Таинственный неверно направленный китайский трафик: Как я могу узнать, какой сервер DNS Запрос HTTP использовал?
В течение прошлой недели я получал огромный поток трафика из широкого спектра китайских IP-адресов. Этот трафик, кажется, от нормальных людей, и их Запросы HTTP указывают, что они думают, что я:
- Pirate Bay
- различные средства отслеживания БитТоррента,
- порносайты
Весь из которого походит на вещи, для которых люди использовали бы VPN. Или вещи, которые сделали бы Великую Китайскую стену сердитой.
Агенты пользователя включают веб-браузеры, Android, iOS, FBiOSSDK, Bittorrent. IP-адреса являются нормальными коммерческими китайскими поставщиками.
У меня есть Nginx, возвращаясь 444, если хост является неправильным, или агент пользователя является, очевидно, неправильным:
## Deny illegal Host headers
if ($host !~* ^({{ www_domain }})$ ) {
return 444;
}
## block bad agents
if ($http_user_agent ~* FBiOSSDK|ExchangeWebServices|Bittorrent) {
return 444;
}
Я могу обработать загрузку теперь, но были некоторые пакеты до 2k/minute. Я хочу узнать, почему они прибывают ко мне и останавливают его. У нас также есть законный трафик CN, таким образом запрещение 1/6-го из планеты Земля не является опцией.
Возможно, что его злонамеренное и даже персональный, но это может просто быть неправильно сконфигурированный DNS там.
Моя теория состоит в том, что это - неправильно сконфигурированный сервер DNS или возможно некоторые сервисы VPN, которые люди используют для обхождения Большого Брандмауэра.
Учитывая клиентский IP-адрес:
183.36.131.137 - - [05/Jan/2015:04:44:12 -0500] "GET /announce?info_hash=%3E%F3%0B%907%7F%9D%E1%C1%CB%BAiF%D8C%DE%27vG%A9&peer_id=%2DSD0100%2D%96%8B%C0%3B%86n%8El%C5L%11%13&ip=183.36.131.137&port=11794&uploaded=4689970239&downloaded=4689970239&left=0&numwant=200&key=9085&compact=1 HTTP/1.0" 444 0 "-" "Bittorrent"
Я могу знать:
descr: CHINANET Guangdong province network
descr: Data Communication Division
descr: China Telecom
- Как я могу узнать, какой сервер DNS те клиенты используют?
- Там должен так или иначе определить, прибывает ли Запрос HTTP из VPN?
- Что действительно продолжается здесь?
Есть один теоретический способ определения DNS resolver ваших клиентов, но он достаточно продвинут, и я не знаю ни одного готового программного обеспечения, которое сделало бы это за вас. Для этого, в дополнение к вашему nginx, вам наверняка придется запустить авторитетный DNS-сервер.
В случае, если заголовок HTTP Host неправилен, обслужите документ об ошибке и включите в него запрос к динамически создаваемому уникальному FQDN для каждого запроса, который вы регистрируете в базе данных. Например
До тех пор, пока великий брандмауэр Chinas не будет обманывать этот запрос, а клиент будет запрашивать документ с этого уникального FQDN+URI, каждый запрос будет приводить к новому DNS-поиску вашего авторитетного DNS, например.com, где вы можете записать IP-адрес DNS-резольвера, а затем соотнести его с динамически созданными URI.
.Я слышал, что отличный брандмауэр использовался для перенаправления «заблокированного» трафика на несколько фальшивых IP-адресов, но из-за этого их блоки можно было легко обнаружить (я ' м не уверен, допускает ли это легкая подрывная деятельность). В любом случае администраторы начали перенаправлять на случайные IP. . Это привело к некоторым китайским пользователям получать порно, а не Facebook или ВЧС, по-видимому,
Я подозреваю, что один из ваших IP-адресов оказалось быть получателем блокированного китайского трафика. - поэтому вы видите Facebook IPI пользовательских агентов
Это означает, что проверка заголовка хоста должна быть хорошей. Большинство пользовательских агентов в наши дни поддерживают SNI, так что вы сможете с относительной безнаказанностью отбрасывать трафик без заголовков хоста.
Изменить: http://www.infosecurity-magazine.com/news/great-firewall-upgrade-redirects/
Как узнать, какой DNS-сервер используют эти клиенты?
Свяжитесь с Chinanet и задайте вопрос? Серьезно, DNS настраивается на стороне клиента. Большинство людей получают настройки DNS через DHCP, но предложение OpenDNS и Google DNS не будет иметь бизнес-модели, если вы не сможете их изменить.
Есть ли вообще возможность определить, идет ли HTTP-запрос с VPN?
Не совсем, за исключением того, что IP будет VPN, а не конечным пользователем в Китае.
Что на самом деле здесь происходит?
Этого я не могу сказать, но, возможно, есть какая-то ошибка в Великом Китайском брандмауэре ?
?