Zur Navigation

Ein User - zwei IP`s?

1 Kurt Mansen (Gast)

Guten Abend!

Ich weiss nicht, ob meine Frage hier richtig platziert ist, kann ja eventuell verschoben werden. Ich beobachte seit einigen Tagen einen Sachverhalt, den ich mir nicht recht erklären kann.
Ich habe den Zugriff auf mein Forum (wbb2) per .htaccess für alle gesperrt und nur wenigen IP`s den Zugriff erlaubt. Die gesperrten User finden sich auf einer *gestalteten* Error-Seite wieder. Nun sehe ich in der Statistik, die ich installiert habe, Zugriffe aus einem IP-Bereich, der in der .htaccess freigeschalten ist. Allerdings läuft dieser User permanent gegen die Wand. Soll heissen, er kommt nicht in das Forum, sondern landet auf der Fehlerseite. Schaue ich mir das access-log an, kann ich diese IP allerdings nicht finden, sondern habe zur gleichen Zeit den Zugriff einer anderen IP verzeichnet. Um es genauer zu sagen, scheinen es gleichzeitig drei aufeinanderfolgende IP`s zu sein (also z.b. 123.456.78.1 - 123.456.78.3), die die gleichen Dateien aufrufen . Da mein Forum nicht so immens viele Besuche aufweist und auch die Browserkennung die selbe ist, bin ich mir sicher, dass es sich dabei um den gleichen User handelt.

Kann das sein?

MfG Kurt

22.02.2007 20:26

2 Jörg Kruse

Hallo Kurt,

manche Internet Service Provider schicken ihre User über wechselnde Proxies ins Netz - das ist z.B. bei AOL der Fall. Es ist von daher möglich, dass ein User kurz hintereinander mit verschiedenen IPs auf deine Seiten zugreift.

22.02.2007 20:52

3 Kurt Mansen (Gast)

Hallo Jörg

Zu allererst Danke für die schnelle Reaktion. Die AOL-Problematik ist mir bekannt. Allerdings sieht die Sache in dem mir vorliegenden Fall ein wenig anders aus. Ich weiss, dass der User T-Online Kunde ist. Laut Statistik und auch laut anderer Recherchen nutzt er eigentlich permanent den IP-Bereich 84.133.* . Im access-log werden allerdings immer IP`s aus dem Bereich 217.237.* aufgezeichnet. Vielleicht helfen Dir diese Angaben ja etwas, um dieses *Geheimnis* zu lüften. Ich frage mich, ob es möglich ist, per Proxy oder Software eine IP so zu verfälschen, dass diese verschiedenen Aufzeichnungen zustande kommen können.

MfG Kurt

P.S. Was ich im ersten Posting nicht erwähnte: Die IP, die im access-log aufgezeichnet wird, ist in der Statistik wiederum nicht zu finden.

22.02.2007 21:03

4 Jörg Kruse

Laut Statistik und auch laut anderer Recherchen nutzt er eigentlich permanent den IP-Bereich 84.133.* . Im access-log werden allerdings immer IP`s aus dem Bereich 217.237.* aufgezeichnet.

Der Bereich 217.237.* gehört auch zur Telekom. Wenn beide IPs zur gleichen Zeit erfasst werden, dann könnte es sich bei 217.237.* um die IP eines Proxies handeln und bei 84.133.* um die eigentliche IP.

Was ich im ersten Posting nicht erwähnte: Die IP, die im access-log aufgezeichnet wird, ist in der Statistik wiederum nicht zu finden.

Im Standard-Logfile-Format des Apache werden die letzteren IPs nicht erfasst; möglichrweise greift deine Statistik auf eigene Log-Files zu, die auch die eigentliche IP erfassen

Ich frage mich, ob es möglich ist, per Proxy oder Software eine IP so zu verfälschen, dass diese verschiedenen Aufzeichnungen zustande kommen können.

Wenn man anonymisierende Proxies nutzt, wird die eigentliche IP nicht übermittelt. Auch ein Fälschen der IP ist möglich, allerdings erhält der Client dann keine Antwort vom Server.

Spammer nutzen häufig Proxies oder auch Botnetze

22.02.2007 21:39 | geändert: 22.02.2007 21:42

5 Kurt Mansen (Gast)

Hallo Jörg

soviel ich weiss, liest die Statistik die IP`s aus der Datenbank des Forums aus. Zumindest ist die im Forum gelogte IP (als der User noch Beiträge schreiben konnte) identisch der, die auch die Statistik anzeigt. Da die Logs zumindest in der Uhrzeit der Zugriffe auf die Sekunde das gleiche aufzeichnen, unterstelle ich dem User die bewusste Nutzung eines Proxies. Liege ich da falsch?
Bleibt für mich die Frage offen, warum der User trotz Erlaubnis per .htaccess nicht auf das Forum zugreifen kann. Da er wirklich die einzige Ausnahme ist.

Seis drum.

MfG Kurt

22.02.2007 21:55

6 Jörg Kruse

Da die Logs zumindest in der Uhrzeit der Zugriffe auf die Sekunde das gleiche aufzeichnen, unterstelle ich dem User die bewusste Nutzung eines Proxies. Liege ich da falsch?

Da sowohl Proxy-IP als auch Forwarded-For-IP zur Telekom gehören, halte ich es für wahrscheinlich, dass T-Online ihn über ihren Proxy ins Netz gehen lässt. Wenn er dich über seine eigentliche IP täuschen wollte, würde er über einen anoymisierenden Proxy ins Netz gehen - in solch einem Fall würden deine Statistik und das Logfile dieselbe IP anzeigen

Bleibt für mich die Frage offen, warum der User trotz Erlaubnis per .htaccess nicht auf das Forum zugreifen kann.

Ich nehme an, weil du nicht die IP des Telekom-Proxies erlaubst, sondern die Forwarded-For-IP. Maßgeblich für das "allow from" ist aber die IP, die auch im Apache Logfile erfasst ist

22.02.2007 22:05

7 Dennis (Gast)

Ich brauche hilfe kennst jemand einen ip spammer ?ß ich suche einen wenn jemand einen link schreiben kann dann is alles bestens

18.03.2007 19:40

Beitrag schreiben (als Gast)

Die Antwort wird nach der Überprüfung durch einen Moderator freigeschaltet.





[BBCode-Hilfe]