Gizemli yanlış yönlendirilmiş Çin trafiği: Bir HTTP isteğinin hangi DNS sunucusunu kullandığını nasıl öğrenebilirim?

Geçtiğimiz hafta, çok çeşitli Çince IP adreslerinden büyük bir trafik akışı aldım. Bu trafik normal insanlardan geliyor gibi görünüyor ve HTTP istekleri benim olduğumu düşündüklerini gösteriyor:

Facebook
Korsan Koyu
çeşitli BitTorrent izci,
porno siteleri

Bunların hepsi, insanların VPN kullandığı şeylere benziyor. Ya da Çin Seddi'ni kızdıracak şeyler.

Kullanıcı aracıları web tarayıcılarını, Android, iOS, FBiOSSDK, Bittorrent'i içerir. IP adresleri normal ticari Çin sağlayıcılarıdır.

Ana bilgisayar yanlışsa veya kullanıcı aracısı açıkça yanlışsa Nginx'in 444'ü döndürüyorum:

## Deny illegal Host headers
if ($host !~* ^({{ www_domain }})$ ) {
   return 444;
}
## block bad agents
if ($http_user_agent ~* FBiOSSDK|ExchangeWebServices|Bittorrent) {
    return 444;
}

Yükü şimdi kaldırabilirim, ancak 2k / dakikaya kadar bazı patlamalar oldu. Neden bana geldiklerini öğrenmek ve onu durdurmak istiyorum. Aynı zamanda meşru CN trafiğine sahibiz, bu yüzden dünya gezegeninin 1 / 6'sını yasaklamak bir seçenek değil.

Kötü niyetli ve hatta kişisel bile olabilir, ancak orada yanlış yapılandırılmış bir DNS olabilir.

Teorim, yanlış yapılandırılmış bir DNS sunucusu ya da insanların Great Fire Wall’i ele geçirmek için kullandıkları bazı VPN servislerinin olmasıdır.

Bir müşteri IP adresi verildi:

183.36.131.137 - - [05/Jan/2015:04:44:12 -0500] "GET /announce?info_hash=%3E%F3%0B%907%7F%9D%E1%C1%CB%BAiF%D8C%DE%27vG%A9&peer_id=%2DSD0100%2D%96%8B%C0%3B%86n%8El%C5L%11%13&ip=183.36.131.137&port=11794&uploaded=4689970239&downloaded=4689970239&left=0&numwant=200&key=9085&compact=1 HTTP/1.0" 444 0 "-" "Bittorrent"

Bilebilirim:

descr:          CHINANET Guangdong province network
descr:          Data Communication Division
descr:          China Telecom

Bu müşterilerin hangi DNS sunucusunu kullandığını nasıl öğrenebilirim?
Yine de bir HTTP isteğinin bir VPN'den gelip gelmediğini belirleyen var mı?
Burada gerçekten neler oluyor?

nginx vpn china

— felix
kaynak

Bu sorunu daha önce görmüştüm, hem trafiğin hedefi hem de sunucum için tasarlanan trafiğin başka bir yere gönderilmesi. Yine de cevabım yok. İlk sorunun bir güvenlik duvarı ile etkisini ve ikincisini ancak özel durumumuzda mümkün olan bir yazılım çözümü ile azalttım (yazılımımız talepleri yerine getiriyordu). Başlatma sürecinde, bazı DNS sunucularının çok düşük TTL’lere saygı duymayı reddettiğini, bunun yerine aylarca önbelleğe aldığımızı ve bunun için trafik aldığınız sitelerin listesini açıklayabildiğini gördük.

— xofer

Ayrıca bu soruyu da kontrol edin. Aynı sorunu yaşadım serverfault.com/questions/656093/… Ben bir ISS'nin neden böyle bir şey yaptığını merak ediyorum.

— İçindeki

Benim tecrübeme göre, bunlar açık web proxy'leri bulma girişimleridir. Bazı web sunucuları herhangi bir URL istemenize izin verir ; Bir keresinde hizmete girmeden önce (cömertçe) aylık bant genişliği tahsisini aştığından böyle biriyle uğraşmak için çağrıldım. Nanjing Institute of Technology'den bir grup öğrenci, HTTPS ile bağlantı kurabileceklerini ve herhangi bir web sayfasını isteyebileceklerini keşfetti ve bu yüzden Büyük Güvenlik Duvarı'ndan sonra tüm pornolarını hevesle gizlice sokuyorlardı. İstenilen içeriği gerçekten sunmuyorsanız, iyi olmanız gerekir.

— MadHatter

Genellikle evet. Yalnızca bir günlük girişi yukarıda alıntılandı, bu yüzden bahsetmeye değer olduğunu düşündüm; tam, düşünülmüş bir cevap olması amaçlanmadı ya da ben bunu bir cevap olarak verdim!

— MadHatter, 16

1. ABD'de burada kayıtlı bir alan adı için sistem yöneticilerini avlamayı denediniz mi? Eğer öyleyse, bunun ne kadar zor olduğunu biliyorsunuz. Sadece "Chinanet" de konuşacak doğru kişiyi bulmakla kalmayıp, aynı zamanda size yardım etmek için yeterince önemseyen doğru kişiyi bulmak imkansız olduğunu hayal ediyorum.

