रहस्यमय तरीके से गलत तरीके से किया गया चीनी ट्रैफ़िक: मैं कैसे पता लगा सकता हूं कि DNS सर्वर एक HTTP अनुरोध का क्या उपयोग करता है?

पिछले एक हफ्ते से मुझे कई तरह के चीनी आईपी पतों से यातायात की एक बड़ी धारा मिल रही है। यह ट्रैफ़िक सामान्य लोगों से प्रतीत होता है और उनके HTTP अनुरोधों से संकेत मिलता है कि उन्हें लगता है कि मैं:

फेसबुक
समुद्री डाकू बे
विभिन्न बिटटोरेंट ट्रैकर्स,
पोर्न साइट्स

जिन चीजों के बारे में लोगों को लगता है कि सभी लोग वीपीएन का उपयोग करेंगे। या चीन की महान दीवार को नाराज करने वाली चीजें।

उपयोगकर्ता-एजेंटों में वेब ब्राउज़र, Android, iOS, FBiOSSDK, Bittorrent शामिल हैं। आईपी पते सामान्य वाणिज्यिक चीनी प्रदाता हैं।

यदि होस्ट गलत है या उपयोगकर्ता एजेंट स्पष्ट रूप से गलत है, तो मेरे पास Nginx 444 है

## Deny illegal Host headers
if ($host !~* ^({{ www_domain }})$ ) {
   return 444;
}
## block bad agents
if ($http_user_agent ~* FBiOSSDK|ExchangeWebServices|Bittorrent) {
    return 444;
}

मैं अब लोड को संभाल सकता हूं, लेकिन 2k / मिनट तक कुछ फटने वाले थे। मैं यह पता लगाना चाहता हूं कि वे मेरे पास क्यों आ रहे हैं और इसे रोक रहे हैं। हमारे पास वैध सीएन ट्रैफ़िक भी है, इसलिए ग्रह पृथ्वी के 1/6 वें हिस्से पर प्रतिबंध लगाना कोई विकल्प नहीं है।

यह संभव है कि इसका दुर्भावनापूर्ण और यहां तक कि व्यक्तिगत भी हो, लेकिन यह सिर्फ वहां पर एक गलत DNS है।

मेरा सिद्धांत यह है कि इसका एक गलत DNS सर्वर या संभवतः कुछ वीपीएन सेवाएं हैं, जिनका उपयोग लोग ग्रेट फायर वॉल के आसपास करने के लिए कर रहे हैं।

एक ग्राहक आईपी पते को देखते हुए:

183.36.131.137 - - [05/Jan/2015:04:44:12 -0500] "GET /announce?info_hash=%3E%F3%0B%907%7F%9D%E1%C1%CB%BAiF%D8C%DE%27vG%A9&peer_id=%2DSD0100%2D%96%8B%C0%3B%86n%8El%C5L%11%13&ip=183.36.131.137&port=11794&uploaded=4689970239&downloaded=4689970239&left=0&numwant=200&key=9085&compact=1 HTTP/1.0" 444 0 "-" "Bittorrent"

मैं पता कर सकता हूँ:

descr:          CHINANET Guangdong province network
descr:          Data Communication Division
descr:          China Telecom

मैं यह कैसे पता लगा सकता हूं कि उन ग्राहकों द्वारा उपयोग किए जाने वाले DNS सर्वर क्या हैं?
क्या यह निर्धारित करने के लिए कि क्या वीपीएन से HTTP अनुरोध आ रहा है, वैसे भी है?
यहाँ वास्तव में क्या हो रहा है?

nginx vpn china

— फेलिक्स
स्रोत

मैंने पहले भी इस समस्या को देखा है, दोनों ट्रैफ़िक का लक्ष्य हैं, और मेरे सर्वर के लिए ट्रैफ़िक का उद्देश्य कहीं और भेजा गया है। हालांकि मेरे पास कोई जवाब नहीं है। मैंने एक फ़ायरवॉल के साथ पहली समस्या के प्रभाव को कम किया, और दूसरा एक सॉफ्टवेयर समाधान के साथ जो केवल हमारी विशिष्ट स्थिति में संभव था (हमारा सॉफ़्टवेयर अनुरोध बना रहा था)। उकसाने की प्रक्रिया में, हमने पाया कि कुछ DNS सर्वर महीनों के लिए परिणाम को कैशिंग करने के बजाय, बहुत कम TTLs का सम्मान करने से इनकार करते हैं, जो उन साइटों की सूची को समझा सकता है जिनके लिए आप ट्रैफ़िक प्राप्त कर रहे हैं।

