Na semana passada, recebi um fluxo enorme de tráfego de uma ampla variedade de endereços IP chineses. Esse tráfego parece ser de pessoas normais e seus pedidos de HTTP indicam que eles acham que eu sou:
- The Pirate Bay
- vários rastreadores BitTorrent,
- sites pornográficos
Tudo isso soa como coisas para as quais as pessoas usariam uma VPN. Ou coisas que irritariam a Grande Muralha da China.
Os agentes de usuários incluem navegadores da web, Android, iOS, FBiOSSDK, Bittorrent. Os endereços IP são provedores comerciais chineses normais.
Eu tenho o Nginx retornando 444 se o host estiver incorreto ou o agente do usuário estiver obviamente errado:
## Deny illegal Host headers
if ($host !~* ^({{ www_domain }})$ ) {
return 444;
}
## block bad agents
if ($http_user_agent ~* FBiOSSDK|ExchangeWebServices|Bittorrent) {
return 444;
}
Eu posso lidar com a carga agora, mas houve algumas rajadas de até 2k / minuto. Eu quero descobrir por que eles estão vindo para mim e pará-lo. Também temos tráfego CN legítimo, portanto, proibir 1/6 do planeta Terra não é uma opção.
É possível que seja malicioso e até pessoal, mas pode ser apenas um DNS mal configurado por lá.
Minha teoria é que é um servidor DNS mal configurado ou possivelmente alguns serviços de VPN que as pessoas estão usando para contornar o Great Fire Wall.
Dado um endereço IP do cliente:
183.36.131.137 - - [05/Jan/2015:04:44:12 -0500] "GET /announce?info_hash=%3E%F3%0B%907%7F%9D%E1%C1%CB%BAiF%D8C%DE%27vG%A9&peer_id=%2DSD0100%2D%96%8B%C0%3B%86n%8El%C5L%11%13&ip=183.36.131.137&port=11794&uploaded=4689970239&downloaded=4689970239&left=0&numwant=200&key=9085&compact=1 HTTP/1.0" 444 0 "-" "Bittorrent"
Agora eu posso:
descr: CHINANET Guangdong province network
descr: Data Communication Division
descr: China Telecom
- Como posso descobrir qual servidor DNS esses clientes estão usando?
- Existe alguma maneira de determinar se uma solicitação HTTP é proveniente de uma VPN?
- O que realmente está acontecendo aqui ?
Respostas:
Existe uma maneira teórica de determinar o resolvedor de DNS de seus clientes, mas é bastante avançado e não conheço nenhum software disponível que faça isso por você. Você com certeza precisará executar um servidor DNS autorizado para isso, além do seu nginx.
Caso o cabeçalho do Host HTTP esteja incorreto, envie um documento de erro e inclua uma solicitação para um FQDN exclusivo criado dinamicamente para cada solicitação registrada em um banco de dados. por exemplo.
Desde que o ótimo firewall da China não mexa com essa solicitação e o cliente solicite o documento desse URI FQDN + URI exclusivo, cada solicitação resultará em uma nova pesquisa de DNS no seu DNS autoritativo, por exemplo.com, onde é possível registrar o IP do O resolvedor de DNS e, posteriormente, correlaciona isso com seus URIs gerados dinamicamente.
fonte
example.com
, você criaria um registro NS para um subdomínio, comons-detect.example.com
. Em seguida, você criaria um nome exclusivo abaixo desse nome de domínio, como seria o domínio completoe2665feebe35bc97aff1b329c87b87e7.ns-detect.example.com
.Eu ouvi o ótimo firewall usado para redirecionar o tráfego "bloqueado" para um punhado de IPs falsos, mas isso estava fazendo com que seus blocos fossem facilmente detectados (não tenho certeza se isso permitia uma subversão fácil). De qualquer forma, os administradores começaram a redirecionar para IPs aleatórios. Isso levou alguns usuários chineses a obter pornografia, em vez de facebook ou vpns, aparentemente.
Eu suspeito que um de seus IPs acabou sendo um destinatário de tráfego chinês bloqueado - portanto, você está vendo agentes de usuários de IPI do Facebook.
Isso significa que a verificação do cabeçalho do host deve ser boa. Atualmente, a maioria dos agentes de usuário oferece suporte ao SNI, portanto, você poderá eliminar o tráfego sem cabeçalho de host com relativa impunidade.
Editar: http://www.infosecurity-magazine.com/news/great-firewall-upgrade-redirects/
fonte
Entre em contato com a Chinanet e pergunte? Sério, o DNS é configurável no lado do cliente. A maioria das pessoas obtém configurações de DNS via DHCP, mas o OpenDNS e a oferta de DNS do Google não teriam um modelo de negócios se você não pudesse alterá-las.
Na verdade, não, exceto que o IP seria da VPN, não do usuário final na China.
Isso eu não posso lhe dizer, mas talvez haja algum tipo de configuração incorreta no Grande Firewall da China ?
fonte