Se voce tem revisado os registros do seu servidor, registros do firewall ou capturas de trafego de rede, pode ter notado conexoes repetidas do endereco IP 45.60.247.248. Uma busca rapida traz voce aqui perguntando: este IP e seguro? Alguem esta atacando meu servidor? A resposta esta em entender quem e o proprietario deste IP e a qual servico ele pertence. Neste artigo, voce aprendera que 45.60.247.248 faz parte da rede da Imperva (anteriormente Incapsula), o que isso significa para sua infraestrutura e como tomar uma decisao informada sobre permitir ou bloquear.
O que e 45.60.247.248?
O endereco IP 45.60.247.248 esta registrado em nome da Imperva, Inc., a empresa por tras da conhecida plataforma de seguranca web e CDN Incapsula. A Imperva oferece um conjunto de servicos que incluem:
- Rede de Distribuicao de Conteudo (CDN) — armazenamento em cache e distribuicao global de conteudo web para tempos de carregamento mais rapidos
- Protecao DDoS — absorcao e mitigacao de ataques de negacao de servico distribuidos antes que alcancem seu servidor de origem
- Firewall de Aplicacoes Web (WAF) — inspecao do trafego HTTP para bloquear injecoes SQL, XSS e outros ataques do OWASP Top 10
- Gerenciamento de Bots — distincao entre usuarios legitimos e scrapers automatizados, preenchimento de credenciais e outros bots
- Balanceamento de Carga — distribuicao do trafego entre multiplos servidores backend
Quando o proprietario de um site se inscreve nos servicos da Imperva, ele altera seus registros DNS para apontar para a rede da Imperva. Todo o trafego de entrada para esse site flui primeiro pela infraestrutura da Imperva, onde e inspecionado, filtrado e depois encaminhado ao servidor de origem. Os enderecos IP nas faixas da Imperva — incluindo 45.60.247.248 — sao os que aparecem nos registros em ambos os lados desta transacao.
A Imperva adquiriu a Incapsula em 2014, mas muitos administradores de sistemas e profissionais de seguranca ainda se referem ao servico pelo seu nome original. Os registros WHOIS, anuncios de rede e entradas de DNS reverso podem referenciar “Imperva” ou “Incapsula” dependendo de quando o bloco foi alocado.
Por que este IP aparece nos meus registros?
Existem varias razoes legitimas pelas quais 45.60.247.248 aparece nos seus registros:
Seu site usa Imperva como proxy reverso
Se o seu site esta protegido pela Imperva/Incapsula, todo o trafego de visitantes passa pela rede deles antes de chegar ao seu servidor. Seus registros de acesso mostrarao IPs da Imperva como o endereco de origem em vez dos IPs reais dos visitantes. Esta e a razao mais comum e e um comportamento completamente esperado.
Para ver o IP real do visitante, voce precisa extrai-lo do cabecalho HTTP X-Forwarded-For ou Incap-Client-IP que a Imperva adiciona a cada requisicao encaminhada.
Verificacoes de saude e monitoramento
A Imperva envia regularmente requisicoes de verificacao de saude ao seu servidor de origem para comprovar que ele esta online e respondendo corretamente. Estas geralmente aparecem como requisicoes HEAD ou GET para sua URL raiz ou um endpoint de verificacao de saude. Elas vem de varios IPs na faixa da Imperva, incluindo enderecos no bloco 45.60.0.0/16.
Varredura de seguranca do WAF
O WAF da Imperva monitora continuamente os padroes de trafego. Ocasionalmente, a plataforma envia requisicoes de teste ou sondas de validacao para garantir que suas regras estejam corretamente configuradas. Estas aparecem como entradas adicionais nos registros de IPs da Imperva.
Voce visitou um site atras da Imperva
Se voce esta monitorando o trafego de saida da sua rede e ve conexoes para 45.60.247.248, provavelmente significa que alguem na sua rede acessou um site que usa o CDN da Imperva. O dominio do site resolve para um IP da Imperva porque o trafego e roteado atraves da rede deles.
