Was ist die IP-Adresse 45.60.247.248? Imperva Incapsula CDN

Wenn Sie Ihre Serverprotokolle, Firewall-Protokolle oder Netzwerkverkehrsaufzeichnungen ueberprueft haben, ist Ihnen moeglicherweise aufgefallen, dass wiederholt Verbindungen von der IP-Adresse 45.60.247.248 eingehen. Eine schnelle Suche fuehrt Sie hierher mit der Frage: Ist diese IP sicher? Greift jemand meinen Server an? Die Antwort liegt darin zu verstehen, wem diese IP gehoert und zu welchem Dienst sie gehoert. In diesem Artikel erfahren Sie, dass 45.60.247.248 Teil des Netzwerks von Imperva (ehemals Incapsula) ist, was das fuer Ihre Infrastruktur bedeutet und wie Sie eine fundierte Entscheidung treffen koennen, ob Sie sie erlauben oder blockieren sollten.

Was ist 45.60.247.248?

Die IP-Adresse 45.60.247.248 ist auf Imperva, Inc. registriert, das Unternehmen hinter der bekannten Web-Sicherheitsplattform und dem CDN Incapsula. Imperva bietet eine Reihe von Diensten an, darunter:

• Content Delivery Network (CDN) — Caching und globale Verteilung von Webinhalten fuer schnellere Ladezeiten
• DDoS-Schutz — Absorption und Abschwaeachung von verteilten Denial-of-Service-Angriffen, bevor sie Ihren Ursprungsserver erreichen
• Web Application Firewall (WAF) — Inspektion des HTTP-Verkehrs zum Blockieren von SQL-Injection, XSS und anderen OWASP-Top-10-Angriffen
• Bot-Management — Unterscheidung zwischen legitimen Benutzern und automatisierten Scrapern, Credential-Stuffing und anderen Bots
• Lastverteilung — Verteilung des Verkehrs auf mehrere Backend-Server

Wenn ein Website-Besitzer die Dienste von Imperva abonniert, aendert er seine DNS-Eintraege so, dass sie auf das Imperva-Netzwerk verweisen. Der gesamte eingehende Verkehr zu dieser Website fliesst zuerst durch die Infrastruktur von Imperva, wo er inspiziert, gefiltert und dann an den Ursprungsserver weitergeleitet wird. Die IP-Adressen in den Bereichen von Imperva — einschliesslich 45.60.247.248 — sind diejenigen, die in den Protokollen auf beiden Seiten dieser Transaktion erscheinen.

Imperva hat Incapsula 2014 uebernommen, aber viele Systemadministratoren und Sicherheitsexperten bezeichnen den Dienst immer noch mit seinem urspruenglichen Namen. Die WHOIS-Eintraege, Netzwerkankuendigungen und Reverse-DNS-Eintraege koennen je nach Zeitpunkt der Blockzuweisung entweder “Imperva” oder “Incapsula” referenzieren.

Warum erscheint diese IP in meinen Protokollen?

Es gibt mehrere legitime Gruende, warum 45.60.247.248 in Ihren Protokollen auftaucht:

Ihre Website nutzt Imperva als Reverse Proxy

Wenn Ihre Website durch Imperva/Incapsula geschuetzt ist, fliesst der gesamte Besucherverkehr durch deren Netzwerk, bevor er Ihren Server erreicht. Ihre Zugriffsprotokolle zeigen Imperva-IPs als Quelladresse anstelle der tatsaechlichen Besucher-IPs. Dies ist der haeufigste Grund und ist ein voellig erwartetes Verhalten.

Um die echte Besucher-IP zu sehen, muessen Sie sie aus dem HTTP-Header X-Forwarded-For oder Incap-Client-IP extrahieren, den Imperva jeder weitergeleiteten Anfrage hinzufuegt.

