Cloudflare verwendet ASN, um bösartige Crawler zu blockieren
Index
Kürzlich wurde unsere Website von Webcrawlern angegriffen. Diese Crawler wechselten ständig ihre IP-Adressen, was das Blockieren sehr umständlich machte. Nach einiger Recherche konnten wir das Problem schließlich durch das Blockieren der zugehörigen ASN lösen.
🧭 Was ist eine ASN?
ASN (Autonomous System Number, Autonome Systemnummer) ist eine eindeutige Nummer, die einem autonomen System (AS) im Internet zugewiesen wird. Ein autonomes System ist eine Gruppe von IP-Routing-Präfixen, die von einem oder mehreren Netzbetreibern mit einer einheitlichen Routing-Strategie verwaltet werden. ASN wird im Border Gateway Protocol (BGP) verwendet, um Routing-Informationen auszutauschen und Datenübertragungspfade effizient zu verwalten.
Jedes autonome System hat im Internet eine eindeutige ASN, die im BGP-Routing zur Identifikation dient. Es gibt zwei Formate:
- 16-Bit-ASN: Bereich von 1 bis 65534
- 32-Bit-ASN: Bereich von 131072 bis 4294967294
Der Hauptzweck von ASNs besteht darin, den Austausch von Routinginformationen zwischen autonomen Systemen zu ermöglichen und sicherzustellen, dass Datenpakete auf dem optimalen Weg übertragen werden.
Mit den Firewall-Regeln von Cloudflare kann man Crawler gezielt über ihre ASN blockieren. So funktioniert es:
Schritt 1: Die ASN des Crawlers herausfinden
Du kannst die IP-Adressen der Crawler über Logs oder Analysen ermitteln und die zugehörige ASN online abfragen.
Zum Beispiel:
- Nutze Tools wie ipinfo.io oder bgp.he.net, um die ASN einer IP-Adresse zu ermitteln.
Schritt 2: Cloudflare-Konfiguration
- Öffne das Cloudflare-Dashboard und wähle deine Website.
- Navigiere zu Sicherheit > WAF > Firewall-Regeln.
- Klicke auf Firewall-Regel erstellen.
Regel konfigurieren:
- Feld:
ip.geoip.asnum - Operator:
gleichoderin(wenn du mehrere ASNs blockieren willst) - Wert: Gib die ASN(s) ein, z. B.
AS12345
Beispielregel:
ip.geoip.asnum in {12345 54321}Aktion
- Wähle Blockieren oder Challenge (Sicherheitsprüfung).
Wirkung
Die Regel tritt sofort in Kraft. IPs unter der angegebenen ASN können dann nicht mehr direkt auf deine Website zugreifen.
☁️ Gängige Cloud-Anbieter und ihre ASNs
Nachfolgend findest du eine Liste bekannter Cloud-Anbieter und deren autonome Systemnummern (ASN). Diese Informationen können für Cloudflare-Firewallregeln verwendet werden, um bestimmten Datenverkehr zu identifizieren oder zu blockieren:
| Cloud-Anbieter | ASN | Beschreibung |
|---|---|---|
| Amazon Web Services (AWS) | AS16509, AS14618, AS8987 | AWS nutzt mehrere ASNs, je nach Region und Diensttyp. |
| Google Cloud Platform (GCP) | AS15169, AS19527, AS396982 | Googles Haupt-ASNs für die globale Infrastruktur. |
| Microsoft Azure | AS8075, AS3598, AS8070 | Microsoft verwendet mehrere ASNs für Azure-Dienste. |
| Alibaba Cloud | AS37963, AS45102, AS58593 | Alibaba Cloud nutzt in verschiedenen Regionen unterschiedliche ASNs. |
| Oracle Cloud | AS31898 | Haupt-ASN von Oracle. |
| IBM Cloud | AS36351 | Haupt-ASN von IBM Cloud. |
| DigitalOcean | AS14061 | Haupt-ASN von DigitalOcean. |
| Hetzner Online | AS24940 | Haupt-ASN von Hetzner. |
| OVHcloud | AS16276 | Haupt-ASN von OVH. |
| Linode | AS63949 | Haupt-ASN von Linode. |