Назад | Перейти на главную страницу

Идентичный трафик

Я запускаю сервер приложений и позже регистрирую все запросы для анализа. Одна интересная тенденция, которую я заметил вчера вечером, заключалась в том, что посетитель из Техаса на FIOS делил идентичный трафик с bluecoat в Калифорнии.

Что может сделать трафик идентичным? На каждый запрос посетителя Bluecoat делал его впоследствии в течение миллисекунд после его запроса. Если это кеширование, зачем нужны одинаковые запросы? Разве он не прошел бы через кеш / прокси на их конце, и я бы увидел только проксированный запрос?

Мне просто любопытно, это интересный образец, который показывает сходство с DDoS-атакой, но с гораздо меньшими ресурсами. Возможно ли, что на компьютере посетителя было вредоносное ПО?

Есть другие идеи?

Скорее всего, это сервис "WebPulse" компании BlueCoat.

Когда пользователь обращается к URL-адресу через прокси-сервер BlueCoat, а BlueCoat не имеет никакой информации об этом URL-адресе, об этом можно сообщить в «WebPulse», который затем сканирует URL-адрес в поисках вредоносного ПО и т. Д.

Первым запросом будет пользователь, обращающийся к URL-адресу, вторым - WebPulse, сканирующий тот же URL-адрес.

Это может быть связано с различными проблемами: 1 - злоумышленник пытается запутать приложение. кеширование сервера с использованием туннелированных соединений.

2 - Обычный пользователь подключается через неправильно настроенный прокси-сервер VPN +, который дублирует трафик, отправляя копию с каждого сайта.

3 - Проблема с S-NAT.

4 - или может быть проблема с вашим собственным прокси (не знаю, какой у вас)

Это звучит как повторная атака

Википедия:

Атака с воспроизведением - это форма сетевой атаки, при которой действительная передача данных злонамеренно или обманным путем повторяется или задерживается. Это выполняется либо отправителем, либо злоумышленником, который перехватывает данные и повторно передает их, возможно, как часть маскарадной атаки путем подстановки IP-пакетов (например, атаки с использованием потокового шифрования).

Я не слишком знаком с BlueCoat, но они предлагают услуги кеширования и фильтрации. Они могут получать ваш контент для этой цели.

Они используют службу обмена веб-страницами, которая позволяет людям «путешествовать вместе».