Gesundheitspruefungen und Ueberwachung

Imperva sendet regelmaessig Gesundheitspruefungsanfragen an Ihren Ursprungsserver, um sicherzustellen, dass er online ist und korrekt antwortet. Diese erscheinen typischerweise als HEAD- oder GET-Anfragen an Ihre Root-URL oder einen Gesundheitspruefungs-Endpunkt. Sie stammen von verschiedenen IPs im Imperva-Bereich, einschliesslich Adressen im Block 45.60.0.0/16.

WAF-Sicherheitsscanning

Die WAF von Imperva ueberwacht kontinuierlich Verkehrsmuster. Gelegentlich sendet die Plattform Testanfragen oder Validierungssonden, um sicherzustellen, dass ihre Regeln korrekt konfiguriert sind. Diese erscheinen als zusaetzliche Protokolleintraege von Imperva-IPs.

Sie haben eine Website hinter Imperva besucht

Wenn Sie den ausgehenden Verkehr aus Ihrem Netzwerk ueberwachen und Verbindungen zu 45.60.247.248 sehen, bedeutet dies wahrscheinlich, dass jemand in Ihrem Netzwerk auf eine Website zugegriffen hat, die das CDN von Imperva nutzt. Die Domain der Website loest auf eine Imperva-IP auf, weil der Verkehr durch deren Netzwerk geleitet wird.

So ueberpruefen Sie den IP-Besitzer

Nehmen Sie die Identitaet einer IP niemals fuer bare Muenze. Ueberpruefen Sie die Eigentuemerschaft immer mit Standard-Netzwerktools. Hier sind drei Methoden:

Methode 1: WHOIS-Abfrage

whois 45.60.247.248

Erwartete Ausgabe (gekuerzt):

NetRange:       45.60.0.0 - 45.60.255.255
CIDR:           45.60.0.0/16
NetName:        INCAPSULA
OrgName:        Imperva, Inc.
OrgId:          IMPER-1
Address:        3400 Bridge Parkway
City:           Redwood City
StateProv:      CA
PostalCode:     94065
Country:        US
RegDate:        2014-09-10
Updated:        2024-01-15

Die Schluesselfelder sind OrgName: Imperva, Inc. und NetName: INCAPSULA, die bestaetigen, dass die IP zu deren Netzwerk gehoert.

Methode 2: Reverse-DNS-Suche

nslookup 45.60.247.248

Ausgabe:

248.247.60.45.in-addr.arpa    name = 45.60.247.248.ip.incapdns.net.

Die Domain incapdns.net ist die DNS-Infrastruktur von Imperva, was die Eigentuemerschaft weiter bestaetigt.

Methode 3: dig-Befehl

dig -x 45.60.247.248

Ausgabe:

;; ANSWER SECTION:
248.247.60.45.in-addr.arpa. 3600 IN PTR 45.60.247.248.ip.incapdns.net.

Dies erzeugt denselben PTR-Eintrag, der die Domain incapdns.net bestaetigt.

Methode 4: Online-Tools

Wenn Sie keinen Terminalzugriff haben, koennen Sie webbasierte Dienste nutzen:

• ipinfo.io — Besuchen Sie https://ipinfo.io/45.60.247.248 fuer Eigentums-, ASN- und Geolokalisierungsdaten
• AbuseIPDB — Pruefen Sie https://www.abuseipdb.com/check/45.60.247.248 auf Missbrauchsmeldungen
• Shodan — Suchen Sie https://www.shodan.io/host/45.60.247.248 nach exponierten Diensten

IP-Bereiche von Imperva/Incapsula

45.60.247.248 ist nur eine Adresse im umfangreichen Netzwerk von Imperva. Das Unternehmen betreibt mehrere IP-Bloecke, um seine globale CDN- und Sicherheitsinfrastruktur zu bedienen. Hier sind die wichtigsten bekannten Bereiche:

