# CDN 뒤에 있는 사이트가 이란에서 호스팅되는지 확인하는 “Boobs check” 기법

> Clean Markdown view of GeekNews topic #24758. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=24758](https://news.hada.io/topic?id=24758)
- GeekNews Markdown: [https://news.hada.io/topic/24758.md](https://news.hada.io/topic/24758.md)
- Type: GN+
- Author: [neo](https://news.hada.io/@neo)
- Published: 2025-12-02T06:40:15+09:00
- Updated: 2025-12-02T06:40:15+09:00
- Original source: [twitter.com/hkashfi](https://twitter.com/hkashfi/status/1995109785679573167)
- Points: 1
- Comments: 1

## Topic Body

- CDN 뒤에 있는 사이트가 **이란 내부 서버에서 호스팅되는지 확인하는 간단한 요청 방법**으로, `curl -i https://domain/boobs.jpg` 요청을 사용  
- 요청 결과가 **403 Forbidden** 이고 본문에 **10.10.34.x 대역 IP**가 나타나면, **트래픽이 이란 내부 필터링 시스템을 거쳐 응답된 것**을 의미함  
- 이는 이란의 **기본적인 검열 필터링이 적용된 상태에서 발생하는 전형적인 응답 패턴**으로 설명됨  
- CDN이 있더라도 대상 사이트가 **실제 물리적으로 이란 내부에 있을 경우 높은 확률로 이 패턴이 나타남**

## Comments



### Comment 47055

- Author: neo
- Created: 2025-12-02T06:40:16+09:00
- Points: 1

###### [Hacker News 의견](https://news.ycombinator.com/item?id=46100323) 
- 이 동작은 리버스 프록시나 CDN이 다음과 같이 설정되어 있을 때만 작동함  
  Proxy/CDN: HTTPS(443) → 원본 서버: HTTP(80)  
  예를 들어 Cloudflare의 **Flexible 모드**가 이런 방식임  
  원본 서버가 올바른 TLS 구성을 사용하면(심지어 **self-signed 인증서**라도) 이 방법은 작동하지 않음  
  즉, 업스트림 연결이 암호화되지 않았을 때만 성공함  
  테스트하려면 다음 명령으로 확인 가능함  
  `curl [http://www.digiboy.ir/boobs.jpg](http://www.digiboy.ir/boobs.jpg) -v`
  - 아, Cloudflare라니. 세상에서 가장 널리 배포된 **암호 해제기** 같음
  - DigiNotar 사건처럼, 이란의 **National Information Network**에서 승인한 유일한 루트 CA를 사용할 때도 작동함
  - 이건 사실이 아닌 것 같음. 리버스 프록시나 CDN은 원본 서버가 TLS를 사용하더라도 전체 요청 URL을 볼 수 있음 (mTLS가 아니라면)  
    필터링이 프록시/CDN에서 일어나는지, 원본에서 일어나는지는 확실치 않음. 둘 다 가능함
  - 나도 비슷한 구성을 해봤음  
    client → LB(nginx) → LB에서 TLS 종료 → proxy_pass로 백엔드 nginx로 전달  
    설정이 의외로 간단했음. 왜 아직도 HTTP를 쓰는지 의문임  
    집에서도 모든 로컬 도메인에 **Let's Encrypt 인증서**를 적용했음  
    참고로 nginx는 HTTPS 로드밸런싱에서 HTTP/2를 지원하지 않아서 **haproxy**로 바꾸려는 중임
  - Digiboy는 기업용 소프트웨어의 **보물창고**임. 거기서 불법 복제된 HPE iLO 라이선스를 구했음

- HTTPS에서는 이런 방식이 어떻게 작동하는지 궁금함  
  중간 홉들이 경로를 볼 수 없어야 하는데, 이게 이란 국경에서 TLS를 종료하고 프록시하는 걸 의미하는 건가?  
  그렇다면 이란 내 모든 사이트가 HTTP로만 호스팅된다는 뜻인데, 그건 훨씬 큰 의미를 가짐  
  혹시 인증기관들이 이란 조직에 **사설 인증서**를 발급하지 못하게 되어 있는 걸까? Let's Encrypt도 포함해서?
  - 이건 다른 걸 말하는 것임. 백엔드 서버가 이란 내부인지 외부인지 감지하는 문제임  
    TLS는 백엔드 네트워크가 URL을 읽는 걸 막지 않음
  - Cloudflare 업스트림 중 상당수가 예전에는 **평문(plaintext)** 이었음  
    그래서 CF가 클라이언트–CF 구간만 TLS로 감싸고 CF–서버 구간은 평문이라 비판받았음
  - 맞음. 이란의 **National Information Network(NIN)** 에서는 합법적인 사이트들이 I.R.Iran CA를 쓰거나 그냥 HTTP를 씀  
    NIN 등록이 익명성이 거의 없기 때문에, [xkcd 538](https://xkcd.com/538/)이 꽤 적절한 비유임

