Я запускаю простой прокси-сайт / веб-сайт общего пользования, который я и несколько друзей используем по адресу kerenua.xyzОднако, начиная с 3 ~ недель назад, огромное количество трафика начало поступать с сотен (уникальных) IP-адресов.
В пиковом «использовании» этот трафик составлял 200 Мбит / с! Проанализировав apache2 access.log, можно увидеть, что эти запросы выполняются через веб-приложение, размещенное на сайте, называемом «miniProxy», для субдоменов «akamaihd.net» (CDN).
Каждый запрос относится к определенному файлу .m3u8 / .ts - 'prog.m3u8' 'master_600.m3u8' 'master_1200_175739.ts'
Кроме того, несмотря на то, что эти файлы имеют небольшой размер, каждое HTTP-соединение загружает 2–5 Мбит / с в течение длительного периода времени. Я не знаю, как это возможно.
Короткий клип TCPTrack: https://files.catbox.moe/b220cv.mp4
Фрагмент журнала:
148.251.126.118 - - [09/Aug/2019:23:57:30 -0400] "GET /zine/mini/miniProxy.php/http://tvetcnphiladelph-i.akamaihd.net/hls/live/219798/TCNPhiladelphiax/2596k/prog.m3u8 HTTP/1.1" 403 3986 "-" "Xtream-Codes IPTV Panel Pro" 58.182.65.81 - - [09/Aug/2019:23:57:30 -0400] "GET /zine/mini/miniProxy.php/http://starvijay-i.akamaihd.net/hls/live/569909/starvijay/master_2000.m3u8 HTTP/1.1" 403 914 "-" "ZalTV 1.1.5 (16)" 103.23.34.11 - - [09/Aug/2019:23:57:30 -0400] "GET /zine/mini/miniProxy.php/http://tvegolf-i.Akamaihd.net/hls/live/218225/golfx/4296k/prog.m3u8 HTTP/1.1" 403 914 "-" "ZalTV 1.1.5 (16)" [UNUSUAL!] 195.181.173.46 - - [10/Aug/2019:00:14:41 -0400] "GET /zine/mini/miniProxy.php/http://live.savitar.tv/Nickelodeon/myStream/playlist.m3u8?wmsAuthSign=c2VydmVyX3RpbWU9OC8xMC8yMDE5IDQ6MTM6NTUgQU0maGFzaF92YWx1ZT1DcG0zeEJPaGtTMnZRN1JIcmc4SHNBPT0mdmFsaWRtaW51dGVzPTM2MCZpZD0w HTTP/1.1" 403 3772 "-" "Flussonic 19.06.1"Файлы .m3u8 / .ts:
[Most Common] prog.m3u8 : https://files.catbox.moe/2xzqv2.m3u8 [golf??] segment_156540690.ts : https://files.catbox.moe/qboiod.ts master_600.m3u8 : https://files.catbox.moe/z80aa9.m3u8 playlist.m3u8 : https://files.catbox.moe/3rz6dx.m3u8
Как они это делают, зачем они это делают?
Я надеюсь, что кто-то может мне помочь, так как мне действительно не хватает понимания и контроля над ситуацией.
РЕДАКТИРОВАТЬ: Я все еще не уверен в истинной природе этого злоупотребления, как оно работает / почему помимо этого оно связано с IPTV. Я буду принимать против него превентивные меры (черный список расширений файлов?).
Кто-то (я полагаю, вы) разместил открытый прокси-сервер на вашем веб-сайте, а другие в Интернете обнаружили его и начали злоупотреблять. Похоже, они все еще злоупотребляют этим. На момент написания этой статьи открытый прокси-сервер все еще активен; это позволило мне получить доступ к домашней странице Google.
Чтобы решить проблему, удалите открытый прокси-сервер или поместите на него контроль доступа.