— xofer

इस प्रश्न की भी जाँच करें। मुझे एक ही समस्या थी serverfault.com/questions/656093/ ... मैं बस इस बात के लिए उत्सुक हूं कि ISP ऐसा कुछ क्यों करेगा। मैं मान नहीं देख सकता।

— Chass

मेरे अनुभव में, ये खुली वेब प्रॉक्सी खोजने का प्रयास है। कुछ वेब सर्वर आपको किसी भी URL का अनुरोध करने की अनुमति देंगे ; मुझे एक बार एक ऐसे से निपटने के लिए बुलाया गया था, जो सेवा में आने से पहले ही मासिक बैंडविड्थ आवंटन से अधिक हो गया था। नानजिंग इंस्टीट्यूट ऑफ टेक्नोलॉजी के छात्रों के एक समूह ने पता लगाया था कि वे HTTPS कनेक्शन बना सकते हैं और किसी भी वेबपेज का अनुरोध कर सकते हैं , और इस तरह अपने सभी पोर्न को ग्रेट फायरवाल के अतीत में चुपके से देख रहे थे। यदि आप वास्तव में अनुरोधित सामग्री परोस नहीं रहे हैं, तो आपको ठीक होना चाहिए।

— मदहैटर

आमतौर पर, हाँ। केवल एक लॉग प्रविष्टि को ऊपर उद्धृत किया गया था, इसलिए मैंने इसे ध्यान देने योग्य समझा; यह एक संपूर्ण, सोचा-समझा जवाब होने का इरादा नहीं है, या मैंने इसे एक के रूप में प्रस्तुत किया है!

— MadHatter

1. क्या तुमने कभी अमेरिका में एक पंजीकृत डोमेन के लिए sysadmins का शिकार करने की कोशिश की है? यदि ऐसा है तो आप जानते हैं कि यह कितना मुश्किल हो सकता है। मैं इसके बारे में कल्पना करता हूं कि "चिनानेट" पर बात करने के लिए न केवल सही व्यक्ति को ढूंढना असंभव है, बल्कि सही व्यक्ति भी है जो वास्तव में आपकी मदद करने के लिए पर्याप्त परवाह करता है।

— माइकल मार्टिनेज 1

जवाबों:

आपके क्लाइंट के DNS रिज़ॉल्वर का निर्धारण करने का एक सैद्धांतिक तरीका है, लेकिन यह काफी उन्नत है और मुझे ऐसा कोई ऑफ-द-शेल्फ सॉफ्टवेयर नहीं पता है जो आपके लिए ऐसा करेगा। आपको यकीन है कि आपके nginx के अलावा इसके लिए एक आधिकारिक DNS सर्वर चलाना होगा।

यदि HTTP होस्ट हेडर गलत है, तो त्रुटि-दस्तावेज परोसें और प्रत्येक अनुरोध के लिए गतिशील रूप से बनाए गए, अद्वितीय FQDN के लिए एक अनुरोध शामिल करें, जिसे आप डेटाबेस में लॉग इन करते हैं। जैसे।

http://e2665feebe35bc97aff1b329c87b87e7.example.com/img.png

जब तक चिनस महान फ़ायरवॉल उस अनुरोध के साथ फिड नहीं करता है और ग्राहक उस अद्वितीय FQDN + URI से दस्तावेज़ का अनुरोध करता है, प्रत्येक अनुरोध उदाहरण के लिए आपके आधिकारिक DNS पर एक नया DNS लुकअप देगा, जहां आप IP लॉग कर सकते हैं DNS रिज़ॉल्वर और बाद में इसे आपके गतिशील रूप से उत्पन्न URI के साथ संबद्ध करता है।

— r_3
स्रोत

यह वही दृष्टिकोण है जो मैं सुझाऊंगा, हालांकि मुझे लगता है कि इसे काम करने के लिए अन्य स्तर के डोमेन की आवश्यकता होगी। यदि प्राथमिक डोमेन है example.com, तो आप एक उपडोमेन जैसे एक एनएस रिकॉर्ड बनाएंगे ns-detect.example.com। फिर आप उस डोमेन नाम के नीचे एक अनोखा नाम बनाएँगे, ऐसा पूरा डोमेन होगा e2665feebe35bc97aff1b329c87b87e7.ns-detect.example.com।

— कास्परड

इसका एक दिलचस्प तरीका है। मुझे अब संदेह हो रहा है कि पुनर्निर्देशन जानबूझकर किया गया है (क्योंकि मैं यह देखने वाला अकेला नहीं हूं)। इसलिए मुझे लगता है कि विभिन्न चीनी डीएनएस सर्वर उपडोमेन प्राप्त करने के लिए आधिकारिक एक को देखने के लिए परेशान नहीं करेंगे। उनके लिए ऐसा करने का कोई मतलब नहीं होगा।

