Si has estado revisando los registros de tu servidor, los registros del firewall o las capturas de trafico de red, es posible que hayas notado conexiones repetidas desde la direccion IP 45.60.247.248. Una busqueda rapida te trae aqui preguntandote: es segura esta IP? Alguien esta atacando mi servidor? La respuesta esta en entender quien es el propietario de esta IP y a que servicio pertenece. En este articulo, aprenderas que 45.60.247.248 es parte de la red de Imperva (anteriormente Incapsula), que significa eso para tu infraestructura y como tomar una decision informada sobre si permitirla o bloquearla.
Que es 45.60.247.248?
La direccion IP 45.60.247.248 esta registrada a nombre de Imperva, Inc., la empresa detras de la conocida plataforma de seguridad web y CDN Incapsula. Imperva ofrece un conjunto de servicios que incluyen:
- Red de Distribucion de Contenido (CDN) — almacenamiento en cache y distribucion global de contenido web para tiempos de carga mas rapidos
- Proteccion DDoS — absorcion y mitigacion de ataques de denegacion de servicio distribuidos antes de que lleguen a tu servidor de origen
- Firewall de Aplicaciones Web (WAF) — inspeccion del trafico HTTP para bloquear inyecciones SQL, XSS y otros ataques del OWASP Top 10
- Gestion de Bots — distincion entre usuarios legitimos y scrapers automatizados, relleno de credenciales y otros bots
- Balanceo de Carga — distribucion del trafico entre multiples servidores backend
Cuando el propietario de un sitio web se suscribe a los servicios de Imperva, cambia sus registros DNS para apuntar a la red de Imperva. Todo el trafico entrante hacia ese sitio web fluye primero a traves de la infraestructura de Imperva, donde se inspecciona, filtra y luego se reenvia al servidor de origen. Las direcciones IP en los rangos de Imperva, incluyendo 45.60.247.248, son las que aparecen en los registros en ambos lados de esta transaccion.
Imperva adquirio Incapsula en 2014, pero muchos administradores de sistemas y profesionales de seguridad todavia se refieren al servicio por su nombre original. Los registros WHOIS, los anuncios de red y las entradas de DNS inverso pueden hacer referencia a “Imperva” o “Incapsula” dependiendo de cuando se asigno el bloque.
Por que aparece esta IP en mis registros?
Existen varias razones legitimas por las que 45.60.247.248 aparece en tus registros:
Tu sitio web usa Imperva como proxy inverso
Si tu sitio web esta protegido por Imperva/Incapsula, todo el trafico de visitantes pasa a traves de su red antes de llegar a tu servidor. Tus registros de acceso mostraran las IPs de Imperva como la direccion de origen en lugar de las IPs reales de los visitantes. Esta es la razon mas comun y es un comportamiento completamente esperado.
Para ver la IP real del visitante, necesitas extraerla del encabezado HTTP X-Forwarded-For o Incap-Client-IP que Imperva agrega a cada solicitud reenviada.
Verificaciones de estado y monitoreo
Imperva envia regularmente solicitudes de verificacion de estado a tu servidor de origen para comprobar que esta en linea y respondiendo correctamente. Estas generalmente aparecen como solicitudes HEAD o GET a tu URL raiz o un endpoint de verificacion de estado. Provienen de varias IPs en el rango de Imperva, incluyendo direcciones en el bloque 45.60.0.0/16.
Escaneo de seguridad del WAF
El WAF de Imperva monitorea continuamente los patrones de trafico. Ocasionalmente, la plataforma envia solicitudes de prueba o sondas de validacion para asegurar que sus reglas estan correctamente configuradas. Estas aparecen como entradas adicionales en los registros desde IPs de Imperva.
Visitaste un sitio web detras de Imperva
Si estas monitoreando el trafico saliente de tu red y ves conexiones a 45.60.247.248, probablemente significa que alguien en tu red accedio a un sitio web que usa el CDN de Imperva. El dominio del sitio web resuelve a una IP de Imperva porque el trafico se enruta a traves de su red.
