查找通过代理发出 DNS 请求的客户端

查找通过代理发出 DNS 请求的客户端

我正在尝试追踪一个令我抓狂的问题。

我们正在使用 Cisco Umbrella 提供 Web 内容过滤。我看到来自一个 IP 地址的多个不适当/恶意软件站点被拦截,我负责调查该 IP 地址。我在我们的 DNS 服务器上打开了 DNS 调试,发现是内部 Artica 代理发出了请求(该代理在我开始工作前几年就设置好了)。

我已经从 Artica 代理导出了日志,希望能够找到通过它请求站点的客户端的 IP 地址,但是日志中根本没有任何站点!

有没有人使用过 Artica,或者有其他方法可以找到罪魁祸首?我想我可以在代理前面放一些类似 wireshark 的东西,然后这样查看?

谢谢马特

答案1

我认为我可以将类似 wireshark 的东西放在代理前面并这样看?

如果您有机会使用 wireshark / tcpdump 进行跟踪,请X-Forwarded-For在 HTTP 流中搜索 Header。如果幸运的话,下游代理会在那里记录客户端的 IP 地址。

相关内容