— फेलिक्स

यदि वे एक सफेदी युक्त अरोच का उपयोग करते हैं, तो आप शायद सही हैं। अगर वे ब्लैकलिस्ट कर रहे हैं तो वास्तव में कोई कारण नहीं है कि एक निर्दोष दिखने वाले FQDN को नहीं देखना चाहिए। बेशक यह डीएनएस प्रतिक्रियाओं के साथ खेलने के बजाय बहुत अधिक उन्नत फ़िल्टरिंग तकनीकों का परिणाम हो सकता है।

— r_3

अपने सामान्य एनएस से अलग के लिए लॉग रखने के लिए, अपने स्वयं के एनएस के साथ एक उपडोमेन बनाने के बारे में कस्पर्ड के विचार के लिए +1। और अपने सामान्य सामान को खराब करने की कम संभावना के साथ ऐसा करने के लिए। यदि आप उन होस्टनामों के लिए http अनुरोधों को देखते हैं जो आपके DNS में किसी के द्वारा देखे नहीं गए थे, तो आप जानते हैं कि आपके बुरे ग्राहक जिस DNS सर्वर का उपयोग कर रहे हैं, वह DNS प्रतिक्रियाओं को फोर्ज कर रहा है (और यह गलत हो रहा है, क्योंकि वे संभवतः उस ट्रैफ़िक को कहीं और भेजने के लिए थे। । शायद एक चीनी व्यवस्थापक ने कहीं एक कॉन्फ़िगर में एक आईपी पते को टाइप किया?)।

— पीटर कॉर्डेस

स्वीकार कर रहा है क्योंकि इसके पहले सवाल का जवाब सबसे सटीक है। वास्तव में हल नहीं होता है कि हमें ट्रैफ़िक क्यों मिलता है, लेकिन स्टैकटेक्चेंज अस्पष्ट प्रश्नों की अनुमति नहीं देता है।

— फेलिक्स

मैंने सुना है कि बहुत से फ़ायरवॉल को एक मुट्ठी भर आईपी के "अवरुद्ध" ट्रैफ़िक को पुनर्निर्देशित करने के लिए उपयोग किया जाता है, लेकिन इससे उनके ब्लॉक आसानी से स्पॉट किए जा रहे थे (मुझे यकीन नहीं है कि यह आसान तोड़फोड़ की अनुमति है)। किसी भी मामले में प्रशासकों ने यादृच्छिक आईपी को पुनर्निर्देशित करना शुरू कर दिया है। इसके कारण कुछ चीनी उपयोगकर्ता फेसबुक या वीपीएन के बजाय, जाहिरा तौर पर पोर्न प्राप्त कर रहे हैं।

मुझे संदेह है कि आपका एक IP अवरुद्ध चीनी ट्रैफ़िक का प्राप्तकर्ता निकला है - इसलिए आप Facebook IPI उपयोगकर्ता एजेंट देख रहे हैं।

इसका मतलब है कि होस्ट-हेडर चेक एक अच्छा होना चाहिए। अधिकांश उपयोगकर्ता एजेंट इन दिनों एसएनआई का समर्थन करते हैं, इसलिए आपको सापेक्ष दुर्बलता के साथ नो-होस्ट-हेडर ट्रैफ़िक को छोड़ने में सक्षम होना चाहिए।

संपादित करें: http://www.infosecurity-magazine.com/news/great-firewall-upgrad-redirects/

— टॉम न्यूटन
स्रोत

मैं यह कैसे पता लगा सकता हूं कि उन ग्राहकों द्वारा उपयोग किए जाने वाले DNS सर्वर क्या हैं?

चिननेट से संपर्क करें और पूछें? गंभीरता से, DNS क्लाइंट पक्ष पर कॉन्फ़िगर करने योग्य है। अधिकांश लोग डीएचसीपी के माध्यम से डीएनएस सेटिंग्स प्राप्त करते हैं, लेकिन ओपनडीएनएस और Google की डीएनएस पेशकश में व्यवसाय मॉडल नहीं होगा यदि आप उन्हें बदल नहीं सकते हैं।

क्या यह निर्धारित करने के लिए कि क्या वीपीएन से HTTP अनुरोध आ रहा है, वैसे भी है?

वास्तव में नहीं, सिवाय इसके कि आईपी वीपीएन का होगा, चीन में अंतिम उपयोगकर्ता नहीं।

यहाँ वास्तव में क्या हो रहा है?

यह मैं आपको नहीं बता सकता, लेकिन शायद चीन के महान फ़ायरवॉल में किसी प्रकार का गलत अनुमान है ?

— कैथरीन विलिअर्ड
स्रोत