Estou executando um servidor de aplicativos e registrando todas as solicitações para fins de análise posteriormente. Uma tendência interessante que eu notei na noite passada foi que eu tive uma visita do Texas no FIOS que compartilhava tráfego idêntico com bluecoat na Califórnia.
O que faria com que o tráfego fosse idêntico? Para cada pedido que o visitante fez, o bluecoat fez um pedido subsequente em milissegundos do seu pedido. Se estiver em cache, por que haveria solicitações idênticas? Não passaria pelo cache / proxy em seu final, e eu veria apenas a solicitação por proxy?
Estou apenas curioso, este é um padrão interessante que mostra semelhanças de um ataque DDoS, mas com muito menos recursos. É possível que o visitante tenha malware no computador?
Alguma outra ideia?
Este é provavelmente o serviço "WebPulse" da BlueCoat.
Quando um usuário acessa um URL por meio de um BlueCoat Proxy e o BlueCoat não tem nenhuma informação sobre esse URL, ele pode ser reportado de volta ao "WebPulse", que então verifica o URL procurando por malware, etc.
O primeiro pedido será o usuário que acessa o URL, o segundo é o WebPulse fazendo sua varredura no mesmo URL.
Pode ser devido a vários problemas: 1 - Um invasor está tentando confundir o aplicativo. cache do servidor usando conexões encapsuladas.
2 - Um usuário normal está se conectando através de um VPN + proxy mal configurado que duplica o tráfego enviando uma cópia de cada site.
3 - Uma questão S-NAT.
4 - ou pode ser um problema com seu próprio proxy (não sei se você tem)
Isso soa como um ataque de repetição
Wikipedia:
A replay attack is a form of network attack in which a valid data transmission is maliciously or fraudulently repeated or delayed. This is carried out either by the originator or by an adversary who intercepts the data and retransmits it, possibly as part of a masquerade attack by IP packet substitution (such as stream cipher attack).
Eles estão usando um serviço de compartilhamento de páginas da web, que permite que as pessoas "naveguem juntas".
Não estou muito familiarizado com o BlueCoat, mas eles oferecem serviços de armazenamento em cache e filtragem. Eles podem estar pegando seu conteúdo para esse propósito.