การรับส่งข้อมูลภาษาจีนที่ผิดทิศทางลึกลับ: ฉันจะทราบได้อย่างไรว่าเซิร์ฟเวอร์ DNS ใดที่ใช้คำขอ HTTP

ในช่วงสัปดาห์ที่ผ่านมาฉันได้รับปริมาณข้อมูลจำนวนมากจากที่อยู่ IP จีนจำนวนมาก การรับส่งข้อมูลนี้ดูเหมือนว่ามาจากคนปกติและคำขอ HTTP ของพวกเขาระบุว่าพวกเขาคิดว่าฉัน:

• Facebook
• อ่าวโจรสลัด
• เครื่องมือติดตาม BitTorrent ต่างๆ
• เว็บไซต์ลามก

ทุกอย่างดูเหมือนสิ่งที่ผู้คนจะใช้ VPN สำหรับ หรือสิ่งต่าง ๆ ที่จะทำให้กำแพงเมืองจีนโกรธ

ตัวแทนผู้ใช้รวมถึงเว็บเบราว์เซอร์, Android, iOS, FBiOSSDK, Bittorrent ที่อยู่ IP เป็นผู้ให้บริการภาษาจีนเชิงพาณิชย์ทั่วไป

ฉันมี Nginx ที่ส่งคืน 444 หากโฮสต์ไม่ถูกต้องหรือตัวแทนผู้ใช้ไม่ถูกต้อง:

## Deny illegal Host headers
if ($host !~* ^({{ www_domain }})$ ) {
   return 444;
}
## block bad agents
if ($http_user_agent ~* FBiOSSDK|ExchangeWebServices|Bittorrent) {
    return 444;
}

ฉันสามารถรับน้ำหนักได้แล้ว แต่ก็มีการระเบิดถึง 2k / นาที ฉันต้องการค้นหาสาเหตุที่พวกเขามาหาฉันและหยุดมัน เรามีปริมาณการใช้ CN ที่ถูกกฎหมายดังนั้นการห้าม 1 / 6th ของดาวเคราะห์โลกจึงไม่ใช่ตัวเลือก

เป็นไปได้ว่าอาจเป็นอันตรายและเป็นส่วนตัว แต่อาจเป็นเพียง DNS ที่กำหนดค่าผิดพลาด

ทฤษฎีของฉันคือเซิร์ฟเวอร์ DNS ที่กำหนดค่าไว้ไม่ถูกต้องหรืออาจเป็นบริการ VPN บางอย่างที่ผู้คนใช้เพื่อหลีกเลี่ยง Great Fire Wall

ให้ที่อยู่ IP ของลูกค้า:

183.36.131.137 - - [05/Jan/2015:04:44:12 -0500] "GET /announce?info_hash=%3E%F3%0B%907%7F%9D%E1%C1%CB%BAiF%D8C%DE%27vG%A9&peer_id=%2DSD0100%2D%96%8B%C0%3B%86n%8El%C5L%11%13&ip=183.36.131.137&port=11794&uploaded=4689970239&downloaded=4689970239&left=0&numwant=200&key=9085&compact=1 HTTP/1.0" 444 0 "-" "Bittorrent"

ฉันรู้:

descr:          CHINANET Guangdong province network
descr:          Data Communication Division
descr:          China Telecom

• ฉันจะค้นหาเซิร์ฟเวอร์ DNS ที่ลูกค้าใช้งานอยู่ได้อย่างไร
• มีการพิจารณาว่าคำขอ HTTP มาจาก VPN หรือไม่
• เกิดอะไรขึ้นที่นี่จริงเหรอ?

