1月21日下午,國內大量網站域名解析出現(xiàn)故障而無法訪問,其域名IP均被解析到了65.49.2.178這個陌生IP上,整個過程持續(xù)近1小時。據(jù)估計此次事件影響全國三分之二以上網站,包括新浪、京東、淘寶等知名網站都受影響,有人戲稱65.49.2.178必將載入中國互聯(lián)網史冊。
對于本次互聯(lián)網事故,某CDN加速服務對這個IP地址進行了一番分析,發(fā)現(xiàn)了一些有趣的數(shù)據(jù)。
65.49.2.178是什么?
65.49.2.178的IP歸屬地顯示為美國Dynamic Internet Technology公司,而該公司的主要產品即為一款代理IP軟件。
在這家CDN服務日志中,共發(fā)現(xiàn)包括65.49.2.178在內的19個同一C段IP地址,也就是說,至少有19個同段IP在過去一個星期訪問過該CDN節(jié)點網絡。
政府網站成攻擊重點
在19個IP中,發(fā)現(xiàn)其中有兩個IP 65.49.2.171、65.49.2.184在過去一周曾經有過攻擊行為。而攻擊的主要目標為軟件下載網站、政府網站,政府網站受攻擊比率高達34%。據(jù)分析,攻擊政府網站主要是使用已知應用漏洞對網站進行漏洞探測,嘗試竊取敏感信息。其次為XSS跨站攻擊,而XSS跨站攻擊的一個主要應用方式即為網絡釣魚。
為什么這個代理服務會出現(xiàn)攻擊行為呢?仔細分析一下,發(fā)現(xiàn)這不奇怪,因為這個IP本身就是代理的IP,中國的黑客通過美國這個代理軟件進行網絡攻擊,這是一個很常用的跳板技術,也就是說,為了防止被對方網站發(fā)現(xiàn),通過一個跳板來掃描各個網站的漏洞,這樣對方網站日志里留下的就是代理的IP地址,而不是黑客自己的真實IP,理論上講跳板越長,攻擊者越不容易被發(fā)現(xiàn),這樣,很多網站被黑客掃描了漏洞,卻不知道是誰掃描的。
不過,不能因為被攻擊的網站留下了這個IP,因此就說這個代理軟件公司是搞網絡攻擊的。
65.49.2.178主要訪問色情網站
如上文所述,該IP所在公司主要的產品即為一款代理IP軟件,經分析確認該IP確實為該代理軟件的服務IP之一。也就是說使用該IP的訪問均是通過代理訪問,對日志中訪客訪問請求來源Referer分析發(fā)現(xiàn),該IP主要訪問網站類型為色情網站,高達64%。
由于這個代理軟件的用戶絕大多數(shù)是中國用戶,因此通過這個數(shù)據(jù)可以分析出中國用戶主要使用代理軟件做什么,從這個數(shù)據(jù)上看,中國用戶使用代理翻墻軟件的主要需求就是看色情網站。另外還有中國黑客使用代理軟件當做跳板,來掃描各個網站的漏洞。
轉載請保留原文地址: http://headlineschannel.com/show-156.html