当前在我们的黑名单中是“ 205.185.216.42”,因此此日志行会触发IPS。我不知道该怎么读:
1239879844.243 2129 192.168.0.1 TCP_MISS/403 337 HEAD http://tlu.dl.delivery.mp.microsoft.com/filestreamingservice/files/b5faeacb-5da7-4c5a-8ebb-5c419d82781f? - HIER_DIRECT/205.185.216.42
1239879844.243 2729 192.168.0.2 TCP_TUNNEL/200 106460 CONNECT hwcdnssl.cedexis-test.com:443 - HIER_DIRECT/205.185.216.42 -
1239879844.243 1578 192.168.0.3 TCP_MISS/200 1317 GET http://apps.identrust.com/roots/dstrootcax3.p7c - HIER_DIRECT/192.35.177.64 application/x-pkcs7-mime
1239879844.243 1581 192.168.0.4 TCP_TUNNEL/200 87268 CONNECT script.hotjar.com:443 - HIER_DIRECT/205.185.216.42 -
我不明白为什么所有这些连接日志都包含HIER_DIRECT / 205.185.216.42?这是否意味着他们在接待? Microsoft是否将它们的更新服务器与hotjar.com放在一台主机上? Squid日志手册说HIER_DIRECT的意思是“对象是从原始服务器中获取的”。
请帮助
答案 0 :(得分:1)
您可能正在阻止205.185.216.42,但是除非您执行ssl_bump(docs),否则这些连接将被建立隧道,并且鱿鱼可能允许它们以https格式通过通过日志行;
TCP_TUNNEL/200
第一个条目在返回时确实被阻止了;
TCP_MISS/403-和403 =访问被拒绝。
现在所有这些IP地址都相同的地方是内容交付网络,该网络似乎托管了它们hwcdn.net;
$ host script.hotjar.com
script.hotjar.com is an alias for cds.x9r8d8c9.hwcdn.net.
cds.x9r8d8c9.hwcdn.net has address 205.185.216.10
cds.x9r8d8c9.hwcdn.net has address 205.185.216.42
$ host hwcdnssl.cedexis-test.com
hwcdnssl.cedexis-test.com is an alias for cds.x9n3c7e4.hwcdn.net.
cds.x9n3c7e4.hwcdn.net has address 205.185.216.42
$ host tlu.dl.delivery.mp.microsoft.com
tlu.dl.delivery.mp.microsoft.com is an alias for 2-01-3cf7-000d.cdx.cedexis.net.
2-01-3cf7-000d.cdx.cedexis.net is an alias for cds.f7y3z2w8.hwcdn.net.
cds.f7y3z2w8.hwcdn.net has address 205.185.216.10
cds.f7y3z2w8.hwcdn.net has address 205.185.216.42
cds.x9n3c7e4.hwcdn.net has address 205.185.216.10
我在多个防火墙和主机中将那些条目标记为“不良”,它们被阻止了。至于您的客户端为什么要访问地址的原因,我会在主机上查找任何恶意软件的病毒,如果不是这样,则与您的客户端有一些共同点,那就是所有客户端都从这些域中获取数据。 (也许在那里正在加载一些js或其他CDN托管的内容。
要进行更深入的挖掘,您需要捕获来自客户端的一些流量并检查有效载荷,但在开始进行过多挖掘之前,请检查是否有恶意软件/病毒/等,因为这可能会节省一些时间!