HTTP Host Header reindirizza il traffico

3

Recentemente, ho visto periodiche inondazioni di traffico verso i miei server web con varie intestazioni host che non ci appartengono. Il traffico sembra venire principalmente dalla Cina e un numero decente sembra pensare che siamo un tracker BitTorrent. Provengono da un'ampia varietà di IP e User Agent.

Esempio di richiesta tracker BitTorrent (anonima):

GET /announce?info_hash=%B8%86%E1hJ%A7%1Dm%AAvL%0F%CF%F3%F7%03%95%A8%AB%AF&peer_id=%2D5F21100%2D%04%0DA%DE%3D%D9f%A4%0Aw%A7%2A&ip=112.84.xxx.xxx&port=13777&uploaded=1150728262&downloaded=1150728262&left=2292077&numwant=200&key=937&compact=1 HTTP/1.0
Host: open.tracker.thepiratebay.org
User-Agent: Bittorrent
Accept: */*
Connection: closed
X-Forwarded-Proto: http
X-Forwarded-For: 112.84.xxx.xxx

Esempio: Richiesta ping immagine Kit:

GET /p.gif?s=1&k=yoe7ink&ht=sh&h=get.adobe.com&f=7180.7181.7182.7184&a=204670&_=1422582942577 HTTP/1.1
Host: p.typekit.net
User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:35.0) Gecko/20100101 Firefox/35.0
Accept: image/png,image/*;q=0.8,*/*;q=0.5
Accept-Language: zh-cn,en-us;q=0.7,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://get.adobe.com/cn/flashplayer/completion/aih/?exitcode=0&re=0&type=install
X-Forwarded-Proto: http
X-Forwarded-For: 27.189.xxx.xxx

Si noti che i server Web in questione sono dietro un bilanciatore del carico (Linode NodeBalancer), quindi sono previsti gli header X-Forwarded-For e X-Forwarded-Proto; corrispondono alle richieste originali al servizio di bilanciamento del carico.

Per quanto posso dire, il server web non funziona come un proxy aperto. La risposta a queste richieste è semplicemente un reindirizzamento 302:

HTTP/1.1 302 Found
Date: Fri, 30 Jan 2015 01:56:00 GMT
...
Location: http://open.tracker.thepiratebay.org/guide
Status: 302
Vary: Accept-Encoding
Content-Length: 108
Connection: close
Content-Type: text/html; charset=utf-8

<html><body>You are being <a href="http://open.tracker.thepiratebay.org/guide">redirected</a>.</body></html>

Il passaggio a / guida è fornito dall'applicazione Rails che normalmente viene eseguita su questi server. Normalmente reindirizza alcuni tipi di traffico 404 al link .

Ho due domande a riguardo:

  1. Perché riceviamo questo traffico? Che cosa si può guadagnare con i nostri server per generare un numero elevato di reindirizzamenti HTTP? Non sembra che stiano tirando fuori un attacco XSS sull'intestazione Host non convalidata.
  2. Che cosa faccio a riguardo? Posso o dovrei riconfigurare Apache per rifiutare le richieste in cui l'intestazione dell'Host non corrisponde a un dominio di nostra proprietà? C'è un modo per capire chi sta mandando questo traffico a modo nostro? Dovrei ottenere un nuovo IP per il bilanciamento del carico?
posta Zach Lipton 30.01.2015 - 06:47
fonte

1 risposta

2

Ciò che stai descrivendo è molto simile a quello che ho letto in un recente articolo di notizie.

Si tratta di un bug nel Great Firewall della Cina, dove è stato presumibilmente aggiornato, in cui può far esplodere siti casuali con richieste che avrebbe dovuto bloccare.

Leggi l'articolo qui se sei interessato.

    
risposta data 30.01.2015 - 07:54
fonte

Leggi altre domande sui tag