Adresse IP 45.60.247.248 : Imperva Incapsula CDN explique

Si vous avez examine les journaux de votre serveur, les journaux de votre pare-feu ou les captures de trafic reseau, vous avez peut-etre remarque des connexions repetees depuis l’adresse IP 45.60.247.248. Une recherche rapide vous amene ici en vous demandant : cette IP est-elle sure? Quelqu’un attaque-t-il mon serveur? La reponse reside dans la comprehension de qui possede cette IP et a quel service elle appartient. Dans cet article, vous apprendrez que 45.60.247.248 fait partie du reseau d’Imperva (anciennement Incapsula), ce que cela signifie pour votre infrastructure et comment prendre une decision eclairee sur le fait de l’autoriser ou de la bloquer.

Qu’est-ce que 45.60.247.248?

L’adresse IP 45.60.247.248 est enregistree au nom d’Imperva, Inc., l’entreprise derriere la celebre plateforme de securite web et CDN Incapsula. Imperva propose un ensemble de services comprenant :

• Reseau de Distribution de Contenu (CDN) — mise en cache et distribution globale du contenu web pour des temps de chargement plus rapides
• Protection DDoS — absorption et attenuation des attaques par deni de service distribue avant qu’elles n’atteignent votre serveur d’origine
• Pare-feu d’Applications Web (WAF) — inspection du trafic HTTP pour bloquer les injections SQL, XSS et autres attaques du OWASP Top 10
• Gestion des Bots — distinction entre les utilisateurs legitimes et les scrapers automatises, le bourrage d’identifiants et autres bots
• Equilibrage de Charge — distribution du trafic entre plusieurs serveurs backend

Lorsqu’un proprietaire de site web s’abonne aux services d’Imperva, il modifie ses enregistrements DNS pour pointer vers le reseau d’Imperva. Tout le trafic entrant vers ce site web passe d’abord par l’infrastructure d’Imperva, ou il est inspecte, filtre, puis transmis au serveur d’origine. Les adresses IP dans les plages d’Imperva — y compris 45.60.247.248 — sont celles qui apparaissent dans les journaux des deux cotes de cette transaction.

Imperva a acquis Incapsula en 2014, mais de nombreux administrateurs systeme et professionnels de la securite font encore reference au service par son nom original. Les enregistrements WHOIS, les annonces reseau et les entrees DNS inverses peuvent referencer “Imperva” ou “Incapsula” selon la date d’allocation du bloc.

Pourquoi cette IP apparait-elle dans mes journaux?

Il existe plusieurs raisons legitimes pour lesquelles 45.60.247.248 apparait dans vos journaux :

Votre site web utilise Imperva comme proxy inverse

Si votre site web est protege par Imperva/Incapsula, tout le trafic des visiteurs passe par leur reseau avant d’atteindre votre serveur. Vos journaux d’acces afficheront les IP d’Imperva comme adresse source au lieu des IP reelles des visiteurs. C’est la raison la plus courante et c’est un comportement tout a fait attendu.

Pour voir l’IP reelle du visiteur, vous devez l’extraire de l’en-tete HTTP X-Forwarded-For ou Incap-Client-IP qu’Imperva ajoute a chaque requete transmise.

Verifications de sante et surveillance

Imperva envoie regulierement des requetes de verification de sante a votre serveur d’origine pour verifier qu’il est en ligne et repond correctement. Celles-ci apparaissent generalement sous forme de requetes HEAD ou GET vers votre URL racine ou un point de terminaison de verification de sante. Elles proviennent de diverses IP dans la plage d’Imperva, y compris des adresses dans le bloc 45.60.0.0/16.

Analyse de securite du WAF

Le WAF d’Imperva surveille en permanence les modeles de trafic. Occasionnellement, la plateforme envoie des requetes de test ou des sondes de validation pour s’assurer que ses regles sont correctement configurees. Celles-ci apparaissent comme des entrees supplementaires dans les journaux depuis des IP d’Imperva.

