Lưu lượng truy cập Trung Quốc sai lầm bí ẩn: Làm cách nào tôi có thể tìm ra máy chủ DNS mà yêu cầu HTTP được sử dụng?


24

Trong tuần qua tôi đã nhận được một luồng lưu lượng truy cập lớn từ một loạt các địa chỉ IP Trung Quốc. Lưu lượng truy cập này dường như đến từ những người bình thường và các yêu cầu HTTP của họ cho thấy họ nghĩ rằng tôi:

  • Facebook
  • Vịnh hải tặc
  • nhiều trình theo dõi BitTorrent khác nhau,
  • trang web khiêu dâm

Tất cả đều giống như những thứ mà mọi người sẽ sử dụng VPN. Hoặc những điều sẽ làm cho Vạn Lý Trường Thành của Trung Quốc tức giận.

Tác nhân người dùng bao gồm trình duyệt web, Android, iOS, FBiOSSDK, Bittorrent. Các địa chỉ IP là nhà cung cấp thương mại Trung Quốc bình thường.

Tôi có Nginx trả lại 444 nếu máy chủ không chính xác hoặc tác nhân người dùng rõ ràng là sai:

## Deny illegal Host headers
if ($host !~* ^({{ www_domain }})$ ) {
   return 444;
}
## block bad agents
if ($http_user_agent ~* FBiOSSDK|ExchangeWebServices|Bittorrent) {
    return 444;
}

Tôi có thể xử lý tải ngay bây giờ, nhưng đã có một số vụ nổ lên tới 2k / phút. Tôi muốn tìm hiểu lý do tại sao họ đến với tôi và ngăn chặn nó. Chúng tôi cũng có lưu lượng truy cập CN hợp pháp, do đó, cấm 1/6 trái đất không phải là một lựa chọn.

Có thể là độc hại và thậm chí là cá nhân, nhưng nó có thể chỉ là một DNS bị định cấu hình sai ở đó.

Giả thuyết của tôi là máy chủ DNS được định cấu hình sai hoặc có thể một số dịch vụ VPN mà mọi người đang sử dụng để đi xung quanh Great Fire Wall.

Cho một địa chỉ IP của khách hàng:

183.36.131.137 - - [05/Jan/2015:04:44:12 -0500] "GET /announce?info_hash=%3E%F3%0B%907%7F%9D%E1%C1%CB%BAiF%D8C%DE%27vG%A9&peer_id=%2DSD0100%2D%96%8B%C0%3B%86n%8El%C5L%11%13&ip=183.36.131.137&port=11794&uploaded=4689970239&downloaded=4689970239&left=0&numwant=200&key=9085&compact=1 HTTP/1.0" 444 0 "-" "Bittorrent"

Tôi có thể biết:

descr:          CHINANET Guangdong province network
descr:          Data Communication Division
descr:          China Telecom
  • Làm cách nào tôi có thể tìm ra máy chủ DNS mà khách hàng đang sử dụng?
  • Có cách nào để xác định xem yêu cầu HTTP có đến từ VPN không?
  • Điều gì đang thực sự xảy ra ở đây?

5
Tôi đã thấy vấn đề này trước đây, cả hai đều là mục tiêu của lưu lượng truy cập và có lưu lượng truy cập dành cho máy chủ của tôi được gửi ở nơi khác. Tôi không có câu trả lời nào. Tôi đã giảm tác động của sự cố đầu tiên với tường lửa và lần thứ hai với giải pháp phần mềm chỉ có thể xảy ra trong tình huống cụ thể của chúng tôi (phần mềm của chúng tôi đang thực hiện các yêu cầu). Trong quá trình xúi giục, chúng tôi thấy rằng một số máy chủ DNS từ chối tôn trọng các mức rất thấp, thay vào đó, lưu trữ kết quả trong nhiều tháng, điều này có thể giải thích danh sách các trang web bạn đang có lưu lượng truy cập.
xofer

