|
问题现象:AC是网桥部署的,内网有个服务器,AC审计到这个服务器访问了恶意域名,源端口是80,目的端口是随机的端口,目标IP是PC的IP,源IP是服务器的内网IP。 环境大致如下: 分析:以上日志因为源端口是80,所以可以肯定不是服务器主动去访问的恶意域名,因为主动访问其他端口的时候,源端口不可能使用80端口。 所以这个日志是公网用户访问服务器产生的。
通过数据包来分析具体过程: 这个包是AC的wan口抓的,可以看到确实是公网IP在访问服务器的IP,并且Host是个恶意域名。 而AC的审计原理是记录lan-wan的数据,而这个场景是wan-lan的数据,所以就会源目颠倒审计日志,于是就出现了以上日志了。
那大家肯定有疑问了,服务器注册的域名根本就不是这个,为什么访问这个域名的数据包会发到这边来呢? 以上的数据包和实验环境是通过实验重现出来的,因为在测试PC上写了个hosts,把恶意域名解析成客户的出口IP了,然后在测试PC直接访问这个恶意域名,经过本地hosts解析,就会发给客户的服务器了。
解决办法: 上述过程是实验重现出来的,但是客户那边确实发生了,应该不会有人这么无聊去写hosts制造问题,所以出现这种情况,可能是客户的公网IP被恶意利用了,在公网某些恶意域名被恶意DNS解析成了客户的公网IP。要解决这种问题,只能找运营商去处理了,例如换个公网IP。
另外也可以通过应用层控制设备把恶意域名拒绝,比如AC,实际上这个场景,AC已经把恶意域名拦截了,因为服务器并没有收到这个HTTP请求包。 | 
发表于 2024-6-1 09:36
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
