网络流量中应用Unknown占比不小,是产品无法识别外网的具体请求吗?
应用显示为Unknown可能存在以下原因:
- 来自互联网入方向的流量很大时,该类流量大部分不是标准协议,因此无法识别为已知协议。
- 网络流量可能被目的服务器阻断,发送大量的rst回包。这类包会记录到出方向或入方向的流量中,如果数量较大,则相应的Unknown占比也较大。
说明 您可通过或来观察Unknown流量的具体来源与用途,判断出方向或入方向流量是否存在异常情况。
您可以在云防火墙控制台以下页面中看到Unknow数据:
- 互联网访问活动页面中的应用类型
- IPS拦截记录页面的攻击应用类型
- 全量活动搜索页面流量访问Top区域的应用类型
网络流量分析的全量活动搜索结果中流量访问Top中为什么出现很多未知运营商?
来自中国以外地区的流量的入方向地区只展示国家名称,如果入方向存在很多来自中国以外的流量,运营商会被标识为未知。您可通过观察到具体IP对应的地区与运营商。
主动外联活动中会展示域名的标签,这些标签代表什么?
标签是云防火墙根据外联域名或目的IP的公网信息自动添加的属性,包括:首次、周期、恶意下载、热门网站、矿池、威胁情报。
- 首次:云防火墙第一次发现该外联活动。
- 周期:您的资产对该域名或目的IP存在周期性的外联活动。
- 恶意下载、矿池、威胁情报:云防火墙检测出的存在威胁的外联活动。请您及时排查此类标签对应的外联活动是否存在误报,如果确认是恶意行为,建议您配置访问控制策略进行管控。详细内容请参见互联网边界防火墙(内外双向流量)。
- 热门网站:您的服务器或您的业务经常访问的域名。