请解释这行 Squid access.log:
Please, explain this lines of Squid access.log:
事情是“205.185.216.42”目前在我们的黑名单中,所以这行日志触发了 IPS。我不知道怎么读:
1239879844.243 2129 192.168.0.1 TCP_MISS/403 337 HEAD http://tlu.dl.delivery.mp.microsoft.com/filestreamingservice/files/b5faeacb-5da7-4c5a-8ebb-5c419d82781f? - HIER_DIRECT/205.185.216.42
1239879844.243 2729 192.168.0.2 TCP_TUNNEL/200 106460 CONNECT hwcdnssl.cedexis-test.com:443 - HIER_DIRECT/205.185.216.42 -
1239879844.243 1578 192.168.0.3 TCP_MISS/200 1317 GET http://apps.identrust.com/roots/dstrootcax3.p7c - HIER_DIRECT/192.35.177.64 application/x-pkcs7-mime
1239879844.243 1581 192.168.0.4 TCP_TUNNEL/200 87268 CONNECT script.hotjar.com:443 - HIER_DIRECT/205.185.216.42 -
我不明白为什么所有这些连接日志都包含 HIER_DIRECT/205.185.216.42?这是否意味着他们在主机上? Microsoft 在一台主机上有他们的更新服务器以及 hotjar.com?
Squid 日志手册说 HIER_DIRECT 表示 "The object was fetched from the origin server"。
请帮忙
您可能会阻止 205.185.216.42 但除非您这样做 ssl_bump (docs) 否则这些连接将被隧道化并且 squid 可能允许它们通过 https 格式如日志行所示;
TCP_TUNNEL/200
第一个条目在返回时似乎被阻止了;
TCP_MISS/403 - 并且 403 = 访问被拒绝。
现在,所有这些 IP 地址都相同的共同点是似乎托管它们的内容分发网络 hwcdn.net;
$ host script.hotjar.com
script.hotjar.com is an alias for cds.x9r8d8c9.hwcdn.net.
cds.x9r8d8c9.hwcdn.net has address 205.185.216.10
cds.x9r8d8c9.hwcdn.net has address 205.185.216.42
$ host hwcdnssl.cedexis-test.com
hwcdnssl.cedexis-test.com is an alias for cds.x9n3c7e4.hwcdn.net.
cds.x9n3c7e4.hwcdn.net has address 205.185.216.42
$ host tlu.dl.delivery.mp.microsoft.com
tlu.dl.delivery.mp.microsoft.com is an alias for 2-01-3cf7-000d.cdx.cedexis.net.
2-01-3cf7-000d.cdx.cedexis.net is an alias for cds.f7y3z2w8.hwcdn.net.
cds.f7y3z2w8.hwcdn.net has address 205.185.216.10
cds.f7y3z2w8.hwcdn.net has address 205.185.216.42
cds.x9n3c7e4.hwcdn.net has address 205.185.216.10
我在多个防火墙和主机中将这些条目标记为 'bad',但它们已被阻止。至于为什么您的客户会访问这些地址,我会在主机上寻找任何病毒恶意软件,如果不是这样,那么您的客户都有其他共同点,所有这些都从这些域中获取数据。 (也许那里正在加载一些 js 或其他 CDN 托管内容。
要深入挖掘,您需要从客户端捕获一些流量并检查有效负载,但在开始深入挖掘之前请检查 malware/viruses/etc,因为这可能会节省您一些时间!
事情是“205.185.216.42”目前在我们的黑名单中,所以这行日志触发了 IPS。我不知道怎么读:
1239879844.243 2129 192.168.0.1 TCP_MISS/403 337 HEAD http://tlu.dl.delivery.mp.microsoft.com/filestreamingservice/files/b5faeacb-5da7-4c5a-8ebb-5c419d82781f? - HIER_DIRECT/205.185.216.42
1239879844.243 2729 192.168.0.2 TCP_TUNNEL/200 106460 CONNECT hwcdnssl.cedexis-test.com:443 - HIER_DIRECT/205.185.216.42 -
1239879844.243 1578 192.168.0.3 TCP_MISS/200 1317 GET http://apps.identrust.com/roots/dstrootcax3.p7c - HIER_DIRECT/192.35.177.64 application/x-pkcs7-mime
1239879844.243 1581 192.168.0.4 TCP_TUNNEL/200 87268 CONNECT script.hotjar.com:443 - HIER_DIRECT/205.185.216.42 -
我不明白为什么所有这些连接日志都包含 HIER_DIRECT/205.185.216.42?这是否意味着他们在主机上? Microsoft 在一台主机上有他们的更新服务器以及 hotjar.com? Squid 日志手册说 HIER_DIRECT 表示 "The object was fetched from the origin server"。
请帮忙
您可能会阻止 205.185.216.42 但除非您这样做 ssl_bump (docs) 否则这些连接将被隧道化并且 squid 可能允许它们通过 https 格式如日志行所示;
TCP_TUNNEL/200
第一个条目在返回时似乎被阻止了;
TCP_MISS/403 - 并且 403 = 访问被拒绝。
现在,所有这些 IP 地址都相同的共同点是似乎托管它们的内容分发网络 hwcdn.net;
$ host script.hotjar.com
script.hotjar.com is an alias for cds.x9r8d8c9.hwcdn.net.
cds.x9r8d8c9.hwcdn.net has address 205.185.216.10
cds.x9r8d8c9.hwcdn.net has address 205.185.216.42
$ host hwcdnssl.cedexis-test.com
hwcdnssl.cedexis-test.com is an alias for cds.x9n3c7e4.hwcdn.net.
cds.x9n3c7e4.hwcdn.net has address 205.185.216.42
$ host tlu.dl.delivery.mp.microsoft.com
tlu.dl.delivery.mp.microsoft.com is an alias for 2-01-3cf7-000d.cdx.cedexis.net.
2-01-3cf7-000d.cdx.cedexis.net is an alias for cds.f7y3z2w8.hwcdn.net.
cds.f7y3z2w8.hwcdn.net has address 205.185.216.10
cds.f7y3z2w8.hwcdn.net has address 205.185.216.42
cds.x9n3c7e4.hwcdn.net has address 205.185.216.10
我在多个防火墙和主机中将这些条目标记为 'bad',但它们已被阻止。至于为什么您的客户会访问这些地址,我会在主机上寻找任何病毒恶意软件,如果不是这样,那么您的客户都有其他共同点,所有这些都从这些域中获取数据。 (也许那里正在加载一些 js 或其他 CDN 托管内容。
要深入挖掘,您需要从客户端捕获一些流量并检查有效负载,但在开始深入挖掘之前请检查 malware/viruses/etc,因为这可能会节省您一些时间!