CDN の背後にあるサイトがイランでホスティングされているか確認する「Boobs check」手法

 (twitter.com/hkashfi)
1 ポイント 投稿者 GN⁺ 2025-12-02 | 1件のコメント | WhatsAppで共有
  • CDN の背後にあるサイトがイラン国内のサーバーでホスティングされているかを確認する簡単なリクエスト方法として、curl -i https://domain/boobs.jpg リクエストを使用する
  • リクエスト結果が 403 Forbidden で、本文に 10.10.34.x 帯 IP が表示される場合、トラフィックがイラン国内のフィルタリングシステムを経由して応答されたことを意味する
  • これは、イランの基本的な検閲フィルタリングが適用された状態で発生する典型的なレスポンスパターンとして説明される
  • CDN があっても、対象サイトが実際に物理的にイラン国内にある場合には高い確率でこのパターンが現れる

関連記事

1件のコメント

 
GN⁺ 2025-12-02
Hacker Newsのコメント

  • この挙動は、リバースプロキシやCDNが次のように設定されている場合にのみ動作する
    Proxy/CDN: HTTPS(443) → オリジンサーバー: HTTP(80)
    たとえば Cloudflare の Flexible モード はこの方式
    オリジンサーバーが正しく TLS を構成していれば(自己署名証明書であっても)、この方法は動作しない
    つまり、アップストリーム接続が暗号化されていないときにのみ成功する
    テストするには次のコマンドで確認できる
    curl [http://www.digiboy.ir/boobs.jpg](http://www.digiboy.ir/boobs.jpg) -v

    • ああ、Cloudflare か。世界で最も広く配備された 復号装置 みたいなものだ
    • DigiNotar 事件のように、イランの National Information Network で承認された唯一のルート CA を使う場合にも動作する
    • これは事実ではないように思う。リバースプロキシやCDNは、オリジンサーバーが TLS を使っていてもリクエスト URL 全体を見ることができる(mTLS でない限り)
      フィルタリングがプロキシ/CDN側で行われているのか、オリジン側で行われているのかははっきりしない。どちらもあり得る
    • 私も似た構成を試したことがある
      client → LB(nginx) → LB で TLS 終端 → proxy_pass でバックエンド nginx に転送
      設定は意外なほど簡単だった。なぜ今でも HTTP を使うのか不思議だ
      自宅でもすべてのローカルドメインに Let's Encrypt 証明書 を適用している
      ちなみに nginx は HTTPS ロードバランシングで HTTP/2 をサポートしていないので、haproxy に乗り換えようとしている
    • Digiboy は企業向けソフトウェアの 宝庫 だ。そこで海賊版の HPE iLO ライセンスを手に入れた

  • HTTPS でこれがどう動作するのか気になる
    中間ホップはパスを見られないはずだが、これはイラン国境で TLS を終端してプロキシしているという意味なのか?
    だとすると、イラン内のすべてのサイトが HTTP だけでホストされていることになるが、それはもっと重大な意味を持つ
    あるいは認証局がイランの組織に プライベート証明書 を発行できないようになっているのだろうか? Let's Encrypt も含めて?

    • これは別の話をしている。問題はバックエンドサーバーがイラン国内にあるのか国外にあるのかを検出することだ
      TLS はバックエンドネットワークが URL を読むことを防がない
    • Cloudflare のアップストリームの多くは以前 平文 だった
      そのため、CF がクライアント–CF 間だけを TLS で包み、CF–サーバー間は平文のままだと批判されていた
    • そう。イランの National Information Network(NIN) では、合法なサイトは I.R.Iran CA を使うか、単に HTTP を使う
      NIN への登録では匿名性がほとんどないので、xkcd 538 はかなり的確な比喩だ

  • なぜ誰かがサイトがイランでホストされているかを知りたがるのか気になる

    • おそらく 外国のプロパガンダサイト を見分けるためだろう
      SNS に流れている知名度の低いニュースサイトのかなりの部分は、実際には外国の心理作戦サイトだ
      記事にある方法でイラン拠点のサイトをブラックリストに入れられる
    • 米国企業にとって、イランとの 取引は違法
    • 私も個人的にはあちらとビジネスしたくない
    • もしかすると 抗議活動関連の行動 が理由かもしれないが、正確には分からない

  • こういう応答を返す サンプルサイト があるのか気になる

    • 私も正常にリクエストが処理されるサンプルサイトが気になる ;)
    • 例として tehranpich.com がある。Cloudflare の背後にある
    • もしかしてインターネットに boobs の写真 があるかって聞いてるの?(冗談めかした反応)

  • ということは、イランは HTTP トラフィック全体の前段に リバースプロキシ を置いているのだろうか?
    iframe 内のWebページが何を表示しているのかも気になる

    • 標準的な DPI ファイアウォール なら、それくらいは十分可能だ。何の問題もない

  • 以前、友人たちと一緒に英語とアラビア語が混ざった「警告」画像を見たことがある
    イラン政府の 検閲部門 の警告のように見えたので、面白半分でフォーラムへのリクエストの 1% にその画像を出すよう設定していた :)

  • 記事を読んだが、何が起きたのかよく分からない。誰か説明してくれないか?

    • おそらくこういうことだろう
      GET [https://somedomain.com/boobs.jpg](https://somedomain.com/boobs.jpg) をリクエストすると
      イラン国外のサーバーでは 404(Not Found) を返すが、
      イラン国内のサーバーではファイアウォールが 「boobs」という単語を検知 してリクエストを遮断し、403(Forbidden) を返す
      つまり、Webサーバーまで届かずにファイアウォールで弾かれる

  • Scunthorpe 問題 が起きるのではないか?
    バードウォッチャーが「boobies」という鳥を検索したら、「boobs.jpg」のようにブロックされるのか気になる

  • ということは、10.x.x.x 帯域はイラン国内で 公的にルーティング されているのだろうか?
    なぜ政府が独自の IP 空間を使わないのかも不思議だ

    • IP アドレスは、米国以外では高価だ。
      おそらく一般的な企業向け フィルタリング製品 を流用しているのだろう。
      結局のところ、イランのインターネットは巨大なプライベートネットワークのように動作している
    • 私もいくつかのイランのサイトを試したが、403 も iframe も見なかった

  • このアイデアを発展させて、検閲体制でブロックされやすい人道的コンテンツ を集めた Wikipedia リンク一覧を作れないかと思う
    例: 天安門事件, 温家宝の汚職事件, Epstein email など
    Netflix の Fast.com のように、こうしたプロジェクトは検閲体制を彼ら自身の武器で逆用する行為になり得る