- 어떤 이유로 누군가가 사이트가 이란에 호스팅되어 있는지 알고 싶어 하는지 궁금함
  - 아마도 **외국 선전 사이트**를 판별하려는 목적일 것임  
    SNS에 떠도는 잘 알려지지 않은 뉴스 사이트 중 상당수가 실제로는 외국의 심리전(psy-op) 사이트임  
    기사에 나온 방법으로 이란 기반 사이트를 블랙리스트에 넣을 수 있음
  - 미국 기업은 이란과 **거래가 불법**임
  - 나도 개인적으로는 그쪽과 비즈니스하고 싶지 않음
  - 혹시 **시위 관련 행동** 때문일지도 모르겠지만, 정확히는 모르겠음

- 이런 응답을 반환하는 **샘플 사이트**가 있는지 궁금함
  - 나도 성공적으로 요청이 처리되는 샘플 사이트가 궁금함 ;)
  - 예시로 [tehranpich.com](https://tehranpich.com)이 있음. Cloudflare 뒤에 있음
  - 혹시 인터넷에 **boobs 사진**이 있냐는 질문인가? (농담조로 반응함)

- 그렇다면 이란이 HTTP 트래픽 전체 앞단에 **리버스 프록시**를 두고 있는 걸까?  
  iframe 안의 웹페이지가 어떤 내용인지도 궁금함
  - 표준 **DPI 방화벽**이면 그 정도는 충분히 가능함. 아무 문제 없음

- 예전에 친구들과 함께 영어와 아랍어가 섞인 “경고” 이미지를 본 적이 있음  
  이란 정부의 **검열 부서** 경고처럼 보였는데, 재미로 포럼 요청의 1%에 그 이미지를 띄우게 설정했었음 :)

- 기사를 읽었는데 무슨 일이 일어난 건지 잘 모르겠음. 누가 설명 좀 해줄 수 있을까?
  - 아마 이런 식일 것임  
    `GET [https://somedomain.com/boobs.jpg](https://somedomain.com/boobs.jpg)` 요청을 하면  
    이란 외부 서버에서는 404(Not Found)를 반환하지만,  
    이란 내부 서버에서는 방화벽이 **“boobs”라는 단어를 감지**하고 요청을 차단해 403(Forbidden)을 반환함  
    즉, 웹서버까지 전달되지 않고 방화벽에서 걸러짐

- 혹시 **Scunthorpe 문제**가 생기는 건 아닐까?  
  조류 관찰가들이 ‘boobies’라는 새를 검색하면 ‘boobs.jpg’처럼 차단되는 건지 궁금함

- 그렇다면 10.x.x.x 대역이 이란 내부에서 **공용 라우팅**되는 걸까?  
  왜 정부가 자체 IP 공간을 사용하지 않는지도 의문임
  - IP 주소는 미국이 아닌 이상 비쌈.  
    아마도 일반 기업용 **필터링 제품**을 재활용하는 것일 수 있음.  
    결국 이란 인터넷은 거대한 사설망처럼 동작함
  - 나도 몇몇 이란 사이트를 테스트했는데, 403도 iframe도 보지 못했음

- 이런 아이디어를 확장해서, **검열 정권에서 차단될 가능성이 높은 인도주의 콘텐츠**를 모은 위키피디아 링크 목록을 만들면 어떨까 생각함  
  예: [톈안먼 사건](https://en.wikipedia.org/wiki/1989_Tiananmen_Square_protests_and_massacre), [원자바오 부패 사건](https://www.nytimes.com/2012/10/26/business/global/family-of-wen-jiabao-holds-a-hidden-fortune-in-china.html?pagewanted=all), [Epstein 이메일](https://jmail.world) 등  
  **Netflix의 Fast.com**처럼, 이런 프로젝트는 검열 체제를 그들 스스로의 무기로 바꾸는 행위가 될 수 있음