我有一个托管在 CentOS 7 上的网站,它是 A2 托管环境的一部分。虽然我可以访问我的网站(http://68.66.205.103/)在我的手机和 AT&T ISP 上,我无法从 Comcast ISP 或我的 RCN ISP(使用 Comcast 网络)访问它。这是我的跟踪路线
localhost:tmp davea$ traceroute 68.66.205.103
traceroute to 68.66.205.103 (68.66.205.103), 64 hops max, 52 byte packets
1 192.168.1.1 (192.168.1.1) 15.293 ms 6.332 ms 1.234 ms
2 bdl1.lem-cbr2.chi-lem.il.cable.rcn.net (10.48.40.1) 9.922 ms 17.757 ms 12.261 ms
3 216.80.78.71 (216.80.78.71) 10.832 ms 10.550 ms 11.397 ms
4 bdle2.border1.eqnx.il.rcn.net (207.172.15.196) 13.622 ms 23.229 ms
bdle3.border1.eqnx.il.rcn.net (207.172.15.212) 11.654 ms
5 * * *
6 * * *
7 * * *
8 * * *
9 * * *
10 * * *
11 * * *
但有趣的是,在 Comcast ISP 上的同一台机器上,我可以通过 TOR 浏览器访问该站点,所以我不知道这是否意味着 ISP 阻止了远程 IP 地址,或者还有其他情况发生。如有任何建议,我们将不胜感激,-
答案1
康卡斯特真的是自愿封锁您的 IP 吗?嗯,答案是……复杂。
这并不完全是康卡斯特本身的决定。
您现在拥有的服务器的 IP 地址已被报告为 BOTNET 的一部分。
世界各地的许多组织,甚至使用防火墙供应商(即最近的 CheckPoint 技术)的组织可能会阻止对该 IP 地址的服务器的完全访问或某些类型的访问当服务器位于恶意软件黑名单中时(即该网络上的客户端不会打开它)。
Comcast 还因使用(透明)代理拦截至少 HTTP 请求而闻名。
我们可以确定的是,康卡斯特正在使用/使用一个或多个黑名单,这些黑名单应用于他们用来过滤对某些服务的访问的某些技术。他们可能不是唯一这样做的组织。
作为后备列表中您的 IP 地址的统计/报告的示例,请参阅(当它处于活动状态时)http://vxcube.com/tools/ip/68.66.205.103/threat
以及他们报告的从您的 IP 地址看到活动的恶意软件:
MMD-0052-2016 - “SkidDDoS”ELF++ IRC 僵尸网络概述
也在http://vxcube.com/tools/ip/68.66.205.103/graph,选择查看主机扫描/访问的 URL 的选项:
http://68.66.205.103/bins.sh
http://80.211.225.35/'
http://80.211.225.35/apache2
http://80.211.225.35/banana124.sh
http://80.211.225.35/bash
http://80.211.225.35/cron
http://80.211.225.35/ftp
http://80.211.225.35/ntpd
http://80.211.225.35/openssh
http://80.211.225.35/pftp
同时在 Shodan 中插入您的 IP 地址,它提醒我您正在暴露于互联网危险服务。
你不应该至少 rpcbind接触互联网;它应该受到防火墙的保护。
$ nmap -sT 68.66.205.103
Starting Nmap 7.60 ( https://nmap.org ) at 2018-02-25 18:14 WET
Nmap scan report for 68.66.205.103.static.a2webhosting.com (68.66.205.103)
Host is up (0.14s latency).
Not shown: 998 closed ports
PORT STATE SERVICE
80/tcp open http
111/tcp open rpcbind
(不幸的是,我自己的ISP阻止我进行可靠的UDP端口扫描操作)
不用说,应该重新安装服务器,并且应该重新评估安全策略。
PS 我更改了恶意软件的问题标签。
答案2
运行跟踪路由不会给您确定的答案。要检查端口是否被阻止,您需要直接连接到该端口。您可以使用 tcptraceroute 或 hping 尝试到达您的 :.
# tcptraceroute www.google.com 443
Running:
traceroute -T -O info -p 443 www.google.com
traceroute to www.google.com (216.58.198.164), 30 hops max, 60 byte packets
...
9 108.170.232.97 (108.170.232.97) 10.305 ms 10.775 ms 108.170.232.99 (108.170.232.99) 10.724 ms
10 lhr25s10-in-f164.1e100.net (216.58.198.164) <syn,ack> 9.316 ms 9.444 ms 11.003 ms
或者使用 HPING3:
# hping3 -V -S -p 443 www.google.co.uk
using wlp3s0, addr: <ipaddr>, MTU: 1500
HPING www.google.co.uk (wlp3s0 172.217.23.3): S set, 40 headers + 0 data bytes
len=46 ip=172.217.23.3 ttl=57 id=54832 sport=443 flags=SA seq=0 win=42780 rtt=31.8 ms
...
您可以通过其他 ISP 和 TOR 访问您的服务,这一事实确实表明康卡斯特确实阻止了对端口 80 的访问。验证基于恶意软件的过滤的一个简单测试是将端口更改为非标准值(如 5580 或 9980)并重试。