पिछले दिनों मैंने कुछ सर्वरों को अज्ञात अनुरोधों के साथ अंकित किया।
उनमें से अधिकांश निम्नलिखित हैं:
60.246.*.* - - [03/Jan/2015:20:59:16 +0200] "GET /announce.php?info_hash=%80%85%8e%9bu%cfJ.%85%82%e9%25%bf%8e%9e%d7%bf%c5%b0%12&peer_id=-UT3420-v%8bN%aa%60%60%fd%5d%d1%b0Ux&port=15411&uploaded=48588531&downloaded=0&left=0&corrupt=0&key=9E124668&numwant=200&compact=1&no_peer_id=1 HTTP/1.1" 200 -
थोड़ा सा लॉग इन करने और खोज करने के बाद मुझे पता चला कि कुछ चीनी ISP (whatsydns.net के परिणामों के अनुसार शायद CERNET) और कुछ तुर्की ISP (शायद TTNET) a.tracker.thepiratebay.org
विभिन्न IPs जैसे प्रश्नों का जवाब देते हैं जिनका पाइरेटबाय से कोई लेना देना नहीं है या अत्याचार। दूसरे शब्दों में, वे कुछ विचित्र कारण के लिए किसी प्रकार का डीएनएस कैश पॉइज़निंग करते हैं।
तो उन देशों के सैकड़ों (यदि हजारों नहीं) सैकड़ों ग्राहक मेरे वेबसर्वरों को 'अनाउंस' करते हैं, जिसके परिणामस्वरूप डीडीओएस हमले में सभी अपाचे के कनेक्शन भरते हैं।
फिलहाल मैंने चीन और तुर्की को पूरी तरह से अवरुद्ध कर दिया है और यह काम करता है, लेकिन मैं उन अनुरोधों को अवरुद्ध करने का एक बेहतर तरीका खोजना चाहता हूं।
मैं HTTP होस्ट हेडर के आधार पर mod_security के साथ उन अनुरोधों को अवरुद्ध करने के बारे में सोच रहा था।
उन सभी अनुरोधों में एक HTTP होस्ट हेडर जैसे a.tracker.thepiratebay.org
(या thepiratebay.org डोमेन के कई अन्य उप डोमेन) शामिल हैं।
यहाँ PHP के $_SERVER
चर के माध्यम से अनुरोध हेडर का एक डंप है ।
DOCUMENT_ROOT: /usr/local/apache/htdocs
GATEWAY_INTERFACE: CGI/1.1
HTTP_ACCEPT_ENCODING: gzip
HTTP_CONNECTION: Close
HTTP_HOST: a.tracker.thepiratebay.org
HTTP_USER_AGENT: uTorrent/342(109415286)(35702)
PATH: /bin:/usr/bin
QUERY_STRING: info_hash=%80%85%8e%9bu%cfJ.%85%82%e9%25%bf%8e%9e%d7%bf%c5%b0%12&peer_id=-UT3420-v%8bN%aa%60%60%fd%5d%d1%b0Ux&port=15411&uploaded=48588531&downloaded=0&left=0&corrupt=0&key=9E124668&numwant=200&compact=1&no_peer_id=1
REDIRECT_STATUS: 200
REMOTE_ADDR: 60.246.*.*
REMOTE_PORT: 3445
REQUEST_METHOD: GET
REQUEST_URI: /announce.php?info_hash=%80%85%8e%9bu%cfJ.%85%82%e9%25%bf%8e%9e%d7%bf%c5%b0%12&peer_id=-UT3420-v%8bN%aa%60%60%fd%5d%d1%b0Ux&port=15411&uploaded=48588531&downloaded=0&left=0&corrupt=0&key=9E124668&numwant=200&compact=1&no_peer_id=1
SCRIPT_FILENAME: /usr/local/apache/htdocs/announce.php
SCRIPT_NAME: /announce.php
SERVER_ADDR: *.*.*.*
SERVER_ADMIN: *@*.*
SERVER_NAME: a.tracker.thepiratebay.org
SERVER_PORT: 80
SERVER_PROTOCOL: HTTP/1.1
SERVER_SIGNATURE:
SERVER_SOFTWARE: Apache/2.2.29 (Unix) mod_ssl/2.2.29 OpenSSL/1.0.1e-fips mod_bwlimited/1.4 mod_perl/2.0.8 Perl/v5.10.1
UNIQUE_ID: VKg8BJBMIPQAD01XYzgAAAAD
PHP_SELF: /announce.php
REQUEST_TIME_FLOAT: 1420311556.43
REQUEST_TIME: 1420311556
argv: Array
argc: 1
तो मेरा सवाल है, मैं अनुरोध डोमेन (HTTP होस्ट हेडर) के आधार पर अपाचे के लिए आने वाले अनुरोधों को कैसे रोक सकता हूं? ध्यान रखें कि अनुरोध विभिन्न URL पर होते हैं न कि केवल /announce.php इसलिए URL द्वारा अवरुद्ध करना उपयोगी नहीं है।
इसके अलावा वह दृष्टिकोण व्यवहार्य है या यह बहुत अधिक भार का कारण होगा और मुझे अपाचे तक पहुंचने से पहले ही उन अनुरोधों को छोड़ देना चाहिए?
अपडेट करें:
यह पता चला है कि इस मुद्दे ने दुनिया भर के कई देशों में कई लोगों को प्रभावित किया है।
इस ट्रैफ़िक को अवरुद्ध करने के लिए इसके बारे में और विभिन्न समाधानों के बारे में कई रिपोर्ट और ब्लॉगपोस्ट आए हैं।
मैंने इसे ब्लॉक करने के समाधान पर खोज करने में किसी की मदद करने के लिए कुछ रिपोर्ट एकत्र की हैं।
रहस्यमय तरीके से गलत तरीके से किया गया चीनी ट्रैफिक: मैं कैसे पता लगा सकता हूं कि DNS सर्वर एक HTTP अनुरोध का क्या उपयोग करता है?
मेरा सर्वर
http://blog.devops.co.il/post/108740168304/torrent-ddos-attack
https://www.webhostingtalk.com/showthread.php?t=144373734
http: // torrentfreak पर अजीब बिट लॉगेंट लॉग ऑन करें । com / ज़ॉम्बी-पाइरेट-बे-ट्रैकर-फ्यूल-चाइनीज-डीडोस-अटैक -150124 /
https://isc.sans.edu/forums/diary/Are+You+Piratebay+theparatebayorg+Resolve+to+Various+Hosts/ 19175 /
http://furbo.org/2015/01/22/fear-china/
http://www.jwz.org/blog/2015/01/chinese-bittorrent-the-gift-that-keeps-on- दे रही है /