хы!
во-первых, TL;д-р объяснение этого вопроса:
каноническое ИС 91.189.88.162 (один из шести ИПС security.ubuntu.com решает) возвращает http 302 редирект на "http://179.184.158.89:80/pdata/05f7e7f89ba2302b/security.ubuntu.com/ubuntu/dists/xenial-security/InRelease". Этот IP не принадлежит какой-либо официальное зеркало Ubuntu и URI содержит какой-то идентификатор (это может быть код отслеживания, оно меняется каждый запрос). Расследование привело к выводу, что это не программное обеспечение/ОС-связанный с этим вопрос (легко воспроизводимый с другой ноутбук, загрузился с живой флешки USB проводной модем Телефоника это. Она не может быть воспроизведена нигде, видимо).
являются хранилищами канонических должен вести себя в каких-либо обстоятельствах? Подгонянный образец, прилагаемый в конце этого сообщения. Руководство по http-запросов, имитирующих "apt-получить обновление":
george@workstation-04:~$ GET -USed -H "Host: security.ubuntu.com" -H "User-Agent: Debian APT-HTTP/1.3 (1.2.24)" http://91.189.88.162/ubuntu/dists/xenial-security/InRelease
GET http://91.189.88.162/ubuntu/dists/xenial-security/InRelease
Host: security.ubuntu.com
User-Agent: Debian APT-HTTP/1.3 (1.2.24)
302 Found
Cache-Control: no-cache
Connection: close
Location: http://179.184.158.89:80/pdata/05f4cdcfbada50fc/security.ubuntu.com/ubuntu/dists/xenial-security/InRelease
Content-Length: 0
Content-Type: text/html
Client-Date: Sat, 25 Nov 2017 20:44:04 GMT
Client-Peer: 91.189.88.162:80
Client-Response-Num: 1
X-Content-Type-Options: nosniff
GET http://179.184.158.89:80/pdata/05f4cdcfbada50fc/security.ubuntu.com/ubuntu/dists/xenial-security/InRelease
User-Agent: Debian APT-HTTP/1.3 (1.2.24)
200 OK
Cache-Control: max-age=1144, s-maxage=3300, proxy-revalidate
Connection: close
Date: Sat, 25 Nov 2017 20:13:04 GMT
Accept-Ranges: bytes
ETag: "18ef2-55ed440fdb600"
Server: nginx
Content-Length: 102130
Expires: Sat, 25 Nov 2017 21:05:00 GMT
Last-Modified: Sat, 25 Nov 2017 20:10:00 GMT
Client-Date: Sat, 25 Nov 2017 20:44:05 GMT
Client-Peer: 179.184.158.89:80
Client-Response-Num: 1
X-OC-Service-Type: re
теперь на долго, полная версия (тщательный анализ, ненужно читать, если ты разобрался, что на основе описанного выше):
в ходе плановой проверки в одной из моих виртуальных машин вчера, что-то странное привлекло мое внимание:
root@workstation-03:/# apt-get update ; apt-get upgrade -y
Hit:1 http://br.archive.ubuntu.com/ubuntu xenial InRelease
Get:2 http://br.archive.ubuntu.com/ubuntu xenial-updates InRelease [102 kB]
Get:3 http://br.archive.ubuntu.com/ubuntu xenial-backports InRelease [102 kB]
Get:5 http://br.archive.ubuntu.com/ubuntu xenial-updates/main amd64 Packages [668 kB]
Ign:6 http://winswitch.org xenial InRelease
Get:7 http://br.archive.ubuntu.com/ubuntu xenial-updates/main i386 Packages [630 kB]
Hit:8 http://winswitch.org xenial Release
Get:10 http://br.archive.ubuntu.com/ubuntu xenial-updates/main amd64 DEP-11 Metadata [307 kB]
Get:11 http://br.archive.ubuntu.com/ubuntu xenial-updates/main DEP-11 64x64 Icons [227 kB]
Get:4 http://179.184.158.91:80/pdata/03ee5d7e461a5049/security.ubuntu.com/ubuntu xenial-security InRelease [102 kB]**
Get:12 http://br.archive.ubuntu.com/ubuntu xenial-updates/universe amd64 Packages [555 kB]
Get:13 http://br.archive.ubuntu.com/ubuntu xenial-updates/universe i386 Packages [527 kB]
Get:14 http://br.archive.ubuntu.com/ubuntu xenial-updates/universe amd64 DEP-11 Metadata [185 kB]
Get:16 http://br.archive.ubuntu.com/ubuntu xenial-updates/universe DEP-11 64x64 Icons [263 kB]
Get:17 http://br.archive.ubuntu.com/ubuntu xenial-updates/multiverse amd64 DEP-11 Metadata [5.888 B]
Get:18 http://br.archive.ubuntu.com/ubuntu xenial-backports/main amd64 DEP-11 Metadata [3.324 B]
Get:19 http://br.archive.ubuntu.com/ubuntu xenial-backports/universe amd64 DEP-11 Metadata [4.588 B]
Get:15 http://179.184.158.91:80/pdata/03ee827eaa21046b/security.ubuntu.com/ubuntu xenial-security/main amd64 DEP-11 Metadata [60,3 kB]
Get:20 http://179.184.158.91:80/pdata/03ee977e21229dae/security.ubuntu.com/ubuntu xenial-security/main DEP-11 64x64 Icons [57,6 kB]
Get:21 http://179.184.158.91:80/pdata/03eeaa7e9723e1be/security.ubuntu.com/ubuntu xenial-security/universe amd64 DEP-11 Metadata [51,4 kB]
Get:22 http://179.184.158.91:80/pdata/03eef57e5c24a1d6/security.ubuntu.com/ubuntu xenial-security/universe DEP-11 64x64 Icons [85,1 kB]**
Fetched 3.937 kB in 3s (1.115 kB/s)
Reading package lists... Done
Reading package lists... Done
Building dependency tree
Reading state information... Done
Calculating upgrade... Done
...
