我正在运行一个应用服务器并记录所有请求以供日后分析。昨晚我注意到一个有趣的趋势,我在 FIOS 上有一个来自德克萨斯州的访问者与加利福尼亚州的 bluecoat 共享相同的流量。
什么会导致流量相同?对于访问者发出的每个请求,bluecoat 都会在发出请求后的几毫秒内发出一个请求。如果是缓存,为什么会有相同的请求?它不会通过他们那边的缓存/代理吗?而我只会看到代理请求?
我只是好奇,这是一个有趣的模式,显示出 DDoS 攻击的相似之处,但资源要少得多。访客的计算机上是否有恶意软件?
还有其他想法吗?
答案1
这很可能是 BlueCoat 的“WebPulse”服务。
当用户通过 BlueCoat 代理访问 URL 并且 BlueCoat 没有关于该 URL 的任何信息时,它会向“WebPulse”报告,然后 WebPulse 会扫描该 URL 以查找恶意软件等。
第一个请求是用户访问 URL,第二个请求是 WebPulse 对同一 URL 进行扫描。
答案2
这可能是由于各种问题造成的:1 - 攻击者试图使用隧道连接混淆应用程序服务器缓存。
2 – 普通用户通过错误配置的 VPN+代理进行连接,通过从每个站点发送副本来复制流量。
3 – S-NAT 问题。
4 - 或者可能是您自己的代理的问题(我不知道您是否有)
答案3
这听起来像重放攻击
维基百科:
重放攻击是一种网络攻击,即恶意或欺诈性地重复或延迟有效数据传输。重放攻击由发起者或拦截数据并重新传输的对手实施,可能是通过 IP 数据包替换进行伪装攻击(例如流密码攻击)。
答案4
我不太熟悉 BlueCoat,但他们确实提供缓存和过滤服务。他们可能会出于此目的抓取您的内容。