神秘的な誤った中国のトラフィック:HTTPリクエストが使用したDNSサーバーを確認するにはどうすればよいですか?

24

この1週間、中国のさまざまなIPアドレスから大量のトラフィックが流れています。このトラフィックは普通の人からのもののようで、彼らのHTTPリクエストは、彼らが私だと思っていることを示しています:

  • フェイスブック
  • 海賊湾
  • さまざまなBitTorrentトラッカー、
  • ポルノサイト

これらのすべては、人々がVPNを使用するもののように聞こえます。または万里の長城を怒らせるもの。

ユーザーエージェントには、Webブラウザー、Android、iOS、FBiOSSDK、Bittorrentが含まれます。IPアドレスは、通常の商用中国プロバイダーです。

ホストが正しくない場合、またはユーザーエージェントが明らかに間違っている場合、Nginxから444が返されます。

## Deny illegal Host headers
if ($host !~* ^({{ www_domain }})$ ) {
   return 444;
}
## block bad agents
if ($http_user_agent ~* FBiOSSDK|ExchangeWebServices|Bittorrent) {
    return 444;
}

負荷を処理できるようになりましたが、最大2k /分までのバーストがいくつかありました。彼らが私に来ている理由を見つけて、それを止めたいです。また、正当なCNトラフィックがあるため、惑星地球の1/6を禁止することは選択肢ではありません。

悪意のある、個人的なものでさえある可能性がありますが、あそこのDNSの設定が間違っているだけかもしれません。

私の理論では、DNSサーバーが正しく構成されていないか、人々がGreat Fire Wallを回避するために使用しているVPNサービスである可能性があります。

クライアントIPアドレスが与えられた場合:

183.36.131.137 - - [05/Jan/2015:04:44:12 -0500] "GET /announce?info_hash=%3E%F3%0B%907%7F%9D%E1%C1%CB%BAiF%D8C%DE%27vG%A9&peer_id=%2DSD0100%2D%96%8B%C0%3B%86n%8El%C5L%11%13&ip=183.36.131.137&port=11794&uploaded=4689970239&downloaded=4689970239&left=0&numwant=200&key=9085&compact=1 HTTP/1.0" 444 0 "-" "Bittorrent"

私は知ることができます:

descr:          CHINANET Guangdong province network
descr:          Data Communication Division
descr:          China Telecom
  • 顧客が使用しているDNSサーバーを確認するにはどうすればよいですか?
  • とにかく、HTTPリクエストがVPNから来ているかどうかを判断する方法はありますか?
  • ここで実際に何が起こっているのですか?
nginx  vpn  china 
フェリックス
ソース
5
トラフィックのターゲットであり、サーバーへのトラフィックが他の場所に送信されることの両方で、この問題を以前に見ました。答えはありません。ファイアウォールに関する最初の問題の影響を軽減し、特定の状況でのみ可能だったソフトウェアソリューションによる影響を軽減しました(当社のソフトウェアがリクエストを行っていました)。扇動の過程で、一部のDNSサーバーが非常に低いTTLを尊重することを拒否し、代わりに結果を数か月間キャッシュすることがわかりました。
Xofer
1
この質問も確認してください。serverfault.com/questions/656093/と同じ問題がありました…ISPがそのようなことをする理由について私はただ興味があります。inの値が表示されません
。– Cha0s
4
私の経験では、これらはオープンWebプロキシを見つける試みです。一部のWebサーバーでは、任意の URL を要求できます。私はかつてそのようなものに対処するために呼び出されましたが、それはサービスが開始される前に(寛大な)毎月の帯域幅割り当てを超えていました。技術の南京大学の学生の束は、彼らはそれにHTTPS接続を行うと要求することができる発見した任意の Webページを、ひいては熱心グレートファイアウォールを超えてすべてのポルノをこっそりました。要求されたコンテンツを実際に提供していない場合は、問題ないはずです。
MadHatterはモニカをサポートします
1
通常、はい。上記で引用されたログエントリは1つだけなので、言及する価値があると思いました。完全な考え抜かれた答えになることを意図していない、または私はそれを1つとして提出したでしょう!
MadHatterはモニカをサポートします
1
1.ここ米国で登録済みドメインのシステム管理者を探し出そうとしたことはありますか?もしそうなら、あなたはそれがどれほど難しいか知っています。「チャイナネット」で話をするのにふさわしい人を見つけるだけでなく、実際にあなたを助けてくれる適切な人を見つけることはほとんど不可能だと思います。
マイケル・マルチネス

