怯场——利用？ - 对相同文件的重复请求

Question

我从用户代理“stagefright”收到以下请求，请求 web 文件夹中的一些 mp3 文件，IP 碰巧是唯一的，但文件名总是重复的（大约 15 个文件被请求），这些大多来自较旧的 Android版本设备，但现在我也注意到了 Android 10。

我已经使用.htaccess 阻止了对用户代理“stagefright”的访问，但是当它引起我的注意时，它已经消耗了大量带宽，我并没有被它所困扰，因为它返回 403，但有人能说明一下吗对这些类型的请求？这已经持续了一年多，并且仅针对 MP3 文件请求。

此外，对于同一文件，一秒钟内会有多次请求突发。请参阅下面的日志摘录。

84.65.126.81 - - [23/Apr/2020:15:53:37 +0400] "GET /xxx.mp3 HTTP/1.1" 403 221 "-" "stagefright/1.2 (Linux;Android 10)"
47.184.9.3 - - [23/Apr/2020:15:53:37 +0400] "GET /xxx.mp3 HTTP/1.1" 403 227 "-" "stagefright/1.2 (Linux;Android 8.1.0)"
73.90.23.108 - - [23/Apr/2020:15:53:37 +0400] "GET /SS007.mp3 HTTP/1.1" 403 227 "-" "Samsung SM-T350 stagefright/Beyonce/1.1.9 (Linux;Android 7.1.1)"
47.184.9.3 - - [23/Apr/2020:15:53:37 +0400] "GET /SS043.mp3 HTTP/1.1" 403 227 "-" "stagefright/1.2 (Linux;Android 8.1.0)"
84.65.126.81 - - [23/Apr/2020:15:53:37 +0400] "GET /yyy.mp3 HTTP/1.1" 403 221 "-" "stagefright/1.2 (Linux;Android 10)"
84.65.126.81 - - [23/Apr/2020:15:53:37 +0400] "GET /yyy.mp3 HTTP/1.1" 403 221 "-" "stagefright/1.2 (Linux;Android 10)"
47.184.9.3 - - [23/Apr/2020:15:53:37 +0400] "GET /SS043.mp3 HTTP/1.1" 403 227 "-" "stagefright/1.2 (Linux;Android 8.1.0)"
73.90.23.108 - - [23/Apr/2020:15:53:38 +0400] "GET /SS007.mp3 HTTP/1.1" 403 227 "-" "Samsung SM-T350 stagefright/Beyonce/1.1.9 (Linux;Android 7.1.1)"
84.65.126.81 - - [23/Apr/2020:15:53:38 +0400] "GET /yyy.mp3 HTTP/1.1" 403 221 "-" "stagefright/1.2 (Linux;Android 10)"
47.184.9.3 - - [23/Apr/2020:15:53:38 +0400] "GET /SS043.mp3 HTTP/1.1" 403 227 "-" "stagefright/1.2 (Linux;Android 8.1.0)"
84.65.126.81 - - [23/Apr/2020:15:53:38 +0400] "GET /yyy.mp3 HTTP/1.1" 403 221 "-" "stagefright/1.2 (Linux;Android 10)"
47.184.9.3 - - [23/Apr/2020:15:53:38 +0400] "GET /SS043.mp3 HTTP/1.1" 403 227 "-" "stagefright/1.2 (Linux;Android 8.1.0)"
84.65.126.81 - - [23/Apr/2020:15:53:38 +0400] "GET /yyy.mp3 HTTP/1.1" 403 221 "-" "stagefright/1.2 (Linux;Android 10)"
84.65.126.81 - - [23/Apr/2020:15:53:38 +0400] "GET /yyy.mp3 HTTP/1.1" 403 221 "-" "stagefright/1.2 (Linux;Android 10)"
73.90.23.108 - - [23/Apr/2020:15:53:38 +0400] "GET /SS007.mp3 HTTP/1.1" 403 227 "-" "Samsung SM-T350 stagefright/Beyonce/1.1.9 (Linux;Android 7.1.1)"
47.184.9.3 - - [23/Apr/2020:15:53:38 +0400] "GET /SS043.mp3 HTTP/1.1" 403 227 "-" "stagefright/1.2 (Linux;Android 8.1.0)"
47.184.9.3 - - [23/Apr/2020:15:53:39 +0400] "GET /SS043.mp3 HTTP/1.1" 403 227 "-" "stagefright/1.2 (Linux;Android 8.1.0)"
84.65.126.81 - - [23/Apr/2020:15:53:39 +0400] "GET /yyy.mp3 HTTP/1.1" 403 221 "-" "stagefright/1.2 (Linux;Android 10)"
84.65.126.81 - - [23/Apr/2020:15:53:39 +0400] "GET /yyy.mp3 HTTP/1.1" 403 221 "-" "stagefright/1.2 (Linux;Android 10)"
73.90.23.108 - - [23/Apr/2020:15:53:39 +0400] "GET /SS007.mp3 HTTP/1.1" 403 227 "-" "Samsung SM-T350 stagefright/Beyonce/1.1.9 (Linux;Android 7.1.1)"

Answer 1

在调试向 HTML5 播放器元素提供音频时，我遇到了这个怯场请求。这不是攻击，而是 Chrome 为 Android 创建的有意请求。另外，不要与Stagefright bug 混淆。

据this site等消息来源：

此用户代理属于 stagefright。这个多媒体播放器运行在 Android，它在通用移动设备上使用 WebKit 呈现 Web 内容 电话。

我可以确认，每当 Chrome-Android 浏览器尝试预加载、读取元数据或播放来自嵌入 HTML5 标记的音频时，浏览器都会使用这个不起眼的stagefright/1.2 用户代理。该请求不包括您的会话 cookie，因此您无法检查用户是否使用传统的 cookie 凭据登录。

如果您的服务器阻止请求（通过发送非 HTTP 200 响应代码），Chrome 会保留并每隔几秒重新发送 stagefright/1.2 请求几十次 ，直到它最终放弃。这种类似恶意软件的行为来自Google Chrome for Android，这是事实上的通用浏览器，每天在数以万计的 Android 设备中预装和发货。

整个怯场请求都非常模糊，有关它的文档等于 NULL。如果有人能提供 来自 Google/Android 开发者的官方文档的链接，那就太好了。

正如甘道夫所说：问题。需要回答的问题：

• 为什么要发送这个伪造的用户代理而不是真实的？
• 它究竟期望收到什么？
• 为什么它甚至不包括会话 cookie？
• 为什么在“开发者工具网络”选项卡中隐藏了请求？你根本找不到那里。

我只能得出结论，在您的情况下，有人只是试图使用嵌入的 HTML5 音频标签从其他网站提供您的 MP3 文件。由于您的阻止政策，这对 Chrome 用户来说会失败，但它（肯定）在其他浏览器上会成功。

Answer 2

找不到此传入流量的根本原因，但使用 ModSecurity 在用户代理中使用 stagefright 阻止所有流量