有时候,安全设备中的告警里会出现这样的情况:告警的攻击IP是公网地址,但受害IP是一个内网地址。但是外网的设备正常是无法直接访问内网的,那为什么会出现受害IP是内网地址的情况呢?
这是因为接入的探针设备在NAT设备之后,这样的话,流量会先经过NAT设备进行地址转换,这个过程会将公网IP转换为内网IP,之后这些转换的流量被探针抓到,产生告警,此时告警的受害IP就会是内网地址了。
相关文章
- 10-16为什么有的告警受害IP是内网地址?
2023-10-16 23:44:04
有时候,安全设备中的告警里会出现这样的情况:告警的攻击IP是公网地址,但受害IP是一个内网地址。但是外网的设备正常是无法直接访问内网的,那为什么会出现受害IP是内网地址的情况呢?
这是因为接入的探针设备在NAT设备之后,这样的话,流量会先经过NAT设备进行地址转换,这个过程会将公网IP转换为内网IP,之后这些转换的流量被探针抓到,产生告警,此时告警的受害IP就会是内网地址了。