я не вижу где это "179.184.158.91" взялись, есть только один официальный РЕПО установлен в виртуальной машине (winswitch), но xenial-безопасности является то, что вызов этого IP-адреса. Кроме того, это, кажется, носить уникальные идентификаторы, как "03ee827eaa21046b".
Дополнительная информация:
, что IP не принадлежит какой-либо официальное зеркало Ubuntu и URI содержит какой-то идентификатор (это может быть код отслеживания, оно меняется каждый запрос).
deb http://br.archive.ubuntu.com/ubuntu/ xenial main restricted
deb-src http://br.archive.ubuntu.com/ubuntu/ xenial main restricted
deb http://br.archive.ubuntu.com/ubuntu/ xenial-updates main restricted
deb-src http://br.archive.ubuntu.com/ubuntu/ xenial-updates main restricted
deb http://br.archive.ubuntu.com/ubuntu/ xenial universe
deb-src http://br.archive.ubuntu.com/ubuntu/ xenial universe
deb http://br.archive.ubuntu.com/ubuntu/ xenial-updates universe
deb-src http://br.archive.ubuntu.com/ubuntu/ xenial-updates universe
deb http://br.archive.ubuntu.com/ubuntu/ xenial multiverse
deb-src http://br.archive.ubuntu.com/ubuntu/ xenial multiverse
deb http://br.archive.ubuntu.com/ubuntu/ xenial-updates multiverse
deb-src http://br.archive.ubuntu.com/ubuntu/ xenial-updates multiverse
deb http://br.archive.ubuntu.com/ubuntu/ xenial-backports main restricted universe multiverse
deb-src http://br.archive.ubuntu.com/ubuntu/ xenial-backports main restricted universe multiverse
deb http://security.ubuntu.com/ubuntu xenial-security main restricted
deb-src http://security.ubuntu.com/ubuntu xenial-security main restricted
deb http://security.ubuntu.com/ubuntu xenial-security universe
deb-src http://security.ubuntu.com/ubuntu xenial-security universe
deb http://security.ubuntu.com/ubuntu xenial-security multiverse
deb-src http://security.ubuntu.com/ubuntu xenial-security multiverse
кошка /и т. д./кв/источников.список.д/*
root@workstation-03:~# cat /etc/apt/sources.list.d/*
deb http://winswitch.org/ xenial main
ни один из установленных РЕПО разрешения на этот адрес:
george@workstation-03:~$ dig A security.ubuntu.com +short
91.189.91.23
91.189.88.149
91.189.91.26
91.189.88.152
91.189.88.162
91.189.88.161
george@workstation-03:~$ dig A winswitch.org +short
78.129.163.65
инструменты Обратный поиск IP не удается найти любой адрес, доменное имя, решив, что IP, а также.
, что ИС-это сообщил мой провайдер (Телефоника), но вроде бы в маленького провайдера я никогда не слышал до сих пор:
george@workstation-03:~$ whois 179.184.158.91 | grep owner:
owner: TELEFÔNICA BRASIL S.A
george@workstation-03:~$ host 179.184.158.91
91.158.184.179.in-addr.arpa domain name pointer imaxima.static.gvt.net.br.
