攻击源IP识别问题
2023-03-02 12:58:17 32 举报攻击源IP识别问题
作者其他创作
大纲/内容
SYSLOG
自动封禁IP队列
E3.旁路设备如流量检测
谛听探针
接入层交换机
探针开启业务:192.168.10.200:80问题1:攻击者A攻击流量经过层层转发到探针时候如果使用XFF头第一层作为攻击源,攻击者有可能伪造也有可能使用代理。问题2:设备E可能会对探针健康检查定期访问探针TCP80端口导致探针看到的攻击事件和端口访问事件日志合并为一起。
D.172.28.3.2
proxy01
SSL
A2.47.93.102.251
镜像流量
E.192.168.10.3
firewall
B.132.100.100.10
业务区weblogic server
E2.旁路设备如流量检测
内网侧
DMZ区nginx server
网络边界
E1.串联设备WAF
A1.218.94.85.142
client
proxyN,可能是IDC出口
F5
C.172.10.10.2
互联网侧
F.SOC平台
0 条评论
下一页