Vous avez visite un site web derriere Imperva

Si vous surveillez le trafic sortant de votre reseau et voyez des connexions vers 45.60.247.248, cela signifie probablement que quelqu’un sur votre reseau a accede a un site web qui utilise le CDN d’Imperva. Le domaine du site web resout vers une IP d’Imperva car le trafic est achemine via leur reseau.

Comment verifier le proprietaire de l’IP

Ne prenez jamais l’identite d’une IP pour acquise. Verifiez toujours la propriete a l’aide d’outils reseau standard. Voici trois methodes :

Methode 1 : Requete WHOIS

whois 45.60.247.248

Sortie attendue (abregee) :

NetRange:       45.60.0.0 - 45.60.255.255
CIDR:           45.60.0.0/16
NetName:        INCAPSULA
OrgName:        Imperva, Inc.
OrgId:          IMPER-1
Address:        3400 Bridge Parkway
City:           Redwood City
StateProv:      CA
PostalCode:     94065
Country:        US
RegDate:        2014-09-10
Updated:        2024-01-15

Les champs cles sont OrgName: Imperva, Inc. et NetName: INCAPSULA, confirmant que l’IP appartient a leur reseau.

Methode 2 : Recherche DNS inverse

nslookup 45.60.247.248

Sortie :

248.247.60.45.in-addr.arpa    name = 45.60.247.248.ip.incapdns.net.

Le domaine incapdns.net est l’infrastructure DNS d’Imperva, confirmant davantage la propriete.

Methode 3 : Commande dig

dig -x 45.60.247.248

Sortie :

;; ANSWER SECTION:
248.247.60.45.in-addr.arpa. 3600 IN PTR 45.60.247.248.ip.incapdns.net.

Cela produit le meme enregistrement PTR confirmant le domaine incapdns.net.

Methode 4 : Outils en ligne

Si vous n’avez pas acces a un terminal, vous pouvez utiliser des services web :

• ipinfo.io — Visitez https://ipinfo.io/45.60.247.248 pour les donnees de propriete, ASN et geolocalisation
• AbuseIPDB — Consultez https://www.abuseipdb.com/check/45.60.247.248 pour les signalements d’abus
• Shodan — Recherchez https://www.shodan.io/host/45.60.247.248 pour les services exposes

Plages d’IP Imperva/Incapsula

45.60.247.248 n’est qu’une adresse dans le vaste reseau d’Imperva. L’entreprise exploite plusieurs blocs d’IP pour servir son infrastructure mondiale de CDN et de securite. Voici les principales plages connues :

Bloc CIDR	Plage	Notes
45.60.0.0/16	45.60.0.0 – 45.60.255.255	Bloc principal Incapsula
107.154.0.0/16	107.154.0.0 – 107.154.255.255	Bloc secondaire
199.83.128.0/21	199.83.128.0 – 199.83.135.255	Plage heritee Incapsula
198.143.32.0/19	198.143.32.0 – 198.143.63.255	Plage supplementaire
149.126.72.0/21	149.126.72.0 – 149.126.79.255	Plage PoP europeenne
103.28.248.0/22	103.28.248.0 – 103.28.251.255	Plage Asie-Pacifique

Imperva publie ses plages d’IP officielles dans sa documentation sur https://docs.imperva.com. Consultez toujours la liste officielle plutot que de vous fier a des bases de donnees tierces, car les plages peuvent changer lorsqu’Imperva etend son infrastructure.

Important : Si vous ajoutez les IP d’Imperva a la liste blanche de votre pare-feu (parce que votre site utilise leur CDN), ajoutez toute la plage publiee plutot que des IP individuelles. Imperva fait tourner et reassigne les IP au sein de ses blocs, de sorte qu’une liste blanche d’IP unique finira par ne plus fonctionner.