回答:

31

クライアントのDNSリゾルバを決定する1つの理論的な方法がありますが、それは非常に高度であり、あなたのためにそれを行う市販のソフトウェアは知りません。nginxに加えて、そのための信頼できるDNSサーバーを実行する必要があります。

HTTPホストヘッダーが正しくない場合は、エラードキュメントを提供し、データベースに記録するすべてのリクエストに対して、動的に作成された一意のFQDNへのリクエストを含めます。例えば。

http://e2665feebe35bc97aff1b329c87b87e7.example.com/img.png

中国の優れたファイアウォールがそのリクエストに手を加えず、クライアントがその一意のFQDN + URIからドキュメントをリクエストする限り、リクエストごとに、example.comの権限のあるDNSに対して新しいDNSルックアップが行われ、IPを記録できますDNSリゾルバー以降は、これを動的に生成されたURIと関連付けます。

r_3
ソース
6
これは私が提案するのと同じアプローチですが、機能させるには別のレベルのドメインが必要だと思います。プライマリドメインがの場合、example.comなどの1つのサブドメインのNSレコードを作成しますns-detect.example.com。次に、そのドメイン名の下に一意の名前を作成しますe2665feebe35bc97aff1b329c87b87e7.ns-detect.example.com。完全なドメインはになります。
カスペルド
1
その興味深いアプローチ。リダイレクトが意図的に行われているのではないかと疑っています(これを見ているのは私だけではないからです)。したがって、中国のさまざまなDNSサーバーは、サブドメインを取得するために権限のあるDNSサーバーをルックアップすることを気にしないと思います。彼らがそれをするのは意味がありません。
フェリックス
彼らがホワイトリストのアプローチを使用している場合、おそらく正しいでしょう。彼らがブラックリストに載っている場合、実際に無邪気なFQDNをルックアップしない理由はありません。もちろん、これは単にDNS応答をいじるよりもはるかに高度なフィルタリング技術の結果である可能性もあります。
r_3
1
独自のNSでサブドメインを作成するというkasperdのアイデアに対して+1を行い、そのためのログを通常のDNSから分離します。そして、あなたの通常のものを台無しにする可能性を少なくしてそれをすること。DNSで誰もルックアップしなかったホスト名のhttp要求が表示された場合、悪いクライアントが使用しているDNSサーバーがDNS応答を偽造していることを知っていますおそらく中国の管理者がどこかでIPアドレスをタイプミスしたのでしょうか?)。
ピーターコーデス
最初の質問に最も正確に答えるため、受け入れます。トラフィックを取得する理由を実際に解決することはできませんが、stackexchangeではあいまいな質問は許可されません。
フェリックス
5

「ブロックされた」トラフィックを少数の偽のIPにリダイレクトするために使用された優れたファイアウォールを聞いたことがありますが、これによりブロックが簡単に発見されていました(簡単な転覆を許可したかどうかはわかりません)。いずれにせよ、管理者はランダムIPへのリダイレクトを開始しています。これにより、中国の一部のユーザーは、Facebookやvpnの代わりにポルノを取得しているようです。

あなたのIPの1つがブロックされた中国のトラフィックの受信者であることが判明したので、Facebook IPIユーザーエージェントが表示されます。

これは、ホストヘッダーチェックが適切であることを意味します。最近のほとんどのユーザーエージェントはSNIをサポートしているため、ホストヘッダーなしのトラフィックは比較的免責されてドロップできるはずです。

編集:http : //www.infosecurity-magazine.com/news/great-firewall-upgrade-redirects/

トム・ニュートン
ソース
4

顧客が使用しているDNSサーバーを確認するにはどうすればよいですか?

Chinanetに連絡して質問しますか?真剣に、DNSはクライアント側で設定可能です。ほとんどの人はDHCPを介してDNS設定を取得しますが、OpenDNSとGoogleのDNSサービスは、それらを変更できなければビジネスモデルを持ちません。

とにかく、HTTPリクエストがVPNから来ているかどうかを判断する方法はありますか?

実際にはそうではありませんが、IPは中国のエンドユーザーではなくVPNのものです。

ここで実際に何が起こっているのですか?

言うことはできませんが、恐らく中国のグレートファイアウォールには何らかの設定ミスがありますか?

キャサリン・ビリヤード
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.