지난 주에 저는 광범위한 중국 IP 주소에서 엄청난 양의 트래픽을 받고있었습니다. 이 트래픽은 정상적인 사람에 의한 것으로 보이며 HTTP 요청에 따르면 다음과 같이 생각합니다.
- 페이스 북
- 해적 만
- 다양한 BitTorrent 트래커,
- 포르노 사이트
사람들이 VPN을 사용하는 것처럼 들립니다. 또는 만리장성을 화나게하는 것들.
사용자 에이전트에는 웹 브라우저, Android, iOS, FBiOSSDK, Bittorrent가 포함됩니다. IP 주소는 일반적인 상용 중국 공급자입니다.
호스트가 잘못되었거나 사용자 에이전트가 분명히 잘못된 경우 Nginx가 444를 반환합니다.
## Deny illegal Host headers
if ($host !~* ^({{ www_domain }})$ ) {
return 444;
}
## block bad agents
if ($http_user_agent ~* FBiOSSDK|ExchangeWebServices|Bittorrent) {
return 444;
}
지금은 부하를 처리 할 수 있지만 분당 최대 2k의 버스트가 발생했습니다. 그들이 왜 나에게 와서 멈추는 지 알고 싶습니다. 우리는 또한 합법적 인 CN 트래픽을 가지고 있기 때문에 지구의 1/6을 금지하는 것은 옵션이 아닙니다.
악의적이고 개인 일 수도 있지만, 잘못 구성된 DNS 일 수도 있습니다.
내 이론은 잘못 구성된 DNS 서버 또는 사람들이 Great Fire Wall을 돌아 다니기 위해 사용하는 VPN 서비스 일 수 있다는 것입니다.
주어진 클라이언트 IP 주소 :
183.36.131.137 - - [05/Jan/2015:04:44:12 -0500] "GET /announce?info_hash=%3E%F3%0B%907%7F%9D%E1%C1%CB%BAiF%D8C%DE%27vG%A9&peer_id=%2DSD0100%2D%96%8B%C0%3B%86n%8El%C5L%11%13&ip=183.36.131.137&port=11794&uploaded=4689970239&downloaded=4689970239&left=0&numwant=200&key=9085&compact=1 HTTP/1.0" 444 0 "-" "Bittorrent"
알 수 있습니다 :
descr: CHINANET Guangdong province network
descr: Data Communication Division
descr: China Telecom
- 해당 고객이 어떤 DNS 서버를 사용하고 있는지 어떻게 알 수 있습니까?
- 어쨌든 HTTP 요청이 VPN에서 오는지 확인할 수 있습니까?
- 여기서 무슨 일이 벌어지고 있습니까?