Como verificar o proprietario do IP
Nunca confie na identidade de um IP sem verificar. Sempre confirme a propriedade usando ferramentas de rede padrao. Aqui estao tres metodos:
Metodo 1: Consulta WHOIS
whois 45.60.247.248Saida esperada (abreviada):
NetRange: 45.60.0.0 - 45.60.255.255
CIDR: 45.60.0.0/16
NetName: INCAPSULA
OrgName: Imperva, Inc.
OrgId: IMPER-1
Address: 3400 Bridge Parkway
City: Redwood City
StateProv: CA
PostalCode: 94065
Country: US
RegDate: 2014-09-10
Updated: 2024-01-15Os campos chave sao OrgName: Imperva, Inc. e NetName: INCAPSULA, confirmando que o IP pertence a rede deles.
Metodo 2: Busca DNS reversa
nslookup 45.60.247.248Saida:
248.247.60.45.in-addr.arpa name = 45.60.247.248.ip.incapdns.net.O dominio incapdns.net e a infraestrutura DNS da Imperva, confirmando ainda mais a propriedade.
Metodo 3: Comando dig
dig -x 45.60.247.248Saida:
;; ANSWER SECTION:
248.247.60.45.in-addr.arpa. 3600 IN PTR 45.60.247.248.ip.incapdns.net.Isso produz o mesmo registro PTR confirmando o dominio incapdns.net.
Metodo 4: Ferramentas online
Se voce nao tem acesso ao terminal, pode usar servicos baseados na web:
- ipinfo.io — Visite
https://ipinfo.io/45.60.247.248para dados de propriedade, ASN e geolocalizacao - AbuseIPDB — Consulte
https://www.abuseipdb.com/check/45.60.247.248para relatorios de abuso - Shodan — Pesquise
https://www.shodan.io/host/45.60.247.248para servicos expostos
Faixas de IP da Imperva/Incapsula
45.60.247.248 e apenas um endereco na extensa rede da Imperva. A empresa opera multiplos blocos de IP para servir sua infraestrutura global de CDN e seguranca. Aqui estao as principais faixas conhecidas:
| Bloco CIDR | Faixa | Notas |
|---|---|---|
| 45.60.0.0/16 | 45.60.0.0 – 45.60.255.255 | Bloco principal da Incapsula |
| 107.154.0.0/16 | 107.154.0.0 – 107.154.255.255 | Bloco secundario |
| 199.83.128.0/21 | 199.83.128.0 – 199.83.135.255 | Faixa legada da Incapsula |
| 198.143.32.0/19 | 198.143.32.0 – 198.143.63.255 | Faixa adicional |
| 149.126.72.0/21 | 149.126.72.0 – 149.126.79.255 | Faixa de PoP europeu |
| 103.28.248.0/22 | 103.28.248.0 – 103.28.251.255 | Faixa da Asia-Pacifico |
A Imperva publica suas faixas oficiais de IP na documentacao em https://docs.imperva.com. Sempre consulte a lista oficial em vez de depender de bancos de dados de terceiros, pois as faixas podem mudar quando a Imperva expande sua infraestrutura.
Importante: Se voce esta adicionando os IPs da Imperva a lista branca do seu firewall (porque seu site usa o CDN deles), adicione toda a faixa publicada em vez de IPs individuais. A Imperva rotaciona e reatribui IPs dentro de seus blocos, entao uma lista branca de IP unico eventualmente deixara de funcionar.
