Selama seminggu terakhir saya mendapatkan arus lalu lintas yang sangat besar dari berbagai alamat IP Cina. Lalu lintas ini tampaknya berasal dari orang normal dan permintaan HTTP mereka menunjukkan bahwa mereka pikir saya:
- Pirate Bay
- berbagai pelacak BitTorrent,
- situs porno
Semua yang kedengarannya seperti hal yang orang akan gunakan untuk VPN. Atau hal-hal yang akan membuat Tembok Besar China marah.
Agen-pengguna termasuk browser web, Android, iOS, FBiOSSDK, Bittorrent. Alamat IP adalah penyedia Cina komersial normal.
Saya memiliki Nginx mengembalikan 444 jika host salah atau agen pengguna jelas salah:
## Deny illegal Host headers
if ($host !~* ^({{ www_domain }})$ ) {
return 444;
}
## block bad agents
if ($http_user_agent ~* FBiOSSDK|ExchangeWebServices|Bittorrent) {
return 444;
}
Saya dapat menangani beban sekarang, tetapi ada beberapa semburan hingga 2 k / menit. Saya ingin mencari tahu mengapa mereka datang kepada saya dan menghentikannya. Kami juga memiliki lalu lintas CN yang sah, jadi melarang 1/6 planet bumi bukanlah suatu pilihan.
Ada kemungkinan bahwa itu berbahaya dan bahkan pribadi, tetapi mungkin saja itu adalah DNS yang salah konfigurasi di sana.
Teori saya adalah bahwa ini adalah server DNS yang salah konfigurasi atau mungkin beberapa layanan VPN yang digunakan orang untuk berkeliling Great Fire Wall.
Diberikan alamat IP klien:
183.36.131.137 - - [05/Jan/2015:04:44:12 -0500] "GET /announce?info_hash=%3E%F3%0B%907%7F%9D%E1%C1%CB%BAiF%D8C%DE%27vG%A9&peer_id=%2DSD0100%2D%96%8B%C0%3B%86n%8El%C5L%11%13&ip=183.36.131.137&port=11794&uploaded=4689970239&downloaded=4689970239&left=0&numwant=200&key=9085&compact=1 HTTP/1.0" 444 0 "-" "Bittorrent"
Saya bisa tahu:
descr: CHINANET Guangdong province network
descr: Data Communication Division
descr: China Telecom
- Bagaimana saya bisa mengetahui server DNS apa yang digunakan pelanggan?
- Apakah ada untuk menentukan apakah permintaan HTTP berasal dari VPN?
- Apa yang sebenarnya terjadi di sini?