Trong tuần qua tôi đã nhận được một luồng lưu lượng truy cập lớn từ một loạt các địa chỉ IP Trung Quốc. Lưu lượng truy cập này dường như đến từ những người bình thường và các yêu cầu HTTP của họ cho thấy họ nghĩ rằng tôi:
- Vịnh hải tặc
- nhiều trình theo dõi BitTorrent khác nhau,
- trang web khiêu dâm
Tất cả đều giống như những thứ mà mọi người sẽ sử dụng VPN. Hoặc những điều sẽ làm cho Vạn Lý Trường Thành của Trung Quốc tức giận.
Tác nhân người dùng bao gồm trình duyệt web, Android, iOS, FBiOSSDK, Bittorrent. Các địa chỉ IP là nhà cung cấp thương mại Trung Quốc bình thường.
Tôi có Nginx trả lại 444 nếu máy chủ không chính xác hoặc tác nhân người dùng rõ ràng là sai:
## Deny illegal Host headers
if ($host !~* ^({{ www_domain }})$ ) {
return 444;
}
## block bad agents
if ($http_user_agent ~* FBiOSSDK|ExchangeWebServices|Bittorrent) {
return 444;
}
Tôi có thể xử lý tải ngay bây giờ, nhưng đã có một số vụ nổ lên tới 2k / phút. Tôi muốn tìm hiểu lý do tại sao họ đến với tôi và ngăn chặn nó. Chúng tôi cũng có lưu lượng truy cập CN hợp pháp, do đó, cấm 1/6 trái đất không phải là một lựa chọn.
Có thể là độc hại và thậm chí là cá nhân, nhưng nó có thể chỉ là một DNS bị định cấu hình sai ở đó.
Giả thuyết của tôi là máy chủ DNS được định cấu hình sai hoặc có thể một số dịch vụ VPN mà mọi người đang sử dụng để đi xung quanh Great Fire Wall.
Cho một địa chỉ IP của khách hàng:
183.36.131.137 - - [05/Jan/2015:04:44:12 -0500] "GET /announce?info_hash=%3E%F3%0B%907%7F%9D%E1%C1%CB%BAiF%D8C%DE%27vG%A9&peer_id=%2DSD0100%2D%96%8B%C0%3B%86n%8El%C5L%11%13&ip=183.36.131.137&port=11794&uploaded=4689970239&downloaded=4689970239&left=0&numwant=200&key=9085&compact=1 HTTP/1.0" 444 0 "-" "Bittorrent"
Tôi có thể biết:
descr: CHINANET Guangdong province network
descr: Data Communication Division
descr: China Telecom
- Làm cách nào tôi có thể tìm ra máy chủ DNS mà khách hàng đang sử dụng?
- Có cách nào để xác định xem yêu cầu HTTP có đến từ VPN không?
- Điều gì đang thực sự xảy ra ở đây?