突然收到来自 CFNetwork/Darwin 的大量请求

swcd

在 iOS 和 macOS 设备上运行，并将定期尝试访问

/apple-app-site-association

和

/.well-known/apple-app-site-association

。这用于在 Apple 本机应用程序和网络之间进行调解的多种功能，包括共享 Web 凭据、交接和通用链接。

此过程通常会在用户当地时区过夜运行，但不保证具体时间。

另请参阅设置应用程序的关联域，了解有关关联域的更多信息。

如果不了解更多有关您产品的信息，很难猜测峰值的原因 - 但有一些可能的原因：

• 您最近发布了 iOS 或 macOS 应用程序的更新
• 更大的客户刚刚注册了您的服务或向更多员工推出了您的产品
• 一个大客户刚刚向其托管设备部署了 iOS 或 macOS 操作系统更新

无论如何，我会忽略尖峰。如果这给您带来了麻烦，请确保您的负载均衡器配置正确。

最近我们的 CDN 和 WAF 检测到了同样的行为，我们在一些客户端中检测到的是僵尸网络以分布式方式枚举用户，甚至有一个名称，用户枚举喷洒。 任何不知道网络攻击如何运作的人都会说这是正常的。

在我看来，拥有僵尸网络的人正试图利用共享的网络凭据来危害您的网站，并在晚上这样做以避免检测。其他证据是“许多具有不同IP地址的设备请求网站的根目录”。如果这只是一个“病毒式”事件，则只会显示某些类别的设备，而不是各种各样的设备。访问网站的根目录——这些设备以前从未访问过您的网站。这不是拒绝服务攻击，因为他们是在晚上进行的，因此不会拒绝任何人的服务，而夜间是入侵的自然时间。

我自己不是一个破解者，只是一个老派的开发人员，我什至对ios也不是很熟悉，但是当你的网站有可能在你至少没有怀疑的情况下被攻击时，我不能保持沉默调查。 HTH.

它也可以是从 iPhone 模拟器发出的请求，用户代理包含对 CFNetwork 和 Darwin 的引用