web-dev-qa-db-fra.com

Comment arrêter un pirate lorsque son adresse IP est 0.0.0.0?

Wordfence rapporte le visiteur suivant:

 Un emplacement inconnu à IP 0.0.0.0 a visité 
 Il y a 4 heures 45 minutes IP: 0.0.0.0 
 Navigateur: Baiduspider version 2.0 
 Mozilla/5.0 (compatible; Baiduspider/2.0; + http: //www.baidu.com/search/spider.html) 
 
 Un emplacement inconnu à IP 0.0.0.0 visité 
 Il y a 4 heures 45 minutes IP: 0.0.0.0 
 Navigateur: Opera version 12.15 fonctionnant sur Win7 
 Opera/9.80 (Windows NT 6.1; WOW64) Presto/2.12.388 Version/12.15 
 
31
ovtorne

Je soupçonne que votre plug-in Wordfence fait aveuglément confiance à X-Forwarded-For en-tête. Cet en-tête est utilisé par les mandataires pour indiquer l'adresse IP des ordinateurs qui leur envoient du trafic, mais peut facilement être usurpé. Il est également très possible que certaines des visites de "0.0.0.0" ne soient pas malveillantes, mais simplement des utilisateurs derrière un proxy mal configuré.

Edit: Wordfence fait effectivement cela, mais cela est configurable et est destiné à accueillir proxy inverses tels que CloudFlare. Voir le commentaire du fondateur de Wordfence Mark Maunder ci-dessous.

69
user2428118

Étant donné que l'adresse "0.0.0.0" n'est pas valide, il s'agit soit d'un paquet usurpé (peu probable) soit d'un bogue dans Wordfence (probable).

Dans le cas peu probable où quelqu'un commet une attaque d'usurpation de paquets, mettez à jour votre pare-feu pour bloquer les paquets entrants avec des adresses non valides (voir, par exemple, cette question et ses réponses pour une liste de plages et de raisons).

18
Mark

Si l'adresse IP ne peut pas être résolue correctement, il s'agit de 0.0.0.0.

Peut-être, c'est une attaque de scan de port distribué. Cela utilise plusieurs adresses IP pour analyser les ports de périphérique cible. Configurez votre infrastructure pour éviter cela.

0
prochor666