我正在运行应用程序服务器,并稍后logging所有请求以进行分析。 昨天晚上我注意到的一个有趣的趋势是,我有一个来自得克萨斯州的访问者在FIOS与加利福尼亚州的bluecoat有相同的交通。
什么会导致stream量相同? 对于参观者提出的每一个要求,蓝色涂层都会在接到请求的几毫秒内完成。 如果是caching,为什么会有相同的请求? 它不会通过caching/代理在他们的最后,我只会看到代理请求?
我只是好奇,这是一个有趣的模式,显示DDoS攻击的相似之处,但资源less得多。 访问者在他们的电脑上是否有恶意软件?
任何其他的想法?
这很可能是BlueCoat的“WebPulse”服务。
当用户通过BlueCoat代理访问URL并且BlueCoat没有关于该URL的任何信息时,可以将其报告回“WebPulse”,然后扫描URL寻找恶意软件等。
第一个请求是用户访问URL,第二个是WebPulse在同一个URL上进行扫描。
这可能是由于各种问题:1 – 攻击者正试图混淆应用程序。 服务器caching使用隧道连接。
2 – 普通用户通过错误configuration的VPN +代理进行连接,该代理通过从每个站点发送副本来复制stream量。
3 – 一个S-NAT问题。
4 – 或者可能是你自己的代理问题(我不知道你有没有)
这听起来像是重播攻击
维基百科:
重播攻击是一种networking攻击,其中有效的数据传输被恶意地或欺骗性地重复或延迟。 这由发起者或对手拦截数据并重新发送,可能作为IP包replace(例如stream密码攻击)伪装攻击的一部分来执行。
他们正在使用网页共享服务,让人们“一起冲浪”。
我不太熟悉BlueCoat,但他们提供caching和过滤服务。 他们可能会为此目的而抓取您的内容。