HTTP Host Header redirigir el tráfico

3

Recientemente, he visto inundaciones periódicas de tráfico a mis servidores web con varios encabezados de Host que no nos pertenecen. El tráfico parece provenir principalmente de China y un número decente parece pensar que somos un rastreador de BitTorrent. Vienen de una amplia variedad de IP y agentes de usuario.

Ejemplo de solicitud de rastreador de BitTorrent (anonimizada):

GET /announce?info_hash=%B8%86%E1hJ%A7%1Dm%AAvL%0F%CF%F3%F7%03%95%A8%AB%AF&peer_id=%2D5F21100%2D%04%0DA%DE%3D%D9f%A4%0Aw%A7%2A&ip=112.84.xxx.xxx&port=13777&uploaded=1150728262&downloaded=1150728262&left=2292077&numwant=200&key=937&compact=1 HTTP/1.0
Host: open.tracker.thepiratebay.org
User-Agent: Bittorrent
Accept: */*
Connection: closed
X-Forwarded-Proto: http
X-Forwarded-For: 112.84.xxx.xxx

Ejemplo de solicitud de ping de imagen de TypeKit:

GET /p.gif?s=1&k=yoe7ink&ht=sh&h=get.adobe.com&f=7180.7181.7182.7184&a=204670&_=1422582942577 HTTP/1.1
Host: p.typekit.net
User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:35.0) Gecko/20100101 Firefox/35.0
Accept: image/png,image/*;q=0.8,*/*;q=0.5
Accept-Language: zh-cn,en-us;q=0.7,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://get.adobe.com/cn/flashplayer/completion/aih/?exitcode=0&re=0&type=install
X-Forwarded-Proto: http
X-Forwarded-For: 27.189.xxx.xxx

Tenga en cuenta que los servidores web en cuestión están detrás de un equilibrador de carga (Linode NodeBalancer), por lo que se espera que los encabezados de Proto Reenviado-X y Proto-Reenviado-X corresponden a las solicitudes originales del equilibrador de carga.

Por lo que puedo decir, el servidor web no está actuando como un proxy abierto. La respuesta a estas solicitudes es simplemente una redirección 302:

HTTP/1.1 302 Found
Date: Fri, 30 Jan 2015 01:56:00 GMT
...
Location: http://open.tracker.thepiratebay.org/guide
Status: 302
Vary: Accept-Encoding
Content-Length: 108
Connection: close
Content-Type: text/html; charset=utf-8

<html><body>You are being <a href="http://open.tracker.thepiratebay.org/guide">redirected</a>.</body></html>

El cambio a / guía lo proporciona la aplicación Rails que normalmente se ejecuta en estos servidores. Normalmente, redirige algunos tipos de tráfico 404 a enlace .

Tengo dos preguntas sobre esto:

  1. ¿Por qué estamos recibiendo este tráfico? ¿Qué puede ganar alguien al usar nuestros servidores para generar grandes cantidades de redirecciones HTTP? No parece que estén realizando un ataque XSS en el encabezado de host no validado.
  2. ¿Qué hago al respecto? ¿Puedo o debo reconfigurar Apache para rechazar solicitudes donde el encabezado del Host no coincida con un dominio que tenemos? ¿Hay una manera de averiguar quién está enviando este tráfico a nuestra manera? ¿Debo obtener una nueva IP para el equilibrador de carga?
pregunta Zach Lipton 30.01.2015 - 06:47
fuente

1 respuesta

2

Lo que estás describiendo es muy similar a lo que he leído en un artículo reciente.

Se trata de un error en el Gran Cortafuegos de China, donde supuestamente se ha actualizado, donde puede hacer explotar sitios al azar con solicitudes que debería haber bloqueado.

Lea el artículo aquí si está interesado.

    
respondido por el Dog eat cat world 30.01.2015 - 07:54
fuente

Lea otras preguntas en las etiquetas