sie abzuwehren.

Gegen was?
Ich kenne solche Attacken nur gegenüber Kennwortfeldern.
Hast du sowas implementiert?