Comparacao: Trafego CDN Legitimo vs Atividade Suspeita
Nem toda requisicao de um IP da Imperva e automaticamente benigna. Veja como distinguir o comportamento normal de possiveis problemas:
| Indicador | Trafego CDN Legitimo | Atividade Suspeita |
|---|---|---|
| Metodo de requisicao | GET, HEAD, POST correspondendo ao comportamento normal do usuario | Metodos incomuns como DELETE, PUT ou TRACE para endpoints inesperados |
| User-Agent | Agentes de usuario de navegadores padrao ou identificadores de verificacao de saude da Imperva | User-agents vazios, genericos ou falsificados |
| Caminho da requisicao | Paginas normais, recursos (CSS/JS/imagens), endpoints de API | Caminhos de sondagem como /wp-admin, /.env, /phpMyAdmin |
| Frequencia | Trafego constante proporcional aos visitantes do seu site | Picos massivos repentinos sem aumento correspondente de trafego |
| Cabecalhos | Contem X-Forwarded-For, Incap-Client-IP e cabecalhos especificos da Imperva | Faltam cabecalhos de proxy esperados |
| Codigos de resposta | Mistura de respostas 200, 301, 304 | Predominantemente erros 403, 404 ou 500 |
| Padrao temporal | Distribuido ao longo do dia | Rajadas concentradas em horarios incomuns |
| Correspondencia WHOIS | IP confirmado como Imperva via whois | IP falsificado para parecer da Imperva mas WHOIS mostra proprietario diferente |
Cenario Real
Situacao: Voce e o administrador de sistemas de uma pequena empresa de comercio eletronico. Uma manha, seu sistema de monitoramento alerta que o IP 45.60.247.248 fez mais de 10.000 requisicoes ao seu servidor web na ultima hora. Seu primeiro instinto e bloquea-lo.
Passo 1: Verificar a propriedade. Voce executa whois 45.60.247.248 e confirma que pertence a Imperva, Inc.
Passo 2: Verificar sua infraestrutura. Voce pergunta a sua equipe se a empresa usa Imperva. Seu colega da equipe de desenvolvimento web confirma que o site de marketing foi recentemente migrado para usar o CDN da Imperva para desempenho e protecao DDoS.
Passo 3: Examinar o trafego. Voce inspeciona os registros de acesso e encontra:
- As requisicoes incluem o cabecalho
Incap-Client-IPcom varios IPs de usuarios finais - Os agentes de usuario sao navegadores normais (Chrome, Firefox, Safari)
- Os caminhos de requisicao sao paginas de produtos e imagens legitimas
- Os codigos de resposta sao predominantemente 200 e 304
Conclusao: Isso e completamente normal. A Imperva esta encaminhando trafego real de clientes ao seu servidor de origem. As 10.000 requisicoes representam visitantes reais, nao um ataque. Voce deve configurar seus registros para extrair o IP real do visitante de Incap-Client-IP e adicionar toda a faixa de IPs da Imperva a lista branca para que as regras de limitacao de taxa nao bloqueiem acidentalmente o trafego legitimo.
Cenario alternativo: Se sua empresa NAO usa Imperva e voce ve este IP sondando seu servidor com requisicoes incomuns, alguem pode estar usando um site atras da Imperva para escanear sua infraestrutura atraves da rede da Imperva (o IP real do atacante estaria nos cabecalhos encaminhados do lado da Imperva). Neste caso, bloquear o IP ou limitar a taxa e apropriado — mas reporte o abuso a Imperva primeiro para que possam investigar do lado deles.
Quando bloquear vs permitir
Use este framework de decisao:
Permitir (Lista branca) quando:
- Seu site ou qualquer um dos seus servicos usa Imperva/Incapsula como CDN, WAF ou provedor de protecao DDoS
- WHOIS confirma que o IP pertence a Imperva e os padroes de trafego sao normais
- Voce ve os cabecalhos de proxy esperados (
X-Forwarded-For,Incap-Client-IP) nas requisicoes - O volume de requisicoes se correlaciona com o trafego real de visitantes
Bloquear quando:
- Sua infraestrutura nao tem relacao com os servicos da Imperva
- As requisicoes visam caminhos sensiveis (paineis de administracao, arquivos de configuracao, endpoints de banco de dados)
- O volume de trafego e desproporcional e mostra padroes de varredura
- Voce reportou o IP a equipe de abuso da Imperva e eles confirmaram atividade maliciosa originando-se atras de sua rede
Limitar a taxa quando:
- Voce nao tem certeza se o trafego e legitimo mas nao quer bloquea-lo completamente
- O volume excede o que voce espera mas os padroes parecem parcialmente normais
- Voce quer permitir verificacoes de saude mas limitar requisicoes de alta frequencia
Para reportar abuso de um IP da Imperva, contate a equipe de abuso em [email protected] ou envie um relatorio atraves do site deles. Inclua o endereco IP, carimbos de data/hora, registros de requisicoes e uma descricao do comportamento suspeito.