CIDR-Block	Bereich	Hinweise
45.60.0.0/16	45.60.0.0 – 45.60.255.255	Primaerer Incapsula-Block
107.154.0.0/16	107.154.0.0 – 107.154.255.255	Sekundaerer Block
199.83.128.0/21	199.83.128.0 – 199.83.135.255	Legacy-Incapsula-Bereich
198.143.32.0/19	198.143.32.0 – 198.143.63.255	Zusaetzlicher Bereich
149.126.72.0/21	149.126.72.0 – 149.126.79.255	Europaeischer PoP-Bereich
103.28.248.0/22	103.28.248.0 – 103.28.251.255	Asien-Pazifik-Bereich

Imperva veroeffentlicht seine offiziellen IP-Bereiche in der Dokumentation unter https://docs.imperva.com. Konsultieren Sie immer die offizielle Liste, anstatt sich auf Datenbanken von Drittanbietern zu verlassen, da sich die Bereiche aendern koennen, wenn Imperva seine Infrastruktur erweitert.

Wichtig: Wenn Sie die IPs von Imperva in der Whitelist Ihrer Firewall hinzufuegen (weil Ihre Website deren CDN nutzt), fuegen Sie den gesamten veroeffentlichten Bereich hinzu und nicht einzelne IPs. Imperva rotiert und weist IPs innerhalb seiner Bloecke neu zu, sodass eine Einzeln-IP-Whitelist irgendwann nicht mehr funktioniert.

Vergleich: Legitimer CDN-Verkehr vs Verdaechtige Aktivitaet

Nicht jede Anfrage von einer Imperva-IP ist automatisch harmlos. So unterscheiden Sie normales Verhalten von potenziellen Problemen:

Indikator	Legitimer CDN-Verkehr	Verdaechtige Aktivitaet
Anfragemethode	GET, HEAD, POST entsprechend normalem Benutzerverhalten	Ungewoehnliche Methoden wie DELETE, PUT oder TRACE an unerwartete Endpunkte
User-Agent	Standard-Browser-User-Agents oder Imperva-Gesundheitspruefungs-Kennungen	Leere, generische oder gefaelschte User-Agents
Anfragepfad	Normale Seiten, Assets (CSS/JS/Bilder), API-Endpunkte	Sondierungspfade wie /wp-admin, /.env, /phpMyAdmin
Haeufigkeit	Gleichmaessiger Verkehr proportional zu Ihren Website-Besuchern	Ploetzliche massive Spitzen ohne entsprechenden Verkehrsanstieg
Header	Enthaelt X-Forwarded-For, Incap-Client-IP und Imperva-spezifische Header	Erwartete Proxy-Header fehlen
Antwortcodes	Mischung aus 200-, 301-, 304-Antworten	Ueberwiegend 403-, 404- oder 500-Fehler
Zeitmuster	Ueber den Tag verteilt	Konzentrierte Bursts zu ungewoehnlichen Zeiten
WHOIS-Uebereinstimmung	IP als Imperva via whois bestaetigt	IP gefaelscht, um wie Imperva auszusehen, aber WHOIS zeigt anderen Besitzer

Praxisbeispiel

Situation: Sie sind der Systemadministrator eines kleinen E-Commerce-Unternehmens. Eines Morgens warnt Sie Ihr Ueberwachungssystem, dass die IP 45.60.247.248 in der letzten Stunde ueber 10.000 Anfragen an Ihren Webserver gestellt hat. Ihr erster Instinkt ist, sie zu blockieren.

Schritt 1: Eigentuemerschaft ueberpruefen. Sie fuehren whois 45.60.247.248 aus und bestaetigen, dass sie Imperva, Inc. gehoert.

Schritt 2: Ihre Infrastruktur pruefen. Sie fragen Ihr Team, ob das Unternehmen Imperva nutzt. Ihr Kollege aus dem Webentwicklungsteam bestaetigt, dass die Marketing-Website kuerzlich migriert wurde, um das CDN von Imperva fuer Leistung und DDoS-Schutz zu nutzen.