Comparaison : Trafic CDN Legitime vs Activite Suspecte

Toute requete provenant d’une IP d’Imperva n’est pas automatiquement benigne. Voici comment distinguer le comportement normal des problemes potentiels :

Indicateur	Trafic CDN Legitime	Activite Suspecte
Methode de requete	GET, HEAD, POST correspondant au comportement normal de l’utilisateur	Methodes inhabituelles comme DELETE, PUT ou TRACE vers des points de terminaison inattendus
User-Agent	Agents utilisateur de navigateurs standard ou identifiants de verification de sante Imperva	User-agents vides, generiques ou usurpes
Chemin de requete	Pages normales, ressources (CSS/JS/images), endpoints API	Chemins de sondage comme /wp-admin, /.env, /phpMyAdmin
Frequence	Trafic regulier proportionnel aux visiteurs de votre site	Pics massifs soudains sans augmentation correspondante du trafic
En-tetes	Contient X-Forwarded-For, Incap-Client-IP et en-tetes specifiques Imperva	En-tetes de proxy attendus manquants
Codes de reponse	Melange de reponses 200, 301, 304	Principalement des erreurs 403, 404 ou 500
Schema temporel	Distribue tout au long de la journee	Rafales concentrees a des heures inhabituelles
Correspondance WHOIS	IP confirmee comme Imperva via whois	IP usurpee pour ressembler a Imperva mais WHOIS montre un proprietaire different

Scenario Reel

Situation : Vous etes l’administrateur systeme d’une petite entreprise de commerce electronique. Un matin, votre systeme de surveillance vous alerte que l’IP 45.60.247.248 a effectue plus de 10 000 requetes vers votre serveur web au cours de la derniere heure. Votre premier reflexe est de la bloquer.

Etape 1 : Verifier la propriete. Vous executez whois 45.60.247.248 et confirmez qu’elle appartient a Imperva, Inc.

Etape 2 : Verifier votre infrastructure. Vous demandez a votre equipe si l’entreprise utilise Imperva. Votre collegue de l’equipe de developpement web confirme que le site marketing a recemment ete migre pour utiliser le CDN d’Imperva pour les performances et la protection DDoS.

Etape 3 : Examiner le trafic. Vous inspectez les journaux d’acces et constatez :

• Les requetes incluent l’en-tete Incap-Client-IP avec diverses IP d’utilisateurs finaux
• Les agents utilisateur sont des navigateurs normaux (Chrome, Firefox, Safari)
• Les chemins de requete sont des pages de produits et des images legitimes
• Les codes de reponse sont principalement 200 et 304

Conclusion : C’est tout a fait normal. Imperva transmet le trafic reel des clients a votre serveur d’origine. Les 10 000 requetes representent de vrais visiteurs, pas une attaque. Vous devez configurer vos journaux pour extraire l’IP reelle du visiteur de Incap-Client-IP et ajouter toute la plage d’IP d’Imperva a la liste blanche afin que les regles de limitation de debit ne bloquent pas accidentellement le trafic legitime.

Scenario alternatif : Si votre entreprise N’utilise PAS Imperva et que vous voyez cette IP sonder votre serveur avec des requetes inhabituelles, quelqu’un pourrait utiliser un site derriere Imperva pour scanner votre infrastructure via le reseau d’Imperva (l’IP reelle de l’attaquant serait dans les en-tetes transmis du cote d’Imperva). Dans ce cas, bloquer l’IP ou limiter le debit est approprie — mais signalez d’abord l’abus a Imperva pour qu’ils puissent enqueter de leur cote.

Quand bloquer vs autoriser

Utilisez ce cadre de decision :

Autoriser (Liste blanche) quand :

• Votre site web ou l’un de vos services utilise Imperva/Incapsula comme CDN, WAF ou fournisseur de protection DDoS
• WHOIS confirme que l’IP appartient a Imperva et les modeles de trafic sont normaux
• Vous voyez les en-tetes de proxy attendus (X-Forwarded-For, Incap-Client-IP) dans les requetes
• Le volume de requetes correspond a votre trafic reel de visiteurs

Bloquer quand :

• Votre infrastructure n’a aucune relation avec les services d’Imperva
• Les requetes ciblent des chemins sensibles (panneaux d’administration, fichiers de configuration, endpoints de base de donnees)
• Le volume de trafic est disproportionne et montre des schemas d’analyse
• Vous avez signale l’IP a l’equipe d’abus d’Imperva et ils ont confirme une activite malveillante provenant de derriere leur reseau

Limiter le debit quand :

• Vous n’etes pas sur que le trafic est legitime mais ne voulez pas le bloquer completement
• Le volume depasse vos attentes mais les modeles semblent partiellement normaux
• Vous voulez autoriser les verifications de sante mais limiter les requetes a haute frequence

Pour signaler un abus depuis une IP d’Imperva, contactez leur equipe d’abus a [email protected] ou soumettez un signalement via leur site web. Incluez l’adresse IP, les horodatages, les journaux de requetes et une description du comportement suspect.