Como verificar el propietario de la IP
Nunca confies en la identidad de una IP sin verificar. Siempre confirma la propiedad usando herramientas de red estandar. Aqui hay tres metodos:
Metodo 1: Consulta WHOIS
whois 45.60.247.248Salida esperada (abreviada):
NetRange: 45.60.0.0 - 45.60.255.255
CIDR: 45.60.0.0/16
NetName: INCAPSULA
OrgName: Imperva, Inc.
OrgId: IMPER-1
Address: 3400 Bridge Parkway
City: Redwood City
StateProv: CA
PostalCode: 94065
Country: US
RegDate: 2014-09-10
Updated: 2024-01-15Los campos clave son OrgName: Imperva, Inc. y NetName: INCAPSULA, confirmando que la IP pertenece a su red.
Metodo 2: Busqueda DNS inversa
nslookup 45.60.247.248Salida:
248.247.60.45.in-addr.arpa name = 45.60.247.248.ip.incapdns.net.El dominio incapdns.net es la infraestructura DNS de Imperva, confirmando aun mas la propiedad.
Metodo 3: Comando dig
dig -x 45.60.247.248Salida:
;; ANSWER SECTION:
248.247.60.45.in-addr.arpa. 3600 IN PTR 45.60.247.248.ip.incapdns.net.Esto produce el mismo registro PTR confirmando el dominio incapdns.net.
Metodo 4: Herramientas en linea
Si no tienes acceso a la terminal, puedes usar servicios basados en web:
- ipinfo.io — Visita
https://ipinfo.io/45.60.247.248para datos de propiedad, ASN y geolocalizacion - AbuseIPDB — Consulta
https://www.abuseipdb.com/check/45.60.247.248para reportes de abuso - Shodan — Busca
https://www.shodan.io/host/45.60.247.248para servicios expuestos
Rangos de IP de Imperva/Incapsula
45.60.247.248 es solo una direccion en la extensa red de Imperva. La empresa opera multiples bloques de IP para servir su infraestructura global de CDN y seguridad. Estos son los rangos principales conocidos:
| Bloque CIDR | Rango | Notas |
|---|---|---|
| 45.60.0.0/16 | 45.60.0.0 – 45.60.255.255 | Bloque principal de Incapsula |
| 107.154.0.0/16 | 107.154.0.0 – 107.154.255.255 | Bloque secundario |
| 199.83.128.0/21 | 199.83.128.0 – 199.83.135.255 | Rango heredado de Incapsula |
| 198.143.32.0/19 | 198.143.32.0 – 198.143.63.255 | Rango adicional |
| 149.126.72.0/21 | 149.126.72.0 – 149.126.79.255 | Rango de PoP europeo |
| 103.28.248.0/22 | 103.28.248.0 – 103.28.251.255 | Rango de Asia-Pacifico |
Imperva publica sus rangos oficiales de IP en su documentacion en https://docs.imperva.com. Siempre consulta la lista oficial en lugar de depender de bases de datos de terceros, ya que los rangos pueden cambiar cuando Imperva expande su infraestructura.
Importante: Si estas agregando las IPs de Imperva a la lista blanca de tu firewall (porque tu sitio usa su CDN), agrega el rango completo publicado en lugar de IPs individuales. Imperva rota y reasigna IPs dentro de sus bloques, por lo que una lista blanca de una sola IP eventualmente dejara de funcionar.
