Sitios web externos en los registros [duplicado]

Navega tus respuestas
15

Tengo un sitio web, llamémoslo www.good.com.

He recibido muchas solicitudes para www.good.com con direcciones URL completamente diferentes a las de www.good.com. Sospecho que este tráfico también está causando algunos problemas de rendimiento del sitio. Estoy ejecutando una solución .NET en IIS como referencia.

Tengo un registrador que está recogiendo constantemente errores 404 para hosts externos. A continuación se muestran ejemplos de algunos de los datos de registro: 

Original URL: http://open.tracker.thepiratebay.org/announce?info_hash=%9D%E7%E6%10%911%1Eh%8D%BAX%02%27%C3x5%F0%18%DF%E8&peer_id=%2DSD0100%2D%E6%B2%15Ql%C0%14%5D%3Dx%20%8C&ip=192.168.2.23&port=8956&uploaded=1019809319&downloaded=1019809319&left=192985&numwant=200&key=9135&compact=1
Request URL: http://open.tracker.thepiratebay.org/announce?info_hash=%9D%E7%E6 %911 h%8D%BAX '%C3x5%F0 %DF%E8&peer_id=-SD0100-%E6%B2 Ql%C0 ]=x %8C&ip=192.168.2.23&port=8956&uploaded=1019809319&downloaded=1019809319&left=192985&numwant=200&key=9135&compact=1
Request Path: /announce
Referrer URL: None
User host address: 222.210.108.246
Server: WWW-GOOD-COM-SERVER
User: 
IsAuthenticated: False
Authentication Type: 
Thread account name: NT AUTHORITY\NETWORK SERVICE
User Agent: Bittorrent

También veo otras solicitudes extrañas de todo tipo de otros dominios, como

  • vl.ff.avast.com
  • graph.facebook.com
  • eztv.tracker.thepiratebay.org
  • trackhub.appspot.com

Casi siempre la IP involucrada es de fuera de los Estados Unidos.

Lo que no entiendo es por qué mi servidor está tratando de cumplir con las solicitudes de cualquiera de estas URL cuando obviamente no es el host.

Necesito saber:

  1. ¿Por qué podría estar pasando esto?
  2. ¿Es esto peligroso?
  3. ¿Cómo puedo prevenirlo, si es posible?
pregunta Zachary Dow 27.03.2015 - 14:50
fuente

3 respuestas

15

Cuando escriba la URL en su navegador, el navegador hará principalmente dos cosas con ella:

  1. Resuelva el nombre del host para obtener la dirección IP asociada que se contactará, esto le permite al navegador enviar la solicitud al servidor correcto,
  2. Coloque el nombre de host que realmente se ha escrito en el encabezado HTTP del host, esto le permite al servidor enviar una respuesta adecuada en caso de que se alojen varios sitios web (cada sitio se identificará gracias a este encabezado).

Sin embargo, lo que se debe entender es que este encabezado de Host es solo un encabezado de texto sin formato. Una prueba simple:

  1. Inicie una conexión telnet hacia su servidor web:
  

telnet example.com 80

  1. Solicite una página web con estos comandos:
  

GET / my-fake-page HTTP / 1.0

     

Anfitrión: my-fake-host.fake

  1. Luego, debe escribir dos veces para validar el final de su entrada.

Luego, en sus registros, debería ver una solicitud entrante para la URL http://my-fake-host.fake/my-fake-page .

Según la causa raíz del problema, el mismo problema parece afectar a otras personas sin una causa raíz claramente definida, tal vez un problema del servidor DNS en algún lugar de China posiblemente relacionado con su firewall nacional, tal vez una red de bots DDoS, pero no parece haber ninguna confirmación.

Estas solicitudes no son peligrosas por sí mismas. Sin embargo, en el subproceso mencionado, algunas personas informaron un impacto significativo en el rendimiento debido al aumento de la carga, lo que posiblemente provocó una denegación de servicio. Para algunos otros, solo era parte del "ruido de Internet" que aparecía en los registros.

A medida que avanzaba en la discusión mencionada, en el caso de un problema de carga, se propusieron algunas soluciones, la principal aplicada era bloquear la IP de origen en función del país de origen.

    
respondido por el WhiteWinterWolf 27.03.2015 - 17:03
fuente
5

Ya que GZBK cubrió el motivo, cubriré la solución simple y sencilla para minimizar esto y los problemas relacionados que yo y otros como StevenC utilizamos. Haga que su primer host virtual o pequeño predeterminado sea rápido y ligero, devolviendo errores en todas las solicitudes (se sabe que permite un css básico y recursos relacionados). Esto tiene la ventaja de minimizar el consumo de recursos, una separación más fácil de los registros, el aviso previo de otros problemas de DNS, y si hace que esto sea una práctica en los servidores de desarrollo, minimiza la dependencia de recursos sin seguimiento.

    
respondido por el hildred 27.03.2015 - 21:44
fuente
3

como dijo @GZBK, esto sucede porque, por el motivo que sea, las personas se envían a su servidor cuando intentan abrir esos sitios. Esto le ha pasado a muchos otros, y es probable que el GFW esté haciendo algo sucio.

Aquí hay una buena publicación sobre otro tipo que tuvo la misma cosa que le sucedió.

Puede usar este sitio para verificar si el dns está apuntando a su servidor.

    
respondido por el Epicblood 28.03.2015 - 03:11
fuente

Lea otras preguntas en las etiquetas

¿Qué medidas deben tomarse al perder un iPad? Sistema operativo ligero de prueba de lápiz en vivo [cerrado]