Pieges et Cas Particuliers

Usurpation d’IP (IP Spoofing)

Bien que moins courante au niveau TCP (car completer une poignee de main TCP necessite la veritable IP source), sachez que les protocoles bases sur UDP peuvent avoir des IP source usurpees. Si vous voyez 45.60.247.248 dans les journaux de requetes DNS ou le trafic base sur UDP, verifiez qu’une connexion TCP complete a effectivement ete etablie avant de faire confiance a la source.

Complications de l’hebergement mutualise

Si vous etes sur un hebergement mutualise, votre fournisseur d’hebergement peut utiliser Imperva au niveau de l’infrastructure sans que vous le sachiez. Consultez votre fournisseur d’hebergement avant de bloquer les IP d’Imperva, car cela pourrait casser votre propre site ou d’autres locataires sur le serveur.

Manipulation de l’en-tete X-Forwarded-For

L’en-tete X-Forwarded-For peut etre falsifie par le client original. Si vous vous fiez a cet en-tete pour le controle d’acces ou la journalisation, assurez-vous que votre application ne fait confiance qu’a la derniere entree ajoutee par un proxy verifie (Imperva) et ignore toute valeur injectee par le client.

Changements dans les allocations d’IP

Les allocations d’IP changent au fil du temps. Une IP qui appartient a Imperva aujourd’hui pourrait etre reassignee a l’avenir. Verifiez toujours avec une requete WHOIS recente plutot que de vous fier a des informations en cache ou obsoletes. Automatisez la verification periodique si vous maintenez des regles de liste blanche a long terme.

Chaines de CDN

Dans les architectures complexes, le trafic peut transiter par plusieurs CDN (par exemple, Cloudflare devant Imperva, ou inversement). Dans ces cas, vous pouvez voir des IP d’Imperva meme lorsque votre fournisseur CDN principal est different. Tracez la chaine de requetes complete en examinant tous les en-tetes lies au proxy.

Faux positifs de limitation de debit

Si vous appliquez une limitation de debit par IP source et que tout votre trafic passe par Imperva, vous limitez effectivement tous vos visiteurs comme une seule entite. Configurez votre limiteur de debit pour utiliser l’IP reelle du client a partir des en-tetes de proxy, et non l’IP d’Imperva.

Resume

• 45.60.247.248 appartient a Imperva, Inc. (anciennement Incapsula), un important fournisseur de CDN, WAF et protection DDoS
• L’IP se trouve dans le bloc CIDR 45.60.0.0/16 enregistre a Imperva
• Elle apparait dans les journaux lorsque votre site utilise Imperva comme proxy inverse, lorsqu’Imperva envoie des verifications de sante, ou lorsque vous visitez un site derriere Imperva
• Verifiez toujours la propriete de l’IP avec whois, nslookup ou dig avant de prendre des decisions de blocage
• Autorisez si votre infrastructure utilise les services d’Imperva et que les modeles de trafic sont normaux
• Bloquez si vous n’avez aucune relation avec Imperva et que le trafic montre un comportement d’analyse ou de sondage
• Configurez votre serveur web pour extraire les IP reelles des visiteurs des en-tetes X-Forwarded-For ou Incap-Client-IP
• Ajoutez a la liste blanche toute la plage d’IP d’Imperva plutot que des adresses individuelles si votre site utilise leur CDN
• Signalez toute activite suspecte depuis des IP d’Imperva a [email protected] avec des journaux detailles

Articles Connexes

• What Is 1e100.net?
• What Is www.msftncsi.com?
• Google IP Address Ranges
• What Is Andrea ST Filters Service?
• Clone MAC Address on WAN Interface — Ubiquiti UniFi Security Gateway