¿Alguna forma de determinar si se está utilizando un equilibrador de carga en un sitio?

Question 1

EDITAR: Esto será muy difícil de hacer, si no imposible (no me gusta esa palabra), ya que el objetivo de tener un LoadBalancer es hacer que la interacción del cliente con él sea transparente y básicamente invisible. Dicho esto, aquí está mi publicación original:

Administro un equilibrador de carga para un sitio bastante grande. La única indicación que tienen nuestros visitantes de que están visitando un servidor de aplicaciones específico es que en realidad colocamos el nombre específico del servidor en la parte inferior de su página de inicio de sesión. Esto nos ayuda a solucionar los problemas que tienen.

Aparte de eso, sólo puedo pensar en una cosa que le "identificaría" en el hecho de que estamos ejecutando un balanceador de carga si no seguimos esa política. Así es como podrías saberlo, pero hará falta algo de suerte.

Digamos que el equilibrador de carga está configurado para reenviar todo el tráfico a un servidor u otro. O al menos reenvía el tráfico ssh entre un servidor a otro. Aunque probablemente no tenga credenciales de inicio de sesión para iniciar sesión en ninguno de los cuadros, ambos le proporcionarán una clave diferente si intenta iniciar sesión. Por lo tanto, si intenta iniciar sesión a través de ssh la primera vez, se le preguntará si Quieres aceptar la clave. Luego, si tiene suerte en la segunda o tercera solicitud, se le indicará que hay una clave diferente (es decir, es otra casilla). En un sistema *nix, a menudo se le alerta de que esto podría deberse a un ataque de hombre en el medio.

Por lo tanto, deben existir dos cosas:

SSH en servidor remoto
libra de ssh

Entonces, si obtiene dos claves en un período de tiempo relativamente corto, probablemente pueda asumir que el administrador del sistema no las ha cambiado, sino que simplemente se ha comunicado con dos máquinas separadas detrás de un equilibrador de carga.

Nota: hay otro elemento, pero es una toma real en la oscuridad. Podría intentar averiguar con qué bloque de IP se agrupó este servidor. Entonces digamos que en una de estas direcciones IP particulares está colocada en el LB (de hecho, está en una de estas IP).

El equilibrador de carga se coloca en XXX.XXX.XXX.5, por ejemplo. Luego, el LB se configurará para capturar todo el tráfico de al menos una dirección IP adicional. Por lo general, no reenvía tráfico para XXX.XXX.XXX.5 (el hardware comercial que tengo definitivamente no hace esto). Por lo tanto, puede contar con una dirección de administrador.

Si el LB está configurado para permitir el administrador de todos los hosts externos, es posible que pueda agregar algo como /admin a las direcciones IP hasta que encuentre el LB. Esto supone que el LB utiliza esa ruta para la administración.

Answer

EDITAR: Esto será muy difícil de hacer, si no imposible (no me gusta esa palabra), ya que el objetivo de tener un LoadBalancer es hacer que la interacción del cliente con él sea transparente y básicamente invisible. Dicho esto, aquí está mi publicación original:

Administro un equilibrador de carga para un sitio bastante grande. La única indicación que tienen nuestros visitantes de que están visitando un servidor de aplicaciones específico es que en realidad colocamos el nombre específico del servidor en la parte inferior de su página de inicio de sesión. Esto nos ayuda a solucionar los problemas que tienen.

Aparte de eso, sólo puedo pensar en una cosa que le "identificaría" en el hecho de que estamos ejecutando un balanceador de carga si no seguimos esa política. Así es como podrías saberlo, pero hará falta algo de suerte.

Digamos que el equilibrador de carga está configurado para reenviar todo el tráfico a un servidor u otro. O al menos reenvía el tráfico ssh entre un servidor a otro. Aunque probablemente no tenga credenciales de inicio de sesión para iniciar sesión en ninguno de los cuadros, ambos le proporcionarán una clave diferente si intenta iniciar sesión. Por lo tanto, si intenta iniciar sesión a través de ssh la primera vez, se le preguntará si Quieres aceptar la clave. Luego, si tiene suerte en la segunda o tercera solicitud, se le indicará que hay una clave diferente (es decir, es otra casilla). En un sistema *nix, a menudo se le alerta de que esto podría deberse a un ataque de hombre en el medio.

Por lo tanto, deben existir dos cosas:

SSH en servidor remoto
libra de ssh

Entonces, si obtiene dos claves en un período de tiempo relativamente corto, probablemente pueda asumir que el administrador del sistema no las ha cambiado, sino que simplemente se ha comunicado con dos máquinas separadas detrás de un equilibrador de carga.

Nota: hay otro elemento, pero es una toma real en la oscuridad. Podría intentar averiguar con qué bloque de IP se agrupó este servidor. Entonces digamos que en una de estas direcciones IP particulares está colocada en el LB (de hecho, está en una de estas IP).