[dиода d17]я попытался сразу же воспроизвести это поведение после, но этого IP больше не появился во время apt-получить обновление.[!dиода d17]
нет прокси любого типа в этой машине (всей системы или конкретного приложения). Эта виртуальная машина подключается к интернету через брандмауэр OPNSense, без фильтрации исходящего трафика настроена. Я сделал попытку перехвата трафика с целью проверки http-заголовков, отправляемых и получаемых с помощью apt-получить, как только я заметил, что по подозрительному адресу, но, поскольку я больше не был в состоянии воспроизвести такое поведение, ничего не придумали. К счастью, однако, я провел apt-получить обновление еще раз прошлой ночью, и что странно ИС появился вновь, хотя в одну линию в этот раз.
в этот момент я запустил wireshark и прошел всю захватить. Как выясняется, это не DNS-аномалия (я уже подтвердил это, запрашивая каждый арбитр поставил я здесь, никто из них не вернулся, что "179.184.158.89"), по крайней мере, один из шести IP-адресов, которые security.ubuntu.com решает (91.189.88.162) возвращается, что неизвестные Ури через http 302. Вот список я проверялась:
security.ubuntu.com. 383 IN A 91.189.88.149
security.ubuntu.com. 383 IN A 91.189.88.162 X
security.ubuntu.com. 383 IN A 91.189.88.152
security.ubuntu.com. 383 IN A 91.189.91.26
security.ubuntu.com. 383 IN A 91.189.91.23
security.ubuntu.com. 383 IN A 91.189.88.161
теперь я могу воспроизвести поведение вручную. Я установил агента пользователя в "Debian в apt-протокол http/1.3 (1.2.24)" для того, чтобы отвлечь внимание от какой-либо гипотетической приманки, которые может быть сидят где-то посередине, на всякий случай:
george@workstation-04:~$ GET -USed -H "Host: security.ubuntu.com" -H "User-Agent: Debian APT-HTTP/1.3 (1.2.24)" http://91.189.88.162/ubuntu/dists/xenial-security/InRelease
GET http://91.189.88.162/ubuntu/dists/xenial-security/InRelease
Host: security.ubuntu.com
User-Agent: Debian APT-HTTP/1.3 (1.2.24)
302 Found
Cache-Control: no-cache
Connection: close
Location: http://179.184.158.89:80/pdata/05f4cdcfbada50fc/security.ubuntu.com/ubuntu/dists/xenial-security/InRelease
Content-Length: 0
Content-Type: text/html
Client-Date: Sat, 25 Nov 2017 20:44:04 GMT
Client-Peer: 91.189.88.162:80
Client-Response-Num: 1
X-Content-Type-Options: nosniff
GET http://179.184.158.89:80/pdata/05f4cdcfbada50fc/security.ubuntu.com/ubuntu/dists/xenial-security/InRelease
User-Agent: Debian APT-HTTP/1.3 (1.2.24)
200 OK
Cache-Control: max-age=1144, s-maxage=3300, proxy-revalidate
Connection: close
Date: Sat, 25 Nov 2017 20:13:04 GMT
Accept-Ranges: bytes
ETag: "18ef2-55ed440fdb600"
Server: nginx
Content-Length: 102130
Expires: Sat, 25 Nov 2017 21:05:00 GMT
Last-Modified: Sat, 25 Nov 2017 20:10:00 GMT
Client-Date: Sat, 25 Nov 2017 20:44:05 GMT
Client-Peer: 179.184.158.89:80
Client-Response-Num: 1
X-OC-Service-Type: re
все эти пять оставшихся ИПС вернет http 200, который является ожидаемым поведением для всех из них, насколько я знаю. Например:
[F9] и
как вы можете видеть, ИС канонические 91.189.88.162 себя возвращает http 302 редирект на эту подозрительных IP. Поскольку эта аномалия является воспроизводимым от любого из моих виртуальных машин и даже с видео ОС на старом ноутбуке у меня валяться, пока подключен прямо в модем "Телефоника", я пришел к выводу, что это не связано с моей брандмауэра либо. Хотя шестерни Телефоника сидит в моей гостиной, это за пределами защищенного периметра сети, так это не проверенные или ничего. В любом случае, я не верю, что это преступник, так как это самый дешевый ДСЛ-2730E маршрутизатор ADSL2+ с пользовательскими статические маршруты настраиваются. Я буду стараться наводить ее в один из этих дней, чтобы увидеть, если что-то изменится.
