在过去的一周里,我从各种中国 IP 地址获得了大量流量。此流量似乎来自普通人,他们的 HTTP 请求表明他们认为我是:
所有这些听起来都像是人们会使用 VPN 做的事情。或者让中国长城生气的事情。
用户代理包括网络浏览器、Android、iOS、FBiOSSDK、Bittorrent。IP 地址是普通的中国商业提供商。
如果主机不正确或用户代理明显错误,我让 Nginx 返回 444:
## Deny illegal Host headers
if ($host !~* ^({{ www_domain }})$ ) {
return 444;
}
## block bad agents
if ($http_user_agent ~* FBiOSSDK|ExchangeWebServices|Bittorrent) {
return 444;
}
我现在可以处理负载,但有一些高达 2k/分钟的突发。我想找出他们为什么来找我并阻止它。我们也有合法的 CN 流量,所以禁止 1/6 的地球不是一个选项。
它可能是恶意的甚至是个人的,但它可能只是那里配置错误的 DNS。
我的理论是它配置错误的 DNS 服务器或可能是人们用来绕过长城防火墙的某些 VPN 服务。
给定一个客户端 IP 地址:
183.36.131.137 - - [05/Jan/2015:04:44:12 -0500] "GET /announce?info_hash=%3E%F3%0B%907%7F%9D%E1%C1%CB%BAiF%D8C%DE%27vG%A9&peer_id=%2DSD0100%2D%96%8B%C0%3B%86n%8El%C5L%11%13&ip=183.36.131.137&port=11794&uploaded=4689970239&downloaded=4689970239&left=0&numwant=200&key=9085&compact=1 HTTP/1.0" 444 0 "-" "Bittorrent"
我可以知道:
descr: CHINANET Guangdong …