Folgende Ausgangssituation: Ich betreibe momentan testweise zuhause
einen Webserver auf Port 80, der eine simple Webseite ausliefert. Dort
überwache ich in Echtzeit auf einem zweiten Monitor, welche Anfragen
ankommen:
1 | tail --follow /var/log/apache2/access.log
|
Nun ist mir vorhin beim Absenden eines Beitrags in genau diesem Moment
eine eingehende Anfrage aufgefallen. Bei einem weiteren Beitrag wurde
ebenfalls genau in diesem Moment eine weitere Anfrage an diesen
Webserver erzeugt:
1 | 78.46.249.179 - - [20/Feb/2019:21:24:34 +0000] "GET / HTTP/1.1" 400 0 "-" "curl/7.47.0"
|
2 | 78.46.249.179 - - [20/Feb/2019:21:27:01 +0000] "GET / HTTP/1.1" 400 0 "-" "curl/7.47.0"
|
3 | 78.46.249.179 - - [20/Feb/2019:21:31:29 +0000] "GET / HTTP/1.1" 400 0 "-" "curl/7.47.0"
|
Dies geschieht ebenfalls bei einem Klick auf den Vorschaubutton beim
Erstellen eines neuen Themas.
Ein whois auf die IP Adresse verweist auf einen Hetzner Server. Da der
Verdacht im Raum stand, dass es sich um mikrocontroller.net handelt,
habe ich ein dig mikrocontroller.net ausgeführt:
1 | ; <<>> DiG 9.13.5 <<>> mikrocontroller.net
|
2 | ;; global options: +cmd
|
3 | ;; Got answer:
|
4 | ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 63432
|
5 | ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
|
6 |
|
7 | ;; OPT PSEUDOSECTION:
|
8 | ; EDNS: version: 0, flags:; udp: 4096
|
9 | ;; QUESTION SECTION:
|
10 | ;mikrocontroller.net. IN A
|
11 |
|
12 | ;; ANSWER SECTION:
|
13 | mikrocontroller.net. 86400 IN A 78.46.249.179
|
14 |
|
15 | ;; Query time: 36 msec
|
16 | ;; SERVER: 10.1.10.1#53(10.1.10.1)
|
17 | ;; WHEN: Wed Feb 20 21:33:46 CET 2019
|
18 | ;; MSG SIZE rcvd: 64
|
Wie eindeutig zu erkennen ist, ist die IP Adresse indentisch. Die Frage
ist nun also, warum mikrocontroller.net derartige Anfragen an die
Absender IP stellt.