как ни странно, ответ на 302 не несет вебсервер подпись, в отличие от всех остальных запросов к ней, который привел меня к чему-то верить в между может перехватывать пакеты, что конкретный IP и порт. Вот пример взятый с сервера я сама в Канаде, где четко видно Заголовок "сервер":
root@server-1:~# GET -USed -H "Host: security.ubuntu.com" -H "User-Agent: Debian APT-HTTP/1.3 (1.2.24)" http://91.189.88.162/ubuntu/dists/xenial-security/InRelease
GET http://91.189.88.162/ubuntu/dists/xenial-security/InRelease
Host: security.ubuntu.com
User-Agent: Debian APT-HTTP/1.3 (1.2.24)
200 OK
Cache-Control: max-age=0, s-maxage=3300, proxy-revalidate
Connection: close
Date: Mon, 27 Nov 2017 05:48:29 GMT
Accept-Ranges: bytes
ETag: "18ef2-55eef9eebc700"
Server: Apache/2.4.18 (Ubuntu)
Content-Length: 102130
Expires: Mon, 27 Nov 2017 05:48:29 GMT
Last-Modified: Mon, 27 Nov 2017 04:49:00 GMT
Client-Date: Mon, 27 Nov 2017 05:48:29 GMT
Client-Peer: 91.189.88.162:80
Client-Response-Num: 1
однако, коротко, дальнейшие попытки отпечатков пальцев, что сервер за 91.189.88.162 удалось доказать, что движение-это подделки. TCPtraceroute и ССО как показывают ожидаемого маршрута, задержки http-это в пределах 5% маржи по сравнению с 91.189.88.161 (который является одним из тех шести и тоже находится в Лондоне). Nmap использует наводящие также предполагает, что я достигнув сервер канонические (если только это очень тщательно mitm атаки, которые, кажется, не тот случай). Я также не вижу никаких доказательств протокола BGP Перехват и путь:
show route protocol bgp 91.189.88.162 | no-more
inet.0: 688953 destinations, 2269968 routes (688942 active, 0 holddown, 4860 hidden)
+ = Active Route, - = Last Active, * = Both
91.189.88.0/24 *[BGP/170] 2w0d 17:19:51, MED 0, localpref 85, from 94.142.108.190
AS path: 3356 41231 I, validation-state: unverified
to 5.53.3.85 via ae11.0
to 5.53.3.79 via ae17.0
> to 5.53.3.223 via et-9/3/0.0
[BGP/170] 2w0d 17:20:31, MED 0, localpref 85, from 94.142.108.210
AS path: 3356 41231 I, validation-state: unverified
to 5.53.3.85 via ae11.0
to 5.53.3.79 via ae17.0
> to 5.53.3.223 via et-9/3/0.0
[BGP/170] 5d 02:34:24, MED 0, localpref 85, from 94.142.108.193
AS path: 3356 41231 I, validation-state: unverified
to 5.53.3.85 via ae11.0
to 5.53.3.79 via ae17.0
> to 5.53.3.223 via et-9/3/0.0
Tcptraceroute против порт 80:
george@workstation-04:/$ tcptraceroute -w1 91.189.88.162 80
Selected device enp0s3, address 10.4.4.119, port 47917 for outgoing packets
Tracing the path to 91.189.88.162 on TCP port 80 (http), 30 hops max
1 10.4.4.200 0.295 ms 0.220 ms 0.306 ms
2 192.168.25.1 1.938 ms 2.106 ms 1.883 ms
3 gvt-b-sr01.cta.gvt.net.br (179.184.120.13) 20.106 ms 22.429 ms 19.890 ms
4 201.22.69.21.dynamic.adsl.gvt.net.br (201.22.69.21) 20.087 ms 20.514 ms 20.716 ms
5 201.22.64.99.dynamic.dialup.gvt.net.br (201.22.64.99) 27.391 ms 28.520 ms 28.410 ms
6 213.140.39.82 27.475 ms 28.178 ms 27.646 ms
7 5.53.3.143 143.486 ms 142.026 ms 142.533 ms
8 * * *
9 ae-126-3512.edge5.london1.Level3.net (4.69.166.45) 271.503 ms 268.769 ms 268.715 ms
10 SOURCE-MANA.edge5.London1.Level3.net (212.187.138.82) 291.886 ms 271.616 ms 273.050 ms
11 yukinko.canonical.com (91.189.88.162) [open] 281.588 ms 273.400 ms 273.496 ms
кошка /и т. д./кв/источников.список.д/*
кстати, что бывает только виртуальную машину Ubuntu 16.04 у меня дома. Этот тип ошибки является беспрецедентным для любой из моих виртуальных машин, что делает его одним из ада случайно. Я сразу же приступил к снимок своего диска и списанные сказал ВМ для углубленного анализа, позже, только чтобы быть на безопасной стороне. Видимо, что-то сломалось Х11-сервера, который последний раз был обновлен 2017-11-07. Я займусь этим позже, но я не понимаю, как только это перенаправление может это вызвать.