— Michael Martinez

Yanıtlar:

Müşterilerinizin DNS çözümleyicisini belirlemenin teorik bir yolu var, ancak oldukça gelişmiş ve bunu sizin için yapacak hazır bir yazılım bilmiyorum. Nginx'inize ek olarak bunun için yetkili bir DNS sunucusu çalıştırmanız gerekecek.

HTTP Ana Bilgisayarı başlığının hatalı olması durumunda, bir hata belgesi sunun ve bir veritabanına giriş yaptığınız her istek için dinamik olarak oluşturulmuş, benzersiz bir FQDN istemi ekleyin. Örneğin.

http://e2665feebe35bc97aff1b329c87b87e7.example.com/img.png

Chinas great firewall bu isteği yerine getirmediği ve müşteri bu benzersiz FQDN + URI'dan belgeyi istediği sürece, her istek yetkili DNS’niz için, örneğin DNS çözümleyicisi ve daha sonra bunu dinamik olarak oluşturulan URI'lerinizle ilişkilendirir.

— r_3
kaynak

Bu, benim önerdiğim aynı yaklaşımdır, ancak çalışmasını sağlamak için başka bir alan seviyesine ihtiyaç duyulacağını düşünüyorum. Birincil alan ise example.com, bir alt alan adı için bir NS kaydı oluşturacaksınız ns-detect.example.com. Ardından, bu etki alanı adının altında benzersiz bir ad oluşturacaksınız e2665feebe35bc97aff1b329c87b87e7.ns-detect.example.com;

— kasperd

Bu ilginç bir yaklaşım. Şimdi yeniden yönlendirmenin kasıtlı olduğundan şüpheleniyorum (çünkü bunu gören sadece ben değilim). Bu yüzden, çeşitli Çin DNS sunucularının alt etki alanını elde etmek için yetkili sunucuya bir arama yapmak için uğraşmayacağını varsaydım. Onlar için yapmaları mantıklı olmaz.

— Felix

Beyaz liste yaklaşımı kullanıyorlarsa, muhtemelen haklısınızdır. Eğer kara listeye giriyorlarsa, masum görünen bir FQDN aramamasının neden bir nedeni yoktur. Elbette bu, DNS yanıtlarıyla uğraşmaktan çok daha gelişmiş filtreleme tekniklerinin bir sonucu olabilir.

— r_3

Kasperd’in kendi DNS’iyle bir alt etki alanı oluşturma fikri, + değerlerini normal DNS’nizden ayrı tutmak için + 1’dir. Ve normal eşyalarını mahvetmek için daha az şansla yapmak. DNS’nizde kimsenin aramadığı ana bilgisayar adlarının http isteklerini görürseniz, kötü istemcilerinizin kullandığı DNS sunucusunun DNS yanıtları aldığını (ve yanlış bir şekilde aldıklarını çünkü muhtemelen bu trafiği başka bir yere göndermek istediklerini biliyorsunuz) Belki bir yerde bir Çinli yönetici bir config IP adresini yazdı?).

— Peter Cordes

Kabul ediyorum çünkü onun cevabı ilk soruyu en tam olarak cevaplıyor. Trafiği neden aldığımızı gerçekten çözmüyor, ancak stackexchange belirsiz sorulara izin vermiyor.

— felix

"Engellenen" trafiği bir avuç sahte IP'ye yönlendirmek için kullanılan büyük güvenlik duvarının duyulduğunu duydum, ancak bu blokların kolayca tespit edilmesine neden oluyordu (kolay yıkıma izin verip vermediğinden emin değilim). Her durumda yöneticiler rasgele IP'lere yönlendirmeye başladılar. Bu, bazı Çinli kullanıcıların görünüşte facebook veya vpns yerine porno almalarına neden oldu.

IP adreslerinden birinin, Çin trafiğini engelleyen bir alıcı olduğu ortaya çıktığından şüpheleniyorum - bu yüzden Facebook IPI kullanıcı temsilcilerini görüyorsun.

Bu, ana bilgisayar başlık kontrolünün iyi olması gerektiği anlamına gelir. Çoğu kullanıcı aracısı bugünlerde SNI'yi desteklediğinden, ana bilgisayar başlıksız trafiği göreceli cezasızlıkla bırakabilmelisiniz.

Düzenleme: http://www.infosecurity-magazine.com/news/great-firewall-upgrade-redirects/

— Tom Newton
kaynak

Bu müşterilerin hangi DNS sunucusunu kullandığını nasıl öğrenebilirim?

Chinanet ile temasa geç ve sor? Cidden, DNS istemci tarafında yapılandırılabilir. Çoğu kişi DHCP üzerinden DNS ayarlarını alır, ancak OpenDNS ve Google’ın DNS teklifi, değiştiremezseniz bir işletme modeline sahip olmaz.

Yine de bir HTTP isteğinin bir VPN'den gelip gelmediğini belirleyen var mı?

Gerçekten de, IP’nin VPN’de olması dışında, Çin’deki son kullanıcı değil.

Burada gerçekten neler oluyor?

Size söyleyemeyeceğim, ama Çin Seddi'nde belki de bir çeşit yanlış yapılandırma var ?

— Katherine Villyard
kaynak