Durante a semana passada, recebi um enorme fluxo de tráfego de uma ampla gama de endereços IP chineses. Este tráfego parece ser de pessoas normais e suas solicitações HTTP indicam que eles acham que sou:
- Facebook
- O Pirate Bay
- vários rastreadores de BitTorrent,
- sites pornográficos
Tudo isso soa como coisas para as quais as pessoas usariam uma VPN. Ou coisas que fariam a Grande Muralha da China ficar com raiva.
User-agents incluem navegadores da web, Android, iOS, FBiOSSDK, Bittorrent. Os endereços IP são provedores chineses comerciais normais.
Eu tenho o Nginx retornando 444 se o host está incorreto ou o agente do usuário está obviamente errado:
## Deny illegal Host headers
if ($host !~* ^({{ www_domain }})$ ) {
return 444;
}
## block bad agents
if ($http_user_agent ~* FBiOSSDK|ExchangeWebServices|Bittorrent) {
return 444;
}
Eu posso lidar com a carga agora, mas houve algumas explosões de até 2k / minuto. Eu quero descobrir porque eles estão vindo para mim e parem com isso. Nós também temos o tráfego legítimo da CN, então proibir 1/6 do planeta Terra não é uma opção.
É possível que seja malicioso e até mesmo pessoal, mas pode ser um DNS mal configurado por aí.
Minha teoria é que é um servidor DNS mal configurado ou possivelmente alguns serviços VPN que as pessoas estão usando para contornar o Great Fire Wall.
Dado um endereço IP do cliente:
183.36.131.137 - - [05/Jan/2015:04:44:12 -0500] "GET /announce?info_hash=%3E%F3%0B%907%7F%9D%E1%C1%CB%BAiF%D8C%DE%27vG%A9&peer_id=%2DSD0100%2D%96%8B%C0%3B%86n%8El%C5L%11%13&ip=183.36.131.137&port=11794&uploaded=4689970239&downloaded=4689970239&left=0&numwant=200&key=9085&compact=1 HTTP/1.0" 444 0 "-" "Bittorrent"
Eu posso saber:
descr: CHINANET Guangdong province network
descr: Data Communication Division
descr: China Telecom
- Como posso descobrir qual servidor DNS esses clientes estão usando?
- Existe alguma maneira de determinar se uma solicitação HTTP está vindo de uma VPN?
- O que realmente está acontecendo aqui?
