AC审计到内网服务器访问恶意域名

问题现象：AC是网桥部署的，内网有个服务器，AC审计到这个服务器访问了恶意域名，源端口是80，目的端口是随机的端口，目标IP是PC的IP，源IP是服务器的内网IP。

环境大致如下：

分析：以上日志因为源端口是80，所以可以肯定不是服务器主动去访问的恶意域名，因为主动访问其他端口的时候，源端口不可能使用80端口。

所以这个日志是公网用户访问服务器产生的。

通过数据包来分析具体过程：

这个包是AC的wan口抓的，可以看到确实是公网IP在访问服务器的IP，并且Host是个恶意域名。

而AC的审计原理是记录lan-wan的数据，而这个场景是wan-lan的数据，所以就会源目颠倒审计日志，于是就出现了以上日志了。

那大家肯定有疑问了，服务器注册的域名根本就不是这个，为什么访问这个域名的数据包会发到这边来呢？

以上的数据包和实验环境是通过实验重现出来的，因为在测试PC上写了个hosts，把恶意域名解析成客户的出口IP了，然后在测试PC直接访问这个恶意域名，经过本地hosts解析，就会发给客户的服务器了。

解决办法：

上述过程是实验重现出来的，但是客户那边确实发生了，应该不会有人这么无聊去写hosts制造问题，所以出现这种情况，可能是客户的公网IP被恶意利用了，在公网某些恶意域名被恶意DNS解析成了客户的公网IP。要解决这种问题，只能找运营商去处理了，例如换个公网IP。

另外也可以通过应用层控制设备把恶意域名拒绝，比如AC，实际上这个场景，AC已经把恶意域名拦截了，因为服务器并没有收到这个HTTP请求包。

干货满满，感谢楼主的分享！

已关注楼主，分享的经验对我很有帮助！

都是实战经验，这波分享很强势

写的很详细，感谢楼主的分享

楼主这次的记录非常实用，简直就是在楼主强大的知识体系下，衍生出来的生活小技巧。为你点赞~

看楼主的分享，感觉楼主是一个举一反三的人，但总感觉意犹未尽，期待看到楼主更多的帖子！

楼楼的建议很实用，顶顶~希望有更多人可以看到。

楼楼的建议很实用，顶顶~希望有更多人可以看到。

可以通过危险情报验证恶意域名那个时间段是否指向客户的公网IP