Comparativa: Trafico CDN Legitimo vs Actividad Sospechosa
No toda solicitud desde una IP de Imperva es automaticamente benigna. Asi es como puedes distinguir el comportamiento normal de los posibles problemas:
| Indicador | Trafico CDN Legitimo | Actividad Sospechosa |
|---|---|---|
| Metodo de solicitud | GET, HEAD, POST correspondientes al comportamiento normal del usuario | Metodos inusuales como DELETE, PUT o TRACE a endpoints inesperados |
| User-Agent | Agentes de usuario de navegadores estandar o identificadores de verificacion de estado de Imperva | User-agents vacios, genericos o falsificados |
| Ruta de solicitud | Paginas normales, recursos (CSS/JS/imagenes), endpoints de API | Rutas de sondeo como /wp-admin, /.env, /phpMyAdmin |
| Frecuencia | Trafico constante proporcional a los visitantes de tu sitio | Picos masivos repentinos sin aumento correspondiente de trafico |
| Encabezados | Contiene X-Forwarded-For, Incap-Client-IP y encabezados especificos de Imperva | Faltan los encabezados de proxy esperados |
| Codigos de respuesta | Mezcla de respuestas 200, 301, 304 | Predominantemente errores 403, 404 o 500 |
| Patron temporal | Distribuido a lo largo del dia | Rafagas concentradas en horas inusuales |
| Coincidencia WHOIS | IP confirmada como Imperva via whois | IP falsificada para parecer de Imperva pero WHOIS muestra diferente propietario |
Escenario del Mundo Real
Situacion: Eres el administrador de sistemas de una pequena empresa de comercio electronico. Una manana, tu sistema de monitoreo te alerta de que la IP 45.60.247.248 ha realizado mas de 10,000 solicitudes a tu servidor web en la ultima hora. Tu primer instinto es bloquearla.
Paso 1: Verificar la propiedad. Ejecutas whois 45.60.247.248 y confirmas que pertenece a Imperva, Inc.
Paso 2: Revisar tu infraestructura. Preguntas a tu equipo si la empresa usa Imperva. Tu colega del equipo de desarrollo web confirma que el sitio de marketing fue migrado recientemente para usar el CDN de Imperva para rendimiento y proteccion DDoS.
Paso 3: Examinar el trafico. Inspeccionas los registros de acceso y encuentras:
- Las solicitudes incluyen el encabezado
Incap-Client-IPcon varias IPs de usuarios finales - Los agentes de usuario son navegadores normales (Chrome, Firefox, Safari)
- Las rutas de solicitud son paginas de productos e imagenes legitimas
- Los codigos de respuesta son predominantemente 200 y 304
Conclusion: Esto es completamente normal. Imperva esta reenviando trafico real de clientes a tu servidor de origen. Las 10,000 solicitudes representan visitantes reales, no un ataque. Debes configurar tus registros para extraer la IP real del visitante de Incap-Client-IP y agregar el rango completo de IPs de Imperva a la lista blanca para que las reglas de limitacion de tasa no bloqueen accidentalmente el trafico legitimo.
Escenario alternativo: Si tu empresa NO usa Imperva y ves esta IP sondeando tu servidor con solicitudes inusuales, alguien podria estar usando un sitio detras de Imperva para escanear tu infraestructura a traves de la red de Imperva (la IP real del atacante estaria en los encabezados reenviados del lado de Imperva). En este caso, bloquear la IP o limitar la tasa es apropiado, pero reporta el abuso a Imperva primero para que puedan investigar de su lado.
Cuando bloquear vs permitir
Usa este marco de decision:
Permitir (Lista blanca) cuando:
- Tu sitio web o cualquiera de tus servicios usa Imperva/Incapsula como CDN, WAF o proveedor de proteccion DDoS
- WHOIS confirma que la IP pertenece a Imperva y los patrones de trafico son normales
- Ves los encabezados de proxy esperados (
X-Forwarded-For,Incap-Client-IP) en las solicitudes - El volumen de solicitudes se correlaciona con tu trafico real de visitantes
Bloquear cuando:
- Tu infraestructura no tiene relacion con los servicios de Imperva
- Las solicitudes apuntan a rutas sensibles (paneles de administracion, archivos de configuracion, endpoints de base de datos)
- El volumen de trafico es desproporcionado y muestra patrones de escaneo
- Has reportado la IP al equipo de abuso de Imperva y confirmaron actividad maliciosa originandose detras de su red
Limitar la tasa cuando:
- No estas seguro de si el trafico es legitimo pero no quieres bloquearlo completamente
- El volumen excede lo que esperas pero los patrones se ven parcialmente normales
- Quieres permitir verificaciones de estado pero limitar solicitudes de alta frecuencia
Para reportar abuso desde una IP de Imperva, contacta a su equipo de abuso en [email protected] o envia un reporte a traves de su sitio web. Incluye la direccion IP, marcas de tiempo, registros de solicitudes y una descripcion del comportamiento sospechoso.
