时间戳

首页 > 解决方案 > 请解释一下 Squid access.log 的这几行:

logging - 请解释一下 Squid access.log 的这几行:

问题描述

事情是“205.185.216.42”目前在我们的黑名单中,所以这行日志触发了IPS。我不知道如何阅读它们:

1239879844.243 2129 192.168.0.1 TCP_MISS/403 337 HEAD http://tlu.dl.delivery.mp.microsoft.com/filestreamingservice/files/b5faeacb-5da7-4c5a-8ebb-5c419d82781f? - HIER_DIRECT/205.185.216.42
1239879844.243 2729 192.168.0.2 TCP_TUNNEL/200 106460 CONNECT hwcdnssl.cedexis-test.com:443 - HIER_DIRECT/205.185.216.42 - 
1239879844.243 1578 192.168.0.3 TCP_MISS/200 1317 GET http://apps.identrust.com/roots/dstrootcax3.p7c - HIER_DIRECT/192.35.177.64 application/x-pkcs7-mime 
1239879844.243 1581 192.168.0.4 TCP_TUNNEL/200 87268 CONNECT script.hotjar.com:443 - HIER_DIRECT/205.185.216.42 -

我不明白为什么所有这些连接日志都包含 HIER_DIRECT/205.185.216.42?这是否意味着他们在主机上?微软的更新服务器与 hotjar.com 一起在一台主机上?Squid 日志手册说 HIER_DIRECT 的意思是“对象是从源服务器获取的”。

请帮忙

标签: loggingsquid

解决方案

您可能会阻塞205.185.216.42,但除非您这样做ssl_bump文档),否则这些连接将被隧道化,并且 squid 可能允许它们以https日志行所示的格式传递;

TCP_TUNNEL/200

第一个条目在返回时确实似乎被阻止了。

TCP_MISS/403- 和403= 拒绝访问。

现在,所有这些 IP 地址都相同的共同点是似乎托管它们的内容交付网络hwcdn.net

$ host script.hotjar.com
script.hotjar.com is an alias for cds.x9r8d8c9.hwcdn.net.
cds.x9r8d8c9.hwcdn.net has address 205.185.216.10
cds.x9r8d8c9.hwcdn.net has address 205.185.216.42

$ host hwcdnssl.cedexis-test.com
hwcdnssl.cedexis-test.com is an alias for cds.x9n3c7e4.hwcdn.net.
cds.x9n3c7e4.hwcdn.net has address 205.185.216.42

$ host tlu.dl.delivery.mp.microsoft.com
tlu.dl.delivery.mp.microsoft.com is an alias for 2-01-3cf7-000d.cdx.cedexis.net.
2-01-3cf7-000d.cdx.cedexis.net is an alias for cds.f7y3z2w8.hwcdn.net.
cds.f7y3z2w8.hwcdn.net has address 205.185.216.10
cds.f7y3z2w8.hwcdn.net has address 205.185.216.42
cds.x9n3c7e4.hwcdn.net has address 205.185.216.10

我在几个防火墙和主机中将这些条目标记为“坏”,它们被阻止了。至于为什么您的客户访问这些地址,我会在主机上寻找任何病毒恶意软件,如果不是这样,那么您的客户还有其他一些共同点,所有这些都从这些域中获取数据。(可能会加载一些js或其他 CDN 托管内容。

要深入挖掘,您需要从客户端捕获一些流量并检查有效负载,但在开始挖掘太多之前请检查恶意软件/病毒/等,因为它可能会节省您一些时间!

推荐阅读