1
Cũng kiểm tra câu hỏi này. Tôi gặp vấn đề tương tự serverfault.com/questions/656093/ Quảng Tôi chỉ tò mò về lý do tại sao một ISP sẽ làm điều gì đó như thế. Tôi không thể thấy giá trị trong.
Cha0s

4
Theo kinh nghiệm của tôi, đây là những nỗ lực để tìm các proxy web mở. Một số máy chủ web sẽ cho phép bạn yêu cầu bất kỳ URL nào ; Tôi đã từng được gọi để giải quyết một vấn đề như vậy, vượt quá mức phân bổ băng thông hàng tháng (hào phóng) trước khi nó được sử dụng. Một nhóm sinh viên tại Học viện Công nghệ Nam Kinh đã phát hiện ra rằng họ có thể tạo kết nối HTTPS với nó và yêu cầu bất kỳ trang web nào , và do đó háo hức lén lút tất cả nội dung khiêu dâm của họ qua Great Firewall. Nếu bạn không thực sự phục vụ nội dung được yêu cầu, bạn sẽ ổn thôi.
MadHatter hỗ trợ Monica

1
Thông thường, có. Chỉ có một mục nhật ký được trích dẫn ở trên, vì vậy tôi nghĩ rằng nó đáng được đề cập; nó không có ý định trở thành một câu trả lời hoàn chỉnh, có suy nghĩ hoặc tôi đã gửi nó như một câu trả lời!
MadHatter hỗ trợ Monica

1
1. Bạn đã bao giờ thử săn lùng các hệ thống cho một tên miền đã đăng ký ở Mỹ chưa? Nếu vậy bạn biết làm thế nào có thể khó khăn. Tôi tưởng tượng sự gần như không thể của mình khi không chỉ tìm đúng người để nói chuyện tại "Chinanet" mà còn là người phù hợp thực sự quan tâm đủ để giúp bạn.
Michael Martinez

Câu trả lời:


31

Có một cách lý thuyết để xác định trình phân giải DNS của khách hàng của bạn, nhưng nó khá tiên tiến và tôi không biết bất kỳ phần mềm sẵn có nào sẽ làm điều đó cho bạn. Bạn chắc chắn sẽ phải chạy một máy chủ DNS có thẩm quyền cho điều đó ngoài nginx của bạn.

Trong trường hợp tiêu đề Máy chủ HTTP không chính xác, hãy cung cấp tài liệu lỗi và bao gồm yêu cầu đối với FQDN duy nhất được tạo động cho mỗi và mọi yêu cầu mà bạn đăng nhập vào cơ sở dữ liệu. ví dụ.

http://e2665feebe35bc97aff1b329c87b87e7.example.com/img.png

Miễn là tường lửa tuyệt vời của Chinas không phù hợp với yêu cầu đó và khách hàng yêu cầu tài liệu từ FQDN + URI duy nhất đó, mỗi yêu cầu sẽ dẫn đến việc tra cứu DNS mới tới DNS có thẩm quyền của bạn, ví dụ như bạn có thể đăng nhập IP của Trình phân giải DNS và sau này tương quan điều này với các URI được tạo động của bạn.


6
Đây là cách tiếp cận tương tự mà tôi muốn đề xuất, mặc dù tôi nghĩ rằng sẽ cần một cấp độ tên miền khác để làm cho nó hoạt động. Nếu tên miền chính là example.com, bạn sẽ tạo một bản ghi NS cho một tên miền phụ, chẳng hạn như ns-detect.example.com. Sau đó, bạn sẽ tạo một tên duy nhất bên dưới tên miền đó, như vậy tên miền đầy đủ sẽ là e2665feebe35bc97aff1b329c87b87e7.ns-detect.example.com.
kasperd

