Siti Web esterni nei log [duplicato]

Naviga le tue risposte
15

Ho un sito Web, chiamiamolo www.good.com.

Ho ricevuto molte richieste su www.good.com con URL completamente diversi da www.good.com. Sospetto che questo traffico causi anche alcuni problemi di prestazioni del sito. Sto facendo funzionare una soluzione .NET su IIS come riferimento.

Ho un logger che rileva costantemente errori 404 per host esterni. Di seguito sono riportati alcuni esempi di alcuni dati del registro: 

Original URL: http://open.tracker.thepiratebay.org/announce?info_hash=%9D%E7%E6%10%911%1Eh%8D%BAX%02%27%C3x5%F0%18%DF%E8&peer_id=%2DSD0100%2D%E6%B2%15Ql%C0%14%5D%3Dx%20%8C&ip=192.168.2.23&port=8956&uploaded=1019809319&downloaded=1019809319&left=192985&numwant=200&key=9135&compact=1
Request URL: http://open.tracker.thepiratebay.org/announce?info_hash=%9D%E7%E6 %911 h%8D%BAX '%C3x5%F0 %DF%E8&peer_id=-SD0100-%E6%B2 Ql%C0 ]=x %8C&ip=192.168.2.23&port=8956&uploaded=1019809319&downloaded=1019809319&left=192985&numwant=200&key=9135&compact=1
Request Path: /announce
Referrer URL: None
User host address: 222.210.108.246
Server: WWW-GOOD-COM-SERVER
User: 
IsAuthenticated: False
Authentication Type: 
Thread account name: NT AUTHORITY\NETWORK SERVICE
User Agent: Bittorrent

Vedo anche altre richieste strane da tutti i tipi di altri domini, come

  • vl.ff.avast.com
  • graph.facebook.com
  • eztv.tracker.thepiratebay.org
  • trackhub.appspot.com

Quasi sempre l'IP coinvolto è al di fuori degli Stati Uniti.

Ciò che non capisco, è il motivo per cui il mio server sta tentando di soddisfare le richieste di uno di questi URL quando ovviamente non è l'host.

Devo sapere:

  1. Perché questo potrebbe accadere?
  2. È pericoloso?
  3. Come posso prevenirlo, se possibile?
posta Zachary Dow 27.03.2015 - 14:50
fonte

3 risposte

15

Quando digiti l'URL nel tuo browser, il browser farà principalmente due cose:

  1. Risolvi il nome host per ottenere l'indirizzo IP associato da contattare, questo consente al browser di inviare la richiesta al server giusto,
  2. Inserisci il nome host che è stato effettivamente digitato nell'intestazione HTTP dell'Host, questo consente al server di inviare una risposta appropriata nel caso in cui diversi siti web siano ospitati (ciascun sito Web sarà identificato grazie a questa intestazione).

Tuttavia, ciò che deve essere compreso è che questa intestazione Host è solo un'intestazione di testo normale. Un semplice test:

  1. Avvia una connessione telnet verso il tuo server web:

telnet example.com 80

  1. Richiedi una pagina web utilizzando tali comandi:

GET /my-fake-page HTTP/1.0

Host: my-fake-host.fake

  1. Quindi devi inserire due volte per convalidare la fine dell'input.

Poi nei tuoi registri dovresti vedere una richiesta in arrivo per l'URL http://my-fake-host.fake/my-fake-page .

Come per la causa principale del problema, lo stesso problema sembra influenzare altre persone senza causa radice chiaramente definita, forse un problema con un server DNS da qualche parte in Cina, probabilmente correlato al firewall nazionale, forse una botnet DDoS, ma sembra che non ci sia alcuna conferma.

Queste richieste non sono pericolose da sole. Tuttavia, nel thread menzionato alcune persone hanno riportato un impatto significativo sulle prestazioni a causa dell'aumento del carico, che potrebbe causare un rifiuto del servizio. Per alcuni altri era solo una parte del "rumore di Internet" che appare nei log.

Durante la discussione menzionata, in caso di problemi con il carico sono state proposte alcune soluzioni, la principale è stata quella di bloccare l'IP di origine in base al Paese di origine.

    
risposta data 27.03.2015 - 17:03
fonte
5

Poiché GZBK ha coperto il motivo, illustrerò la singola soluzione semplice per ridurre al minimo questo e i problemi correlati che io e altri come StevenC utilizziamo. Rendi il tuo host virtuale primo o predefinito piccolo veloce e leggero, restituendo errori su tutte le richieste (sono stato conosciuto per consentire un css di base e risorse correlate). Questo ha il vantaggio di ridurre al minimo il consumo di risorse, una più facile separazione dei registri, una notifica anticipata di altri problemi di dns e, se si fa questa pratica sui server di sviluppo, riduce al minimo la dipendenza dalle risorse non tracciate.

    
risposta data 27.03.2015 - 21:44
fonte
3

come ha detto @GZBK, ciò accade perché, per qualsiasi motivo, le persone vengono inviate al tuo server quando cercano di aprire quei siti. Questo è successo a molti altri, ed è probabile che il GFW faccia la sua cosa sporca.

Ecco un bel post su un altro ragazzo che gli ha fatto accadere la stessa cosa.

Puoi utilizzare questo sito per verificare se il DNS è indirizzato al tuo server.

    
risposta data 28.03.2015 - 03:11
fonte

Leggi altre domande sui tag

L'impostazione httponly impedisce il furto di una sessione usando XSS? Se un utente malintenzionato intercetta tutto il mio traffico, sarà in grado di ascoltare la mia sessione VPN?