Я запускаю сервер приложений и позже регистрирую все запросы для анализа. Одна интересная тенденция, которую я заметил вчера вечером, заключалась в том, что посетитель из Техаса на FIOS делил идентичный трафик с bluecoat в Калифорнии.
Что может сделать трафик идентичным? На каждый запрос посетителя Bluecoat делал его впоследствии в течение миллисекунд после его запроса. Если это кеширование, зачем нужны одинаковые запросы? Разве он не прошел бы через кеш / прокси на их конце, и я бы увидел только проксированный запрос?
Мне просто любопытно, это интересный образец, который показывает сходство с DDoS-атакой, но с гораздо меньшими ресурсами. Возможно ли, что на компьютере посетителя было вредоносное ПО?
Есть другие идеи?
Скорее всего, это сервис "WebPulse" компании BlueCoat.
Когда пользователь обращается к URL-адресу через прокси-сервер BlueCoat, а BlueCoat не имеет никакой информации об этом URL-адресе, об этом можно сообщить в «WebPulse», который затем сканирует URL-адрес в поисках вредоносного ПО и т. Д.
Первым запросом будет пользователь, обращающийся к URL-адресу, вторым - WebPulse, сканирующий тот же URL-адрес.
Это может быть связано с различными проблемами: 1 - злоумышленник пытается запутать приложение. кеширование сервера с использованием туннелированных соединений.
2 - Обычный пользователь подключается через неправильно настроенный прокси-сервер VPN +, который дублирует трафик, отправляя копию с каждого сайта.
3 - Проблема с S-NAT.
4 - или может быть проблема с вашим собственным прокси (не знаю, какой у вас)
Это звучит как повторная атака
Википедия:
Атака с воспроизведением - это форма сетевой атаки, при которой действительная передача данных злонамеренно или обманным путем повторяется или задерживается. Это выполняется либо отправителем, либо злоумышленником, который перехватывает данные и повторно передает их, возможно, как часть маскарадной атаки путем подстановки IP-пакетов (например, атаки с использованием потокового шифрования).
Я не слишком знаком с BlueCoat, но они предлагают услуги кеширования и фильтрации. Они могут получать ваш контент для этой цели.
Они используют службу обмена веб-страницами, которая позволяет людям «путешествовать вместе».