1
Đó là một cách tiếp cận thú vị. Bây giờ tôi đang nghi ngờ rằng việc chuyển hướng là có chủ ý (vì tôi không phải là người duy nhất nhìn thấy điều này). Vì vậy, tôi cho rằng các máy chủ DNS khác nhau của Trung Quốc sẽ không bận tâm tìm kiếm máy chủ có thẩm quyền để lấy tên miền phụ. Nó sẽ không có ý nghĩa đối với họ để làm điều đó.
felix

Nếu họ sử dụng một danh sách trắng, bạn có thể đúng. Nếu họ nằm trong danh sách đen thì thực sự không có lý do gì để tìm kiếm một FQDN trông ngây thơ. Tất nhiên, điều này cũng có thể là kết quả của các kỹ thuật lọc nâng cao hơn nhiều so với việc chỉ chơi xung quanh với các phản hồi DNS.
r_3

1
+1 cho ý tưởng của kasperd về việc tạo một tên miền phụ bằng NS của chính nó, để giữ các bản ghi cho tách biệt với DNS bình thường của bạn. Và để làm điều đó với ít cơ hội làm hỏng những thứ bình thường của bạn. Nếu bạn thấy bất kỳ ai cũng yêu cầu http yêu cầu tên máy chủ lưu trữ trong DNS của mình, thì bạn biết máy chủ DNS mà khách hàng xấu của bạn đang sử dụng đang giả mạo phản hồi DNS (và có thể gửi nhầm lưu lượng truy cập ở nơi khác Có lẽ một quản trị viên Trung Quốc ở đâu đó đã đánh máy một địa chỉ IP trong một cấu hình?).
Peter Cordes

Chấp nhận vì nó trả lời câu hỏi đầu tiên chính xác nhất. Không thực sự giải quyết lý do tại sao chúng tôi nhận được lưu lượng truy cập, nhưng stackexchange không cho phép các câu hỏi mơ hồ.
felix

5

Tôi đã nghe thấy tường lửa tuyệt vời được sử dụng để chuyển hướng lưu lượng truy cập "bị chặn" sang một số IP giả mạo, nhưng điều này khiến các khối của chúng dễ dàng bị phát hiện (Tôi không chắc liệu nó có cho phép lật đổ dễ dàng không). Trong mọi trường hợp, quản trị viên đã bắt đầu chuyển hướng đến các IP ngẫu nhiên. Điều này đã dẫn đến một số người dùng Trung Quốc nhận được nội dung khiêu dâm, thay vì facebook hoặc vpns, rõ ràng.

Tôi nghi ngờ một trong những IP của bạn hóa ra là người nhận lưu lượng truy cập của Trung Quốc bị chặn - do đó bạn thấy các tác nhân người dùng Facebook IPI.

Điều này có nghĩa là kiểm tra tiêu đề máy chủ phải là một kiểm tra tốt. Hầu hết các tác nhân người dùng hỗ trợ SNI những ngày này, vì vậy bạn sẽ có thể loại bỏ lưu lượng truy cập không có máy chủ lưu trữ với sự miễn cưỡng tương đối.

Chỉnh sửa: http://www.infosecurity-magazine.com/news/great-firewall-upTHER-redirects/


4

Làm cách nào tôi có thể tìm ra máy chủ DNS mà khách hàng đang sử dụng?

Liên hệ với Chinanet và hỏi? Nghiêm túc, DNS có thể cấu hình ở phía máy khách. Hầu hết mọi người nhận cài đặt DNS qua DHCP, nhưng cung cấp DNS của OpenDNS và Google sẽ không có mô hình kinh doanh nếu bạn không thể thay đổi chúng.

Có cách nào để xác định xem yêu cầu HTTP có đến từ VPN không?

Không thực sự, ngoại trừ IP sẽ là của VPN, không phải người dùng cuối ở Trung Quốc.

Điều gì đang thực sự xảy ra ở đây?

Điều đó tôi không thể nói với bạn, nhưng có lẽ có một loại cấu hình sai trong Tường lửa vĩ đại của Trung Quốc ?

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.