Schritt 3: Den Verkehr untersuchen. Sie inspizieren die Zugriffsprotokolle und finden:

• Die Anfragen enthalten den Header Incap-Client-IP mit verschiedenen Endbenutzer-IPs
• Die User-Agents sind normale Browser (Chrome, Firefox, Safari)
• Die Anfragepfade sind legitime Produktseiten und Bilder
• Die Antwortcodes sind ueberwiegend 200 und 304

Fazit: Dies ist voellig normal. Imperva leitet echten Kundenverkehr an Ihren Ursprungsserver weiter. Die 10.000 Anfragen stellen echte Besucher dar, keinen Angriff. Sie sollten Ihre Protokollierung so konfigurieren, dass die echte Besucher-IP aus Incap-Client-IP extrahiert wird, und den gesamten IP-Bereich von Imperva auf die Whitelist setzen, damit Rate-Limiting-Regeln nicht versehentlich legitimen Verkehr blockieren.

Alternatives Szenario: Wenn Ihr Unternehmen Imperva NICHT nutzt und Sie sehen, dass diese IP Ihren Server mit ungewoehnlichen Anfragen sondiert, koennte jemand eine Website hinter Imperva nutzen, um Ihre Infrastruktur ueber das Imperva-Netzwerk zu scannen (die echte IP des Angreifers waere in den weitergeleiteten Headern auf der Imperva-Seite). In diesem Fall ist das Blockieren der IP oder Rate-Limiting angemessen — aber melden Sie den Missbrauch zuerst an Imperva, damit sie auf ihrer Seite ermitteln koennen.

Wann blockieren vs erlauben

Verwenden Sie diesen Entscheidungsrahmen:

Erlauben (Whitelist) wenn:

• Ihre Website oder einer Ihrer Dienste Imperva/Incapsula als CDN, WAF oder DDoS-Schutzanbieter nutzt
• WHOIS bestaetigt, dass die IP zu Imperva gehoert und die Verkehrsmuster normal sind
• Sie die erwarteten Proxy-Header (X-Forwarded-For, Incap-Client-IP) in den Anfragen sehen
• Das Anfragevolumen mit Ihrem tatsaechlichen Besucherverkehr korreliert

Blockieren wenn:

• Ihre Infrastruktur keine Beziehung zu Imperva-Diensten hat
• Die Anfragen auf sensible Pfade abzielen (Admin-Panels, Konfigurationsdateien, Datenbank-Endpunkte)
• Das Verkehrsvolumen unverhaeltnismaessig ist und Scan-Muster zeigt
• Sie die IP dem Missbrauchsteam von Imperva gemeldet haben und diese boesartige Aktivitaeten bestaetigt haben

Rate-Limiting wenn:

• Sie unsicher sind, ob der Verkehr legitim ist, ihn aber nicht vollstaendig blockieren moechten
• Das Volumen Ihre Erwartungen uebersteigt, die Muster aber teilweise normal aussehen
• Sie Gesundheitspruefungen zulassen, aber hochfrequente Anfragen begrenzen moechten

Um Missbrauch von einer Imperva-IP zu melden, kontaktieren Sie deren Missbrauchsteam unter [email protected] oder reichen Sie eine Meldung ueber deren Website ein. Fuegen Sie die IP-Adresse, Zeitstempel, Anfrageprotokolle und eine Beschreibung des verdaechtigen Verhaltens bei.

Stolperfallen und Sonderfaelle

IP-Spoofing

Obwohl auf TCP-Ebene weniger ueblich (da das Abschliessen eines TCP-Handshakes die echte Quell-IP erfordert), beachten Sie, dass UDP-basierte Protokolle gefaelschte Quell-IPs haben koennen. Wenn Sie 45.60.247.248 in DNS-Abfrageprotokollen oder UDP-basiertem Verkehr sehen, ueberpruefen Sie, ob tatsaechlich eine vollstaendige TCP-Verbindung hergestellt wurde, bevor Sie der Quelle vertrauen.