следует отметить, что как только власть вернулась, я больше не сталкивается с этой проблемой, то есть, каждый запрос к шести ИПС вернется кодом http 200, как надо. Так что сегодня я держал заставляя мой модем, чтобы перезагрузить его подлинности PPPoE в целях получения нового динамического IP, а потом я бы снова проверить против тех, 6 IPS, чтобы увидеть, если это поведение вернется. 11 подключается позже, Бинго! 91.189.88.162 начал бросать мне эти http 302. Здесь находится список IP-адресов я использую после каждого повторного подключения (в случае, если есть ACL в интерфейсе каноническим, что, случается, целенаправленно манипулируя поведением на основе исходного IP по какой-то причине). Все, кроме первого и последнего не возникли проблемы с security.ubuntu.com:
[от f13]
я порылся в шесть ИПС Каноническом от другого провайдера в Бразилии, а также нескольких серверов по всему миру, всегда выполняет 5 запросов на IP-адрес назначения, чтобы исключить несоответствия. Никто из них не вернулся, что http 302. Когда-нибудь. Даже не один раз. В моем доме связь, однако все попытки против 91.189.88.162 дает протоколу http 302, если я пытаюсь за несколько секунд, в этом случае он вернет http 200, а если я в обход своего рода кэш, несмотря на то, что "Кэш-управления: нет-кэш" находится в 302 ответ. Странно, да?
я приглашаю всех, чтобы попытаться воспроизвести это поведение, пожалуйста, дайте мне знать, если вы столкнетесь с тем, что 302 редирект:
GET -USed -H "Host: security.ubuntu.com" -H "User-Agent: Debian APT-HTTP/1.3 (1.2.24)" http://91.189.88.162/ubuntu/dists/xenial-security/InRelease
я должен повторить, что этот IP-адрес назначения в моем случае (179.184.158.89) не принадлежит какой-либо компании в список зеркал убунту, я просто не понимаю, почему это должно служить мне файл InRelease. Этот адрес выделяется в небольшом ISP в другом государстве 400км+ отсюда.
суть в том, что если это намеренно создана для сбора статистики (которая даже не имеет особого смысла), можно с уверенностью сказать, это было крайне плохо реализован, потому что он довольно непредсказуем и работает только на одном из 6 IP-адресов (которые будут выбраны случайным образом или циклическим, поскольку они не могут управлять, как локальный DNS-клиент будет обрабатывать их и все 6 записей одинаковые ТТЛ). Это оставляет много места для спекуляций.
в случае, если кто-то хочет видеть его, вот он pcap файл, сделанный в ходе apt-получить обновление. Я отфильтровал все, но http-запросы для простоты, но я буду счастлив, чтобы загрузить все это в случае необходимости для отладки. Пакеты представляют интерес #6, #7 и #9:
и sha256: 40fc995e505ee2dcaf9aa3e23961a757f628224e3fca83d0deed6374ba9a3fbe
должно быть, я упускаю что-то... ЗЫ: я предполагаю, что это больше конфиденциальности вместо происшествия, в любом случае такое поведение недокументированных (не Google, а найти что-то подобное), поэтому я решил проверить с вами, просто чтобы быть на безопасной стороне.
[и D40]любая помощь будет высоко ценится! Спасибо, что так далеко! :)[!и D40]
X-OC-Service-Type указывает, что ответ пришел из узла Open Cache.
ISP используют серверы Open Cache, предоставляемые компаниями, такими как Qwilt, в качестве прозрачных кеширующих прокси в своих сетях. Ваш запрос был перехвачен их узлом маршрутизации и перенаправлен на узел кэша. У узла кэша не было кэшированного объекта ('re' = relay for miss, это было бы «lo» = local для хита), поэтому он теоретически перешел к исходному хосту + пути, который вы запросили, чтобы получить объект.
Возможно, это был своего рода вредоносный перехват, но я предполагаю, что это просто прокси-сервер ISP.
X-OC-Service-Type указывает, что ответ пришел из узла Open Cache.
ISP используют серверы Open Cache, предоставляемые компаниями, такими как Qwilt, в качестве прозрачных кеширующих прокси в своих сетях. Ваш запрос был перехвачен их узлом маршрутизации и перенаправлен на узел кэша. У узла кэша не было кэшированного объекта ('re' = relay for miss, это было бы «lo» = local для хита), поэтому он теоретически перешел к исходному хосту + пути, который вы запросили, чтобы получить объект.
Возможно, это был своего рода вредоносный перехват, но я предполагаю, что это просто прокси-сервер ISP.