Como posso saber se a Comcast está bloqueando o acesso a um IP? [fechadas]

2

Eu tenho um site hospedado no CentOS 7, parte de um ambiente A2 Hosting. Embora eu possa acessar meu site ( link ) no meu telefone e em um provedor de serviços de Internet, não consigo acessá-lo por meio de um provedor da Comcast ou por RCN ISP (que usa a rede da Comcast). Aqui está o meu traceroute

localhost:tmp davea$ traceroute 68.66.205.103
traceroute to 68.66.205.103 (68.66.205.103), 64 hops max, 52 byte packets
 1  192.168.1.1 (192.168.1.1)  15.293 ms  6.332 ms  1.234 ms
 2  bdl1.lem-cbr2.chi-lem.il.cable.rcn.net (10.48.40.1)  9.922 ms  17.757 ms  12.261 ms
 3  216.80.78.71 (216.80.78.71)  10.832 ms  10.550 ms  11.397 ms
 4  bdle2.border1.eqnx.il.rcn.net (207.172.15.196)  13.622 ms  23.229 ms
    bdle3.border1.eqnx.il.rcn.net (207.172.15.212)  11.654 ms
 5  * * *
 6  * * *
 7  * * *
 8  * * *
 9  * * *
10  * * *
11  * * *

O que é interessante, é que na minha mesma máquina em um Comcast ISP, eu posso acessar o site em um navegador TOR, então não sei se isso significa que o ISP está bloqueando o endereço IP remoto ou se há algo mais indo. Qualquer conselho é apreciado, -

    
por Dave 25.02.2018 / 16:51

2 respostas

2

A Comcast realmente bloqueia seu IP por conta própria? Bem, a resposta é ... complicada.

Não é exatamente uma decisão da Comcast em si.

O endereço IP do servidor que você tem agora foi reportado como parte de um BOTNET.

Muitas organizações em todo o mundo e até mesmo organizações que usam fornecedores de firewall (como a recente tecnologia CheckPoint) podem estar bloqueando o acesso total ou certos tipos de acesso como servidor a esse endereço IP enquanto o servidor está em listas negras de malware (ou seja, clientes em que as redes não abram).

A Comcast também é (in) famosa por interceptar pelo menos solicitações HTTP com proxies (transparentes).

O que podemos ter certeza é que a Comcast está consumindo / usando uma ou mais listas negras aplicadas a alguma tecnologia usada para filtrar os acessos a determinados serviços. Eles provavelmente não serão a única organização a fazer isso.

Como um exemplo de estatísticas / relatórios do seu endereço IP em uma lista, consulte (enquanto estiver ativo) link

e também o malware que eles relatam viram a atividade do seu endereço IP:

MMD-0052-2016 - Visão geral do "SkidDDoS" ELF ++ IRC Botnet

Além disso, no link , selecione a opção para ver URLs verificados / acessados pelo seu host:

http://68.66.205.103/bins.sh  
http://80.211.225.35/'  
http://80.211.225.35/apache2
http://80.211.225.35/banana124.sh  
http://80.211.225.35/bash  
http://80.211.225.35/cron  
http://80.211.225.35/ftp  
http://80.211.225.35/ntpd  
http://80.211.225.35/openssh  
http://80.211.225.35/pftp

Inserindo também seu endereço IP no Shodan, ele me alertou que você está expondo os serviços perigosos da Internet.

Você não deve ter pelo menos rpcbind exposto à Internet; deve ser protegido por firewall.

$ nmap -sT 68.66.205.103

Starting Nmap 7.60 ( https://nmap.org ) at 2018-02-25 18:14 WET
Nmap scan report for 68.66.205.103.static.a2webhosting.com (68.66.205.103)
Host is up (0.14s latency).
Not shown: 998 closed ports
PORT    STATE SERVICE
80/tcp  open  http
111/tcp open  rpcbind

(Infelizmente, meu próprio ISP me impede de fazer uma operação confiável de varredura de porta UDP)

Não é preciso dizer que o servidor deve ser reinstalado e a política de segurança deve ser reavaliada.

P.S. Eu mudei a questão para malware.

    
por 25.02.2018 / 17:42
-1

A execução de um traceroute não fornece uma resposta determinista. Para verificar se uma porta está bloqueada, você precisa se conectar diretamente a ela. Você pode usar o tcptraceroute ou hping para tentar alcançar o seu:.

# tcptraceroute www.google.com 443
Running:
    traceroute -T -O info -p 443 www.google.com 
traceroute to www.google.com (216.58.198.164), 30 hops max, 60 byte packets
...
9  108.170.232.97 (108.170.232.97)  10.305 ms  10.775 ms 108.170.232.99 (108.170.232.99)  10.724 ms
10  lhr25s10-in-f164.1e100.net (216.58.198.164) <syn,ack>  9.316 ms  9.444 ms  11.003 ms

Ou usando o HPING3:

# hping3 -V -S -p 443 www.google.co.uk
using wlp3s0, addr: <ipaddr>, MTU: 1500
HPING www.google.co.uk (wlp3s0 172.217.23.3): S set, 40 headers + 0 data bytes
len=46 ip=172.217.23.3 ttl=57 id=54832 sport=443 flags=SA seq=0 win=42780 rtt=31.8 ms
...

O fato de você poder acessar seu serviço sobre outro ISP e TOR torna possível que a Comcast esteja realmente bloqueando o acesso à porta 80. Um teste simples para validar a filtragem baseada em malware está alterando a porta para um valor não-padrão ( como 5580 ou 9980) e tentando novamente.

    
por 25.02.2018 / 18:59