【机场快讯】

我们关注到来自广东联通数据机房针对API的主动探测请求。

几个月前我们部署了蜜罐机场,近期发现了来自广东联通数据中心机房针对机场API的主动探测请求。这些请求均来自客户端API,推测是广东网信办利用联通利用自身DPI优势抓取用户的访问记录,对疑似机场的API进行主动探测然后后续进行针对性处理。

据威胁情报显示,该IP最早于2023年5月底开始活跃,主要用于对外进行探测扫描,除机场API扫描之外还有漏洞扫描。大概率为网信办漏扫IP,除对政务云等系统进行漏扫外还有管辖范围机房进行漏扫及违规探测,发现问题后通知管局整改。

此类IP还有很多,图片仅列举其中一个。