Recentemente, ho visto periodiche inondazioni di traffico verso i miei server web con varie intestazioni host che non ci appartengono. Il traffico sembra venire principalmente dalla Cina e un numero decente sembra pensare che siamo un tracker BitTorrent. Provengono da un'ampia varietà di IP e User Agent.
Esempio di richiesta tracker BitTorrent (anonima):
GET /announce?info_hash=%B8%86%E1hJ%A7%1Dm%AAvL%0F%CF%F3%F7%03%95%A8%AB%AF&peer_id=%2D5F21100%2D%04%0DA%DE%3D%D9f%A4%0Aw%A7%2A&ip=112.84.xxx.xxx&port=13777&uploaded=1150728262&downloaded=1150728262&left=2292077&numwant=200&key=937&compact=1 HTTP/1.0
Host: open.tracker.thepiratebay.org
User-Agent: Bittorrent
Accept: */*
Connection: closed
X-Forwarded-Proto: http
X-Forwarded-For: 112.84.xxx.xxx
Esempio: Richiesta ping immagine Kit:
GET /p.gif?s=1&k=yoe7ink&ht=sh&h=get.adobe.com&f=7180.7181.7182.7184&a=204670&_=1422582942577 HTTP/1.1
Host: p.typekit.net
User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:35.0) Gecko/20100101 Firefox/35.0
Accept: image/png,image/*;q=0.8,*/*;q=0.5
Accept-Language: zh-cn,en-us;q=0.7,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://get.adobe.com/cn/flashplayer/completion/aih/?exitcode=0&re=0&type=install
X-Forwarded-Proto: http
X-Forwarded-For: 27.189.xxx.xxx
Si noti che i server Web in questione sono dietro un bilanciatore del carico (Linode NodeBalancer), quindi sono previsti gli header X-Forwarded-For e X-Forwarded-Proto; corrispondono alle richieste originali al servizio di bilanciamento del carico.
Per quanto posso dire, il server web non funziona come un proxy aperto. La risposta a queste richieste è semplicemente un reindirizzamento 302:
HTTP/1.1 302 Found
Date: Fri, 30 Jan 2015 01:56:00 GMT
...
Location: http://open.tracker.thepiratebay.org/guide
Status: 302
Vary: Accept-Encoding
Content-Length: 108
Connection: close
Content-Type: text/html; charset=utf-8
<html><body>You are being <a href="http://open.tracker.thepiratebay.org/guide">redirected</a>.</body></html>
Il passaggio a / guida è fornito dall'applicazione Rails che normalmente viene eseguita su questi server. Normalmente reindirizza alcuni tipi di traffico 404 al link .
Ho due domande a riguardo:
- Perché riceviamo questo traffico? Che cosa si può guadagnare con i nostri server per generare un numero elevato di reindirizzamenti HTTP? Non sembra che stiano tirando fuori un attacco XSS sull'intestazione Host non convalidata.
- Che cosa faccio a riguardo? Posso o dovrei riconfigurare Apache per rifiutare le richieste in cui l'intestazione dell'Host non corrisponde a un dominio di nostra proprietà? C'è un modo per capire chi sta mandando questo traffico a modo nostro? Dovrei ottenere un nuovo IP per il bilanciamento del carico?