24 votos

Misterioso del mal dirigidas Chino de tráfico: ¿Cómo puedo averiguar qué servidor DNS de una solicitud HTTP se utiliza?

Durante la última semana he estado recibiendo un enorme flujo de tráfico de una amplia gama de direcciones IP de China. Este tráfico parece ser de la gente normal y sus peticiones HTTP indican que ellos piensan que yo soy:

  • Facebook
  • The Pirate Bay
  • varios trackers de BitTorrent,
  • sitios porno

Todo lo cual suena a cosas que la gente podría utilizar una VPN. O cosas que hacen la Gran Muralla de China enojado.

Los agentes de usuario incluyen los navegadores web, Android, iOS, FBiOSSDK, Bittorrent. Las direcciones IP son normales comercial proveedores Chinos.

He Nginx regresar 444 si el host es incorrecta o el agente de usuario es obviamente erróneo:

## Deny illegal Host headers
if ($host !~* ^({{ www_domain }})$ ) {
   return 444;
}
## block bad agents
if ($http_user_agent ~* FBiOSSDK|ExchangeWebServices|Bittorrent) {
    return 444;
}

Puedo manejar la carga de ahora, pero hubo algunas ráfagas de hasta 2k/minuto. Quiero averiguar por qué vienen a mí y detenerlo. También tenemos legítimo CN el tráfico, por lo que la prohibición de 1/6 del planeta tierra no es una opción.

Es posible que su maliciosos e incluso personales, pero puede que sólo sea un mal configurado DNS.

Mi teoría es que es un mal configurado el servidor DNS o, posiblemente, algunos de los servicios de VPN que la gente está utilizando para obtener alrededor de un Gran Muro de Fuego.

Dada una dirección IP del cliente:

183.36.131.137 - - [05/Jan/2015:04:44:12 -0500] "GET /announce?info_hash=%3E%F3%0B%907%7F%9D%E1%C1%CB%BAiF%D8C%DE%27vG%A9&peer_id=%2DSD0100%2D%96%8B%C0%3B%86n%8El%C5L%11%13&ip=183.36.131.137&port=11794&uploaded=4689970239&downloaded=4689970239&left=0&numwant=200&key=9085&compact=1 HTTP/1.0" 444 0 "-" "Bittorrent"

Puedo saber:

descr:          CHINANET Guangdong province network
descr:          Data Communication Division
descr:          China Telecom
  • ¿Cómo puedo averiguar qué servidor DNS de los clientes están utilizando ?
  • Existe de todos modos para determinar si una solicitud HTTP viene de una VPN ?
  • Lo que realmente está pasando aquí ?

31voto

r_3 Puntos 656

No es un teórico de la determinación de la resolución de DNS de sus clientes, pero es bastante avanzado y no sé cualquier off-the-shelf software que va a hacer eso para usted. Usted seguro de que tiene que ejecutar un servidor DNS autorizado para que, además de su nginx.

En caso de que el encabezado de Host HTTP es incorrecta, servir un error-documento e incluir una petición para una creados dinámicamente, único nombre completo de cada uno y cada una de las peticiones que los usuarios se conectan a una base de datos. por ejemplo.

http://e2665feebe35bc97aff1b329c87b87e7.example.com/img.png

Mientras Chinas gran firewall no jugar con esa petición, el cliente solicita el documento de que la única FQDN+URI, cada solicitud tendrá como resultado una nueva búsqueda de DNS para el DNS con autoridad para example.com donde se puede acceder a la IP de la resolución de DNS y luego correlacionar esto con su generadas dinámicamente URIs.

5voto

Tom Newton Puntos 2865

He escuchado el gran firewall se utiliza para redirigir "bloqueado" el tráfico a un puñado de falsos IPs, pero esta fue la causa de sus bloques para ser fácilmente identificables (no estoy seguro de si se permitía una fácil subversion). En cualquier caso, los administradores han comenzado a redirigir al azar a IPs. Esto ha llevado a algunos usuarios Chinos llegar porno, en lugar de facebook o vpn, al parecer.

Sospecho que uno de sus IPs se ha convertido en un receptor de bloqueado chino de tráfico, de ahí que al ver Facebook IPI los agentes de usuario.

Esto significa que el encabezado de host de verificación debe ser una buena. La mayoría de los agentes de usuario de apoyo SNI en estos días, así que usted debe ser capaz de soltar no-encabezado de host de tráfico con relativa impunidad.

Editar: http://www.infosecurity-magazine.com/news/great-firewall-upgrade-redirects/

4voto

Katherine Villyard Puntos 10812

¿Cómo puedo averiguar qué servidor DNS de los clientes están utilizando ?

Contacto Chinanet y preguntar? En serio, el DNS es configurable en el lado del cliente. La mayoría de la gente obtener la configuración de DNS a través de DHCP, pero OpenDNS y Google DNS que ofrece no tienen un modelo de negocio si no podía cambiar.

Existe de todos modos para determinar si una solicitud HTTP viene de una VPN ?

No realmente, a menos que la IP sea de la VPN, no el usuario final en China.

Lo que realmente está pasando aquí ?

Que no te lo puedo decir, pero tal vez hay algún tipo de error de configuración en el Gran Cortafuegos de China?

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: