La scorsa settimana ho ricevuto un enorme flusso di traffico da una vasta gamma di indirizzi IP cinesi. Questo traffico sembra provenire da persone normali e le loro richieste HTTP indicano che pensano che io sia:
- The Pirate Bay
- vari tracker BitTorrent,
- siti porno
Tutto ciò suona come qualcosa per cui le persone utilizzerebbero una VPN. O cose che farebbero arrabbiare la Grande Muraglia cinese.
Gli user-agent includono browser Web, Android, iOS, FBiOSSDK, Bittorrent. Gli indirizzi IP sono normali fornitori commerciali cinesi.
Ho Nginx che restituisce 444 se l'host non è corretto o l'agente utente ha ovviamente torto:
## Deny illegal Host headers
if ($host !~* ^({{ www_domain }})$ ) {
return 444;
}
## block bad agents
if ($http_user_agent ~* FBiOSSDK|ExchangeWebServices|Bittorrent) {
return 444;
}
Ora posso gestire il carico, ma ci sono stati alcuni scoppi fino a 2k / minuto. Voglio scoprire perché vengono da me e smetterla. Abbiamo anche un traffico CN legittimo, quindi vietare 1/6 del pianeta Terra non è un'opzione.
È possibile che sia dannoso e persino personale, ma potrebbe essere solo un DNS non configurato correttamente.
La mia teoria è che si tratta di un server DNS non configurato correttamente o forse di alcuni servizi VPN che le persone utilizzano per aggirare Great Fire Wall.
Dato un indirizzo IP client:
183.36.131.137 - - [05/Jan/2015:04:44:12 -0500] "GET /announce?info_hash=%3E%F3%0B%907%7F%9D%E1%C1%CB%BAiF%D8C%DE%27vG%A9&peer_id=%2DSD0100%2D%96%8B%C0%3B%86n%8El%C5L%11%13&ip=183.36.131.137&port=11794&uploaded=4689970239&downloaded=4689970239&left=0&numwant=200&key=9085&compact=1 HTTP/1.0" 444 0 "-" "Bittorrent"
Io posso sapere:
descr: CHINANET Guangdong province network
descr: Data Communication Division
descr: China Telecom
- Come posso sapere quale server DNS stanno usando quei clienti?
- Esiste un modo per determinare se una richiesta HTTP proviene da una VPN?
- Cosa sta succedendo davvero qui?