请解释一下 Squid access.log 的这几行：

Question

“205.185.216.42”目前在我们的黑名单中，所以这行日志触发了 IPS。我不知道如何阅读它们：

1239879844.243 2129 192.168.0.1 TCP_MISS/403 337 HEAD http://tlu.dl.delivery.mp.microsoft.com/filestreamingservice/files/b5faeacb-5da7-4c5a-8ebb-5c419d82781f? - HIER_DIRECT/205.185.216.42
1239879844.243 2729 192.168.0.2 TCP_TUNNEL/200 106460 CONNECT hwcdnssl.cedexis-test.com:443 - HIER_DIRECT/205.185.216.42 - 
1239879844.243 1578 192.168.0.3 TCP_MISS/200 1317 GET http://apps.identrust.com/roots/dstrootcax3.p7c - HIER_DIRECT/192.35.177.64 application/x-pkcs7-mime 
1239879844.243 1581 192.168.0.4 TCP_TUNNEL/200 87268 CONNECT script.hotjar.com:443 - HIER_DIRECT/205.185.216.42 - 

我不明白为什么所有这些连接日志都包含 HIER_DIRECT/205.185.216.42？这是否意味着他们在主机上？微软的更新服务器与 hotjar.com 一起在一台主机上？ Squid 日志手册说 HIER_DIRECT 的意思是“对象是从源服务器获取的”。

请帮忙

Answer 1

您可能会阻止 205.185.216.42，但除非您这样做 ssl_bump (docs)，否则这些连接将被隧道化，并且 squid 可能允许它们通过 https 格式，如日志行所示；

TCP_TUNNEL/200

第一个条目在返回时似乎确实被阻止了；

TCP_MISS/403 - 和 403 = 拒绝访问。

现在所有这些 IP 地址都相同的共同点是内容交付网络似乎托管它们hwcdn.net；

$ host script.hotjar.com
script.hotjar.com is an alias for cds.x9r8d8c9.hwcdn.net.
cds.x9r8d8c9.hwcdn.net has address 205.185.216.10
cds.x9r8d8c9.hwcdn.net has address 205.185.216.42

$ host hwcdnssl.cedexis-test.com
hwcdnssl.cedexis-test.com is an alias for cds.x9n3c7e4.hwcdn.net.
cds.x9n3c7e4.hwcdn.net has address 205.185.216.42

$ host tlu.dl.delivery.mp.microsoft.com
tlu.dl.delivery.mp.microsoft.com is an alias for 2-01-3cf7-000d.cdx.cedexis.net.
2-01-3cf7-000d.cdx.cedexis.net is an alias for cds.f7y3z2w8.hwcdn.net.
cds.f7y3z2w8.hwcdn.net has address 205.185.216.10
cds.f7y3z2w8.hwcdn.net has address 205.185.216.42
cds.x9n3c7e4.hwcdn.net has address 205.185.216.10

我在几个防火墙和主机中将这些条目标记为“不良”，它们被阻止了。至于为什么您的客户会访问这些地址，我会在主机上寻找任何病毒恶意软件，如果不是这样，那么您的客户还有其他一些共同点，所有这些都从这些域中获取数据。 （可能会加载一些 js 或其他 CDN 托管内容。

要深入挖掘，您需要从客户端捕获一些流量并检查有效负载，但在开始挖掘过多之前请检查恶意软件/病毒/等，因为这可能会节省您一些时间！