Au cours de la semaine dernière, j'ai reçu un énorme flux de trafic provenant d'un large éventail d'adresses IP chinoises. Ce trafic semble provenir de personnes normales et leurs requêtes HTTP indiquent qu'ils pensent que je suis:
- The Pirate Bay
- divers trackers BitTorrent,
- sites porno
Tout cela ressemble à des choses pour lesquelles les gens utiliseraient un VPN. Ou des choses qui mettraient la Grande Muraille de Chine en colère.
Les agents utilisateurs incluent les navigateurs Web, Android, iOS, FBiOSSDK, Bittorrent. Les adresses IP sont des fournisseurs commerciaux chinois normaux.
J'ai Nginx retournant 444 si l'hôte est incorrect ou l'agent utilisateur est manifestement faux:
## Deny illegal Host headers
if ($host !~* ^({{ www_domain }})$ ) {
return 444;
}
## block bad agents
if ($http_user_agent ~* FBiOSSDK|ExchangeWebServices|Bittorrent) {
return 444;
}
Je peux gérer la charge maintenant, mais il y a eu quelques rafales allant jusqu'à 2k / minute. Je veux savoir pourquoi ils viennent vers moi et l'arrêter. Nous avons également un trafic CN légitime, donc interdire 1/6 de la planète Terre n'est pas une option.
Il est possible que ce soit malveillant et même personnel, mais il peut simplement s'agir d'un DNS mal configuré là-bas.
Ma théorie est que c'est un serveur DNS mal configuré ou peut-être certains services VPN que les gens utilisent pour contourner Great Fire Wall.
Étant donné une adresse IP client:
183.36.131.137 - - [05/Jan/2015:04:44:12 -0500] "GET /announce?info_hash=%3E%F3%0B%907%7F%9D%E1%C1%CB%BAiF%D8C%DE%27vG%A9&peer_id=%2DSD0100%2D%96%8B%C0%3B%86n%8El%C5L%11%13&ip=183.36.131.137&port=11794&uploaded=4689970239&downloaded=4689970239&left=0&numwant=200&key=9085&compact=1 HTTP/1.0" 444 0 "-" "Bittorrent"
Je peux savoir:
descr: CHINANET Guangdong province network
descr: Data Communication Division
descr: China Telecom
- Comment savoir quel serveur DNS ces clients utilisent?
- Est-il possible de déterminer si une demande HTTP provient d'un VPN?
- Que se passe-t-il vraiment ici?