本帖最后由 网工07 于 2023-8-11 19:48 编辑
每天都有1-3次这个从外网来的ip访问非法网站,都被拒绝了。
最终确定这是利用防火墙拒绝行为的middle box攻击,虽然这次通过ip反查过去攻击者是正规组织,他们说发这几个包纯粹为了扫描和统计。
大概是 攻击者伪造源ip(运营商不检测源ip合法性),去给防火墙发http get,防火墙检测到了非法网站就会给受害者源ip回一个流量更大网页报文(网页内容一般是:禁止访问这个网页,警告访问者),相当于放大了攻击者的流量。
af的问题是这是从外网来的非法网站的访问,不识别为ddos,而是应用非法网站过滤的策略,正中了套。如果设置了警告网页而且这个警告网页还往“源ip"回。那攻击就实现了 |