Armadilhas e Casos Especiais
Falsificacao de IP (IP Spoofing)
Embora seja menos comum no nivel TCP (porque completar um handshake TCP requer o IP de origem real), esteja ciente de que protocolos baseados em UDP podem ter IPs de origem falsificados. Se voce ve 45.60.247.248 em registros de consultas DNS ou trafego baseado em UDP, verifique se uma conexao TCP completa foi realmente estabelecida antes de confiar na origem.
Complicacoes do alojamento compartilhado
Se voce esta em hospedagem compartilhada, seu provedor de hosting pode usar Imperva no nivel de infraestrutura sem seu conhecimento. Consulte seu provedor de hosting antes de bloquear IPs da Imperva, pois isso poderia quebrar seu proprio site ou outros inquilinos no servidor.
Manipulacao do cabecalho X-Forwarded-For
O cabecalho X-Forwarded-For pode ser falsificado pelo cliente original. Se voce depende deste cabecalho para controle de acesso ou registro, certifique-se de que sua aplicacao confie apenas na entrada mais a direita adicionada por um proxy verificado (Imperva) e ignore quaisquer valores injetados pelo cliente.
Mudancas nas alocacoes de IP
As alocacoes de IP mudam ao longo do tempo. Um IP que pertence a Imperva hoje poderia ser reatribuido no futuro. Sempre verifique com uma consulta WHOIS recente em vez de depender de informacoes em cache ou desatualizadas. Automatize a verificacao periodica se voce mantiver regras de lista branca a longo prazo.
Encadeamento de CDN
Em arquiteturas complexas, o trafego pode fluir atraves de multiplos CDNs (por exemplo, Cloudflare na frente da Imperva, ou vice-versa). Nesses casos, voce pode ver IPs da Imperva mesmo quando seu provedor principal de CDN e diferente. Rastreie a cadeia completa de requisicoes examinando todos os cabecalhos relacionados a proxy.
Falsos positivos na limitacao de taxa
Se voce aplica limitacao de taxa por IP de origem e todo o seu trafego vem atraves da Imperva, voce esta efetivamente limitando todos os seus visitantes como uma unica entidade. Configure seu limitador de taxa para usar o IP real do cliente dos cabecalhos de proxy, nao o IP da Imperva.
Resumo
- 45.60.247.248 pertence a Imperva, Inc. (anteriormente Incapsula), um importante provedor de CDN, WAF e protecao DDoS
- O IP esta dentro do bloco CIDR 45.60.0.0/16 registrado a Imperva
- Aparece nos registros quando seu site usa Imperva como proxy reverso, quando a Imperva envia verificacoes de saude, ou quando voce visita um site atras da Imperva
- Sempre verifique a propriedade do IP com
whois,nslookupoudigantes de tomar decisoes de bloqueio - Permita se sua infraestrutura usa servicos da Imperva e os padroes de trafego sao normais
- Bloqueie se voce nao tem relacao com a Imperva e o trafego mostra comportamento de varredura ou sondagem
- Configure seu servidor web para extrair os IPs reais dos visitantes dos cabecalhos
X-Forwarded-ForouIncap-Client-IP - Adicione a lista branca toda a faixa de IPs da Imperva em vez de enderecos individuais se seu site usa o CDN deles
- Reporte atividade suspeita de IPs da Imperva para
[email protected]com registros detalhados