Step 01
确认地址在事件发生时属于谁
记录告警时间、IP、端口和相关账号,再查询当前 ASN 与托管商。对于云主机和动态地址,当前归属不能自动代表历史归属。
检查内部资产台账、云平台分配记录和 NAT 日志,确认该地址在事件时间是否真正对应自己的服务或用户。
Step 02
理解命中的列表类型
垃圾邮件、开放代理、扫描器、僵尸网络和恶意软件控制地址代表不同风险。阅读列表说明、记录时间和解除条件,不要把所有命中都解释为主机已经被攻陷。
多源同时出现近期一致记录,可信度通常高于单个陈旧记录;但仍需要本地证据确认影响。
Step 03
用本地日志验证当前行为
检查邮件发送、认证失败、出口连接、代理服务和终端告警。没有本地异常时,可以先加强观察和验证,而不是立即永久封禁所有相关用户。
风控场景可使用二次认证、限速和风险分层,并记录被拦用户的申诉结果来评估误判。
Step 04
修复或申诉后持续观察
发现异常时先停止流量、轮换凭据、修复主机和关闭错误代理。完成后按照列表官方流程提交复核,保留工单与时间线。
如果地址来自第三方供应商,明确要求对方提供处理结果和防止复发的措施,不要只接受“已更换 IP”作为根因修复。
Action Checklist
执行清单
- 确认事件时间的 IP 真实归属
- 阅读命中列表类别、时间和解除条件
- 检查邮件、认证、代理和出口日志
- 按风险采取验证、限速或隔离
- 修复后申请复核并持续监控