El equilibrador de carga se coloca en XXX.XXX.XXX.5, por ejemplo. Luego, el LB se configurará para capturar todo el tráfico de al menos una dirección IP adicional. Por lo general, no reenvía tráfico para XXX.XXX.XXX.5 (el hardware comercial que tengo definitivamente no hace esto). Por lo tanto, puede contar con una dirección de administrador.

Si el LB está configurado para permitir el administrador de todos los hosts externos, es posible que pueda agregar algo como /admin a las direcciones IP hasta que encuentre el LB. Esto supone que el LB utiliza esa ruta para la administración.

Question 2

No existe una forma determinante, pero hay una gran cantidad de pistas que puedes buscar.
- mapearlo. nmap puede dar algunas pistas sobre el sistema operativo de cualquier dispositivo con el que esté hablando. Si dice BSD y la URL termina en .aspx, estás en algo.
- cookies: muchos balanceadores de carga agregan (o pueden agregar) cookies de sesión. Busque alguno extraño y búsquelo en Google, si llega a los foros de soporte de F5, viola.
- otros encabezados variados: muchos de ellos agregan encabezados basados en cosas como si un elemento se almacenó en caché o no (y otras razones). Busque encabezados interesantes y búsquelos en Google.
- en la página o enterrado en un comentario html, es común que los desarrolladores hayan agregado un "servido por web7" para ayudarlos a solucionar problemas.
- Solicite el mismo contenido rápidamente desde múltiples direcciones IP diferentes y compare los encabezados de ETag. Apache, de forma predeterminada, basa el etag en el inodo del sistema de archivos, y muchos administradores nunca logran ajustarlo, por lo que si ve un Etag diferente para el mismo contenido, puede adivinar que proviene de diferentes servidores (solo funciona con Apache, solo funciona si no está ajustado, sólo funciona si no es un sistema de archivos compartido).

A decir verdad, solo esperaría que todo eso te diera una respuesta significativa como 1 vez de cada 4; en general, no puedes saberlo a menos que, como dijo Catherine, "algo anda mal".

Answer

No existe una forma determinante, pero hay una gran cantidad de pistas que puedes buscar.
- mapearlo. nmap puede dar algunas pistas sobre el sistema operativo de cualquier dispositivo con el que esté hablando. Si dice BSD y la URL termina en .aspx, estás en algo.
- cookies: muchos balanceadores de carga agregan (o pueden agregar) cookies de sesión. Busque alguno extraño y búsquelo en Google, si llega a los foros de soporte de F5, viola.
- otros encabezados variados: muchos de ellos agregan encabezados basados en cosas como si un elemento se almacenó en caché o no (y otras razones). Busque encabezados interesantes y búsquelos en Google.
- en la página o enterrado en un comentario html, es común que los desarrolladores hayan agregado un "servido por web7" para ayudarlos a solucionar problemas.
- Solicite el mismo contenido rápidamente desde múltiples direcciones IP diferentes y compare los encabezados de ETag. Apache, de forma predeterminada, basa el etag en el inodo del sistema de archivos, y muchos administradores nunca logran ajustarlo, por lo que si ve un Etag diferente para el mismo contenido, puede adivinar que proviene de diferentes servidores (solo funciona con Apache, solo funciona si no está ajustado, sólo funciona si no es un sistema de archivos compartido).

A decir verdad, solo esperaría que todo eso te diera una respuesta significativa como 1 vez de cada 4; en general, no puedes saberlo a menos que, como dijo Catherine, "algo anda mal".

Question 3

El ID de IP cambia para cada pila de IP, por lo que el host de IP está "detrás" del equilibrador de carga. Una herramienta como hping le brindaría precisamente eso: esté atento a las ID que NO pertenecen al mismo rango o, incluso si es por alguna extraña coincidencia lo suficientemente cercana, que no aumentan:

hping3 www.yoursite.com -S -p 80 (or whatever)

Lo anterior detecta múltiples hosts detrás de LB "debajo" de la capa de aplicación.

Answer

El ID de IP cambia para cada pila de IP, por lo que el host de IP está "detrás" del equilibrador de carga. Una herramienta como hping le brindaría precisamente eso: esté atento a las ID que NO pertenecen al mismo rango o, incluso si es por alguna extraña coincidencia lo suficientemente cercana, que no aumentan:

hping3 www.yoursite.com -S -p 80 (or whatever)

Lo anterior detecta múltiples hosts detrás de LB "debajo" de la capa de aplicación.

Question 4

Si el balanceador de carga está haciendopersistencia basada en cookiesentonces mirar las cookies podría darte una pista.

Answer

Si el balanceador de carga está haciendopersistencia basada en cookiesentonces mirar las cookies podría darte una pista.

¿Alguna forma de determinar si se está utilizando un equilibrador de carga en un sitio?

Respuesta1

Respuesta2

Respuesta3

Respuesta4

información relacionada