Komplikationen beim Shared Hosting

Wenn Sie auf Shared Hosting sind, koennte Ihr Hosting-Anbieter Imperva auf Infrastrukturebene nutzen, ohne dass Sie es wissen. Erkundigen Sie sich bei Ihrem Hosting-Anbieter, bevor Sie Imperva-IPs blockieren, da dies Ihre eigene Website oder andere Mieter auf dem Server beschaedigen koennte.

Manipulation des X-Forwarded-For-Headers

Der X-Forwarded-For-Header kann vom urspruenglichen Client gefaelscht werden. Wenn Sie sich auf diesen Header fuer Zugriffskontrolle oder Protokollierung verlassen, stellen Sie sicher, dass Ihre Anwendung nur dem letzten Eintrag vertraut, der von einem verifizierten Proxy (Imperva) hinzugefuegt wurde, und alle vom Client injizierten Werte ignoriert.

Aenderungen bei IP-Zuweisungen

IP-Zuweisungen aendern sich im Laufe der Zeit. Eine IP, die heute zu Imperva gehoert, koennte in Zukunft neu zugewiesen werden. Ueberpruefen Sie immer mit einer aktuellen WHOIS-Abfrage, anstatt sich auf zwischengespeicherte oder veraltete Informationen zu verlassen. Automatisieren Sie die periodische Ueberpruefung, wenn Sie langfristige Whitelist-Regeln pflegen.

CDN-Verkettung

In komplexen Architekturen kann der Verkehr durch mehrere CDNs fliessen (z.B. Cloudflare vor Imperva oder umgekehrt). In solchen Faellen koennen Sie Imperva-IPs sehen, auch wenn Ihr primaerer CDN-Anbieter ein anderer ist. Verfolgen Sie die vollstaendige Anfragekette, indem Sie alle proxybezogenen Header untersuchen.

Falsch-Positive beim Rate-Limiting

Wenn Sie Rate-Limiting pro Quell-IP anwenden und Ihr gesamter Verkehr ueber Imperva laeuft, limitieren Sie effektiv alle Ihre Besucher als eine einzige Entitaet. Konfigurieren Sie Ihren Rate-Limiter so, dass er die echte Client-IP aus den Proxy-Headern verwendet und nicht die Imperva-IP.

Zusammenfassung

• 45.60.247.248 gehoert zu Imperva, Inc. (ehemals Incapsula), einem bedeutenden CDN-, WAF- und DDoS-Schutzanbieter
• Die IP liegt innerhalb des CIDR-Blocks 45.60.0.0/16, der auf Imperva registriert ist
• Sie erscheint in Protokollen, wenn Ihre Website Imperva als Reverse Proxy nutzt, wenn Imperva Gesundheitspruefungen sendet oder wenn Sie eine Website hinter Imperva besuchen
• Ueberpruefen Sie immer die IP-Eigentuemerschaft mit whois, nslookup oder dig, bevor Sie Blockierungsentscheidungen treffen
• Erlauben Sie, wenn Ihre Infrastruktur Imperva-Dienste nutzt und die Verkehrsmuster normal sind
• Blockieren Sie, wenn Sie keine Imperva-Beziehung haben und der Verkehr Scan- oder Sondierungsverhalten zeigt
• Konfigurieren Sie Ihren Webserver, um echte Besucher-IPs aus den Headern X-Forwarded-For oder Incap-Client-IP zu extrahieren
• Setzen Sie den gesamten Imperva-IP-Bereich auf die Whitelist und nicht einzelne Adressen, wenn Ihre Website deren CDN nutzt
• Melden Sie verdaechtige Aktivitaeten von Imperva-IPs an [email protected] mit detaillierten Protokollen

Verwandte Artikel

• What Is 1e100.net?
• What Is www.msftncsi.com?
• Google IP Address Ranges
• What Is Andrea ST Filters Service?
• Clone MAC Address on WAN Interface — Ubiquiti UniFi Security Gateway