มีวิธีหนึ่งในทางทฤษฎีในการพิจารณาตัวแก้ไข DNS ของลูกค้าของคุณ แต่มันค่อนข้างขั้นสูงและฉันไม่ทราบว่าซอฟต์แวร์แบบปิดที่จะทำเพื่อคุณ คุณจะต้องใช้เซิร์ฟเวอร์ DNS ที่มีสิทธิ์นอกเหนือไปจาก nginx ของคุณ

ในกรณีที่ส่วนหัวของโฮสต์ HTTP ไม่ถูกต้องให้บริการข้อผิดพลาดเอกสารและรวมถึงการร้องขอไปยัง FQDN ที่สร้างขึ้นแบบไดนามิกที่ไม่ซ้ำกันสำหรับแต่ละคำขอทุกครั้งที่คุณเข้าสู่ระบบฐานข้อมูล เช่น.

http://e2665feebe35bc97aff1b329c87b87e7.example.com/img.png

ตราบใดที่ไฟร์วอลล์ที่ดีของ Chinas ไม่ได้ทำตามคำขอนั้นและไคลเอนต์ร้องขอเอกสารจาก FQDN + URI ที่ไม่ซ้ำกันแต่ละคำขอจะส่งผลการค้นหา DNS ใหม่ไปยัง DNS ที่มีสิทธิ์ของคุณสำหรับ example.com ซึ่งคุณสามารถบันทึก IP ของ ตัวแก้ไข DNS และเชื่อมโยงสิ่งนี้กับ URI ที่สร้างขึ้นแบบไดนามิกของคุณในภายหลัง

ฉันได้ยินมาว่าไฟร์วอลขนาดใหญ่ที่ใช้ในการเปลี่ยนเส้นทางการจราจร "ถูกบล็อก" ไปยัง IP ปลอมจำนวนหนึ่ง แต่นี่เป็นสาเหตุที่ทำให้บล็อกของพวกเขาถูกระบุได้ง่าย (ฉันไม่แน่ใจว่าจะอนุญาตการโค่นล้มได้ง่าย) ไม่ว่าในกรณีใดผู้ดูแลระบบได้เริ่มเปลี่ยนเส้นทางไปยัง IP แบบสุ่ม สิ่งนี้นำไปสู่ผู้ใช้ภาษาจีนบางคนที่ได้รับสื่อลามกแทน facebook หรือ vpns

ฉันสงสัยว่าหนึ่งใน IP ของคุณกลายเป็นผู้รับการเข้าชมภาษาจีนที่ถูกบล็อก - ดังนั้นคุณจึงเห็นตัวแทนผู้ใช้ Facebook IPI

ซึ่งหมายความว่าการตรวจสอบส่วนหัวของโฮสต์ควรเป็นการตรวจสอบที่ดี ตัวแทนผู้ใช้ส่วนใหญ่สนับสนุน SNI ในวันนี้ดังนั้นคุณควรจะสามารถลดทราฟฟิกที่ไม่มีส่วนหัวของโฮสต์ด้วยการยกเว้นโทษ

แก้ไข: http://www.infosecurity-magazine.com/news/great-firewall-upgrade-redirects/

ฉันจะค้นหาเซิร์ฟเวอร์ DNS ที่ลูกค้าใช้งานอยู่ได้อย่างไร

ติดต่อ Chinanet และถาม? ตั้งค่า DNS อย่างจริงจังทางฝั่งไคลเอ็นต์ คนส่วนใหญ่รับการตั้งค่า DNS ผ่าน DHCP แต่ OpenDNS และการเสนอ DNS ของ Google จะไม่มีรูปแบบธุรกิจหากคุณไม่สามารถเปลี่ยนแปลงได้

มีการพิจารณาว่าคำขอ HTTP มาจาก VPN หรือไม่

ไม่จริงยกเว้นว่า IP จะเป็นของ VPN ไม่ใช่ผู้ใช้ปลายทางในประเทศจีน

เกิดอะไรขึ้นที่นี่จริงเหรอ?

ที่ฉันไม่สามารถบอกคุณได้ แต่บางทีอาจจะมีชนิดของการกำหนดค่าในบางมหาราชไฟร์วอลล์ของจีน ?