神秘的误导中文流量：如何找出HTTP请求使用的DNS服务器？

在过去的一周中，我从各种各样的中文IP地址获得了大量的流量。此流量似乎来自正常人，他们的HTTP请求表明他们认为我是：

• 脸书
• 海盗湾
• 各种BitTorrent跟踪器，
• 色情网站

所有这些听起来都像人们会使用VPN一样。否则会让中国长城生气的事情。

用户代理包括Web浏览器，Android，iOS，FBiOSSDK，Bittorrent。IP地址是普通的中国商业提供商。

如果主机不正确或用户代理明显错误，我会让Nginx返回444：

## Deny illegal Host headers
if ($host !~* ^({{ www_domain }})$ ) {
   return 444;
}
## block bad agents
if ($http_user_agent ~* FBiOSSDK|ExchangeWebServices|Bittorrent) {
    return 444;
}

我现在可以处理负载了，但是有些突发高达2k / min。我想找出他们为什么要来找我并阻止它。我们也有合法的CN流量，因此禁止选择地球的1/6。

它可能是恶意的，甚至是个人的，但那可能是那边配置错误的DNS。

我的理论是，它的DNS服务器配置错误，或者可能是人们用来绕过Great Fire Wall的某些VPN服务。

给定客户端IP地址：

183.36.131.137 - - [05/Jan/2015:04:44:12 -0500] "GET /announce?info_hash=%3E%F3%0B%907%7F%9D%E1%C1%CB%BAiF%D8C%DE%27vG%A9&peer_id=%2DSD0100%2D%96%8B%C0%3B%86n%8El%C5L%11%13&ip=183.36.131.137&port=11794&uploaded=4689970239&downloaded=4689970239&left=0&numwant=200&key=9085&compact=1 HTTP/1.0" 444 0 "-" "Bittorrent"

我知道：

descr:          CHINANET Guangdong province network
descr:          Data Communication Division
descr:          China Telecom

• 我如何找出这些客户使用的DNS服务器？
• 无论如何，是否可以确定HTTP请求是否来自VPN？
• 这到底是怎么回事？

确定客户的DNS解析器的方法有一种理论上的方法，但是它相当先进，我不知道有任何现成的软件可以为您做到这一点。除了nginx之外，您还必须为此运行权威的DNS服务器。

如果HTTP Host标头不正确，请提供一个错误文档，并为您登录到数据库的每个请求提供对动态创建的唯一FQDN的请求。例如。

http://e2665feebe35bc97aff1b329c87b87e7.example.com/img.png

只要中国的大型防火墙没有处理该请求，并且客户端从该唯一的FQDN + URI请求文档，每个请求都将导致对您的权威DNS进行新的DNS查找，例如example.com，您可以在其中记录IP地址。 DNS解析器，以后将其与您动态生成的URI相关联。

我听说过很棒的防火墙，用于将“被阻止的”流量重定向到少数几个伪造IP，但这使它们的块很容易被发现（我不确定是否允许轻松颠覆）。无论如何，管理员都已开始重定向到随机IP。显然，这导致了一些中国用户获得了色情，而不是脸书或vpn。

我怀疑您的一个IP原来是被阻止的中国流量的接收者-因此您看到了Facebook IPI用户代理。

这意味着主机头检查应该是一个很好的检查。如今，大多数用户代理都支持SNI，因此您应该能够相对不受惩罚地丢弃无主机头流量。

编辑：http： //www.infosecurity-magazine.com/news/great-firewall-upgrade-redirects/

我如何找出这些客户使用的DNS服务器？

联系Chinanet并询问？认真地说，DNS是可在客户端配置的。大多数人都通过DHCP获得DNS设置，但是如果您无法更改，OpenDNS和Google的DNS产品将不会具有商业模式。

无论如何，是否可以确定HTTP请求是否来自VPN？

并非如此，只是IP是VPN的，而不是中国的最终用户。

这到底是怎么回事？

我不能告诉你，但是中国的防火墙可能存在某种错误的配置？