За останній тиждень я отримував величезний потік трафіку з широкого спектру китайських IP-адрес. Схоже, цей трафік є від звичайних людей, і їх запити HTTP вказують на те, що вони думають, що я:
- Піратська бухта
- різні трекери BitTorrent,
- порно-сайти
Все це звучить як речі, для яких люди будуть використовувати VPN. Або речі, які злить Велику Китайську стіну.
Користувальницькі агенти включають веб-браузери, Android, iOS, FBiOSSDK, Bittorrent. IP-адреси - це звичайні комерційні китайські провайдери.
У мене Nginx повертає 444, якщо хост неправильний або користувальницький агент очевидно помиляється:
## Deny illegal Host headers
if ($host !~* ^({{ www_domain }})$ ) {
return 444;
}
## block bad agents
if ($http_user_agent ~* FBiOSSDK|ExchangeWebServices|Bittorrent) {
return 444;
}
Я можу впоратися з вантажем зараз, але були деякі сплески до 2 к / хв. Я хочу дізнатися, чому вони до мене йдуть, і зупинити це. У нас також є законний трафік CN, тому заборона 1/6 планети Землі не є можливим.
Можливо, що це зловмисне і навіть особисте, але це може бути просто неправильно налаштований DNS там.
Моя теорія полягає в тому, що це неправильно налаштований DNS-сервер або, можливо, деякі VPN-сервіси, якими користуються люди, щоб обійти Велику пожежну стіну.
Дана IP-адреса клієнта:
183.36.131.137 - - [05/Jan/2015:04:44:12 -0500] "GET /announce?info_hash=%3E%F3%0B%907%7F%9D%E1%C1%CB%BAiF%D8C%DE%27vG%A9&peer_id=%2DSD0100%2D%96%8B%C0%3B%86n%8El%C5L%11%13&ip=183.36.131.137&port=11794&uploaded=4689970239&downloaded=4689970239&left=0&numwant=200&key=9085&compact=1 HTTP/1.0" 444 0 "-" "Bittorrent"
Я можу знати:
descr: CHINANET Guangdong province network
descr: Data Communication Division
descr: China Telecom
- Як я можу дізнатися, яким сервером DNS користуються ці клієнти?
- Чи все-таки потрібно визначити, чи надходить запит HTTP від VPN?
- Що насправді відбувається тут?