3
神秘的误导中文流量:如何找出HTTP请求使用的DNS服务器?
在过去的一周中,我从各种各样的中文IP地址获得了大量的流量。此流量似乎来自正常人,他们的HTTP请求表明他们认为我是: 脸书 海盗湾 各种BitTorrent跟踪器, 色情网站 所有这些听起来都像人们会使用VPN一样。否则会让中国长城生气的事情。 用户代理包括Web浏览器,Android,iOS,FBiOSSDK,Bittorrent。IP地址是普通的中国商业提供商。 如果主机不正确或用户代理明显错误,我会让Nginx返回444: ## Deny illegal Host headers if ($host !~* ^({{ www_domain }})$ ) { return 444; } ## block bad agents if ($http_user_agent ~* FBiOSSDK|ExchangeWebServices|Bittorrent) { return 444; } 我现在可以处理负载了,但是有些突发高达2k / min。我想找出他们为什么要来找我并阻止它。我们也有合法的CN流量,因此禁止选择地球的1/6。 它可能是恶意的,甚至是个人的,但那可能是那边配置错误的DNS。 我的理论是,它的DNS服务器配置错误,或者可能是人们用来绕过Great Fire Wall的某些VPN服务。 给定客户端IP地址: 183.36.131.137 - - [05/Jan/2015:04:44:12 -0500] "GET …