Recientemente, he visto inundaciones periódicas de tráfico a mis servidores web con varios encabezados de Host que no nos pertenecen. El tráfico parece provenir principalmente de China y un número decente parece pensar que somos un rastreador de BitTorrent. Vienen de una amplia variedad de IP y agentes de usuario.
Ejemplo de solicitud de rastreador de BitTorrent (anonimizada):
GET /announce?info_hash=%B8%86%E1hJ%A7%1Dm%AAvL%0F%CF%F3%F7%03%95%A8%AB%AF&peer_id=%2D5F21100%2D%04%0DA%DE%3D%D9f%A4%0Aw%A7%2A&ip=112.84.xxx.xxx&port=13777&uploaded=1150728262&downloaded=1150728262&left=2292077&numwant=200&key=937&compact=1 HTTP/1.0
Host: open.tracker.thepiratebay.org
User-Agent: Bittorrent
Accept: */*
Connection: closed
X-Forwarded-Proto: http
X-Forwarded-For: 112.84.xxx.xxx
Ejemplo de solicitud de ping de imagen de TypeKit:
GET /p.gif?s=1&k=yoe7ink&ht=sh&h=get.adobe.com&f=7180.7181.7182.7184&a=204670&_=1422582942577 HTTP/1.1
Host: p.typekit.net
User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:35.0) Gecko/20100101 Firefox/35.0
Accept: image/png,image/*;q=0.8,*/*;q=0.5
Accept-Language: zh-cn,en-us;q=0.7,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://get.adobe.com/cn/flashplayer/completion/aih/?exitcode=0&re=0&type=install
X-Forwarded-Proto: http
X-Forwarded-For: 27.189.xxx.xxx
Tenga en cuenta que los servidores web en cuestión están detrás de un equilibrador de carga (Linode NodeBalancer), por lo que se espera que los encabezados de Proto Reenviado-X y Proto-Reenviado-X corresponden a las solicitudes originales del equilibrador de carga.
Por lo que puedo decir, el servidor web no está actuando como un proxy abierto. La respuesta a estas solicitudes es simplemente una redirección 302:
HTTP/1.1 302 Found
Date: Fri, 30 Jan 2015 01:56:00 GMT
...
Location: http://open.tracker.thepiratebay.org/guide
Status: 302
Vary: Accept-Encoding
Content-Length: 108
Connection: close
Content-Type: text/html; charset=utf-8
<html><body>You are being <a href="http://open.tracker.thepiratebay.org/guide">redirected</a>.</body></html>
El cambio a / guía lo proporciona la aplicación Rails que normalmente se ejecuta en estos servidores. Normalmente, redirige algunos tipos de tráfico 404 a enlace .
Tengo dos preguntas sobre esto:
- ¿Por qué estamos recibiendo este tráfico? ¿Qué puede ganar alguien al usar nuestros servidores para generar grandes cantidades de redirecciones HTTP? No parece que estén realizando un ataque XSS en el encabezado de host no validado.
- ¿Qué hago al respecto? ¿Puedo o debo reconfigurar Apache para rechazar solicitudes donde el encabezado del Host no coincida con un dominio que tenemos? ¿Hay una manera de averiguar quién está enviando este tráfico a nuestra manera? ¿Debo obtener una nueva IP para el equilibrador de carga?