日志中的外部网站

信息安全 http dns ddos iis
2021-09-05 04:48:46

我有一个网站,我们称之为 www.good.com。

我在与 www.good.com 完全不同的 URL 下收到了很多对 www.good.com 的请求。我怀疑这种流量也会导致一些网站性能问题。我在 IIS 上运行 .NET 解决方案以供参考。

我有一个记录器,它不断为外部主机接收 404 错误。以下是一些日志数据的示例:

Original URL: http://open.tracker.thepiratebay.org/announce?info_hash=%9D%E7%E6%10%911%1Eh%8D%BAX%02%27%C3x5%F0%18%DF%E8&peer_id=%2DSD0100%2D%E6%B2%15Ql%C0%14%5D%3Dx%20%8C&ip=192.168.2.23&port=8956&uploaded=1019809319&downloaded=1019809319&left=192985&numwant=200&key=9135&compact=1
Request URL: http://open.tracker.thepiratebay.org/announce?info_hash=%9D%E7%E6 %911 h%8D%BAX '%C3x5%F0 %DF%E8&peer_id=-SD0100-%E6%B2 Ql%C0 ]=x %8C&ip=192.168.2.23&port=8956&uploaded=1019809319&downloaded=1019809319&left=192985&numwant=200&key=9135&compact=1
Request Path: /announce
Referrer URL: None
User host address: 222.210.108.246
Server: WWW-GOOD-COM-SERVER
User: 
IsAuthenticated: False
Authentication Type: 
Thread account name: NT AUTHORITY\NETWORK SERVICE
User Agent: Bittorrent

我还看到来自各种其他领域的其他奇怪请求,比如

  • vl.ff.avast.com
  • 图.facebook.com
  • eztv.tracker.thepiratebay.org
  • trackhub.appspot.com

所涉及的知识产权几乎总是来自美国以外。

我不明白的是,为什么我的服务器在显然不是主机时试图满足对任何这些 url 的请求。

我需要知道:

  1. 为什么会发生这种情况?
  2. 这很危险吗?
  3. 如果可能的话,我该如何预防?
3个回答

当你在浏览器中输入 URL 时,浏览器主要会用它做两件事:

  1. 解析主机名以获取要联系的关联 IP 地址,这允许浏览器将请求发送到正确的服务器,
  2. 将实际输入的主机名放入 Host HTTP 标头中,这允许服务器在托管多个网站的情况下发送适当的回复(每个网站都将通过此标头识别)。

但是,必须理解的是,这个 Host 头只是一个纯文本头。一个简单的测试:

  1. 向您的 Web 服务器发起 telnet 连接:

远程登录 example.com 80

  1. 使用以下命令请求网页:

GET /my-fake-page HTTP/1.0

主机:my-fake-host.fake

  1. 然后您需要输入两次以验证输入的结束。

然后在您的日志中,您应该会看到对 URL 的传入请求http://my-fake-host.fake/my-fake-page

根据问题的根本原因,同样的问题似乎会影响其他没有明确根本原因的人,可能是中国某处的 DNS 服务器问题,可能与他们的国家防火墙有关,也可能是 DDoS 僵尸网络,但似乎没有是任何确认。

这些请求本身并不危险。但是,在提到的线程中,一些人报告说由于负载增加而对性能产生了重大影响,可能导致拒绝服务。对于其他一些人来说,这只是日志中出现的“互联网噪音”的一部分。

当我进行上述讨论时,在负载问题的情况下提出了一些解决方案,主要应用的是基于来源国家/地区的阻止源 IP。

由于 GZBK 介绍了原因,我将介绍一个简单的解决方案,以尽量减少我和其他人(例如 StevenC)使用的这个问题和相关问题。使您的第一个或默认虚拟主机快速而轻巧,在所有请求上返回错误(众所周知,我允许基本的 css 和相关资源)。这样做的好处是可以最大限度地减少资源消耗、更轻松地分离日志、更早地通知其他 dns 问题,如果您在开发服务器上进行这种做法,它可以最大限度地减少对未跟踪资源的依赖。

正如@GZBK 所说,发生这种情况是因为无论出于何种原因,人们在尝试打开这些站点时都会被发送到您的服务器。这已经发生在许多其他人身上,并且很可能是 GFW 在做它肮脏的事情。

这是一篇不错的帖子,内容是关于其他发生在他身上的同样事情的人。

您可以使用此站点检查 dns 是否指向您的服务器。

其它你可能感兴趣的问题
上一篇为什么 Chrome 等不再支持 secp521r1? 下一篇两个密码之间的距离