Errores Comunes y Casos Especiales
Suplantacion de IP (IP Spoofing)
Aunque es menos comun a nivel TCP (porque completar un handshake TCP requiere la IP de origen real), ten en cuenta que los protocolos basados en UDP pueden tener IPs de origen falsificadas. Si ves 45.60.247.248 en registros de consultas DNS o trafico basado en UDP, verifica que se haya establecido una conexion TCP completa antes de confiar en el origen.
Complicaciones del alojamiento compartido
Si estas en alojamiento compartido, tu proveedor de hosting puede usar Imperva a nivel de infraestructura sin tu conocimiento. Consulta con tu proveedor de hosting antes de bloquear IPs de Imperva, ya que hacerlo podria romper tu propio sitio u otros inquilinos en el servidor.
Manipulacion del encabezado X-Forwarded-For
El encabezado X-Forwarded-For puede ser falsificado por el cliente original. Si dependes de este encabezado para control de acceso o registro, asegurate de que tu aplicacion solo confie en la entrada mas a la derecha agregada por un proxy verificado (Imperva) e ignore cualquier valor inyectado por el cliente.
Cambios en las asignaciones de IP
Las asignaciones de IP cambian con el tiempo. Una IP que pertenece a Imperva hoy podria ser reasignada en el futuro. Siempre verifica con una consulta WHOIS fresca en lugar de depender de informacion almacenada en cache o desactualizada. Automatiza la verificacion periodica si mantienes reglas de lista blanca a largo plazo.
Encadenamiento de CDN
En arquitecturas complejas, el trafico puede fluir a traves de multiples CDNs (por ejemplo, Cloudflare delante de Imperva, o viceversa). En tales casos, puedes ver IPs de Imperva incluso cuando tu proveedor principal de CDN es diferente. Rastrea la cadena completa de solicitudes examinando todos los encabezados relacionados con proxy.
Falsos positivos en la limitacion de tasa
Si aplicas limitacion de tasa por IP de origen y todo tu trafico viene a traves de Imperva, efectivamente estas limitando a todos tus visitantes como una sola entidad. Configura tu limitador de tasa para usar la IP real del cliente desde los encabezados de proxy, no la IP de Imperva.
Resumen
- 45.60.247.248 pertenece a Imperva, Inc. (anteriormente Incapsula), un importante proveedor de CDN, WAF y proteccion DDoS
- La IP esta dentro del bloque CIDR 45.60.0.0/16 registrado a Imperva
- Aparece en los registros cuando tu sitio usa Imperva como proxy inverso, cuando Imperva envia verificaciones de estado, o cuando visitas un sitio detras de Imperva
- Siempre verifica la propiedad de la IP con
whois,nslookupodigantes de tomar decisiones de bloqueo - Permite si tu infraestructura usa servicios de Imperva y los patrones de trafico son normales
- Bloquea si no tienes relacion con Imperva y el trafico muestra comportamiento de escaneo o sondeo
- Configura tu servidor web para extraer las IPs reales de los visitantes de los encabezados
X-Forwarded-ForoIncap-Client-IP - Agrega a la lista blanca el rango completo de IPs de Imperva en lugar de direcciones individuales si tu sitio usa su CDN
- Reporta actividad sospechosa desde IPs de Imperva a
[email protected]con registros detallados