相同的流量

相同的流量

我正在运行一个应用服务器并记录所有请求以供日后分析。昨晚我注意到一个有趣的趋势,我在 FIOS 上有一个来自德克萨斯州的访问者与加利福尼亚州的 bluecoat 共享相同的流量。

什么会导致流量相同?对于访问者发出的每个请求,bluecoat 都会在发出请求后的几毫秒内发出一个请求。如果是缓存,为什么会有相同的请求?它不会通过他们那边的缓存/代理吗?而我只会看到代理请求?

我只是好奇,这是一个有趣的模式,显示出 DDoS 攻击的相似之处,但资源要少得多。访客的计算机上是否有恶意软件?

还有其他想法吗?

答案1

这很可能是 BlueCoat 的“WebPulse”服务。

当用户通过 BlueCoat 代理访问 URL 并且 BlueCoat 没有关于该 URL 的任何信息时,它会向“WebPulse”报告,然后 WebPulse 会扫描该 URL 以查找恶意软件等。

第一个请求是用户访问 URL,第二个请求是 WebPulse 对同一 URL 进行扫描。

答案2

这可能是由于各种问题造成的:1 - 攻击者试图使用隧道连接混淆应用程序服务器缓存。

2 – 普通用户通过错误配置的 VPN+代理进行连接,通过从每个站点发送副本来复制流量。

3 – S-NAT 问题。

4 - 或者可能是您自己的代理的问题(我不知道您是否有)

答案3

这听起来像重放攻击

维基百科:

重放攻击是一种网络攻击,即恶意或欺诈性地重复或延迟有效数据传输。重放攻击由发起者或拦截数据并重新传输的对手实施,可能是通过 IP 数据包替换进行伪装攻击(例如流密码攻击)。

答案4

我不太熟悉 BlueCoat,但他们确实提供缓存和过滤服务。他们可能会出于此目的抓取您的内容。

相关内容