# 攻击详情

攻击详情里可以查看详细的攻击行为，包括攻击时间、源目 IP 地址、路径等，还可以进一步查看攻击行为的详细信息或将某些攻击行为标记为“误报”。

<!-- image-todo -->

搜索设置展开后，可根据攻击类型、工作模式、匹配工作、风险等级对攻击详情列表进行过滤，填写 IP 地址后可以模糊搜索某些 IP 的攻击行为。

| 攻击信息     | 说明                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                              |
| ------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| 最近攻击时间 | 攻击行为的发生时间                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                |
| 来源 IP      | 攻击行为的来源 IP，若配置了真实 IP 字段，该来源 IP 为真实 IP 字段传递的 IP 地址                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   |
| 目的 IP      | 攻击行为的目的 IP 一般是对应域名的 CNAME 防护域名 解析的 IP                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                       |
| 请求路径     | 攻击行为的请求路径，不带参数                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                      |
| 地域         | 攻击行为来源 IP 的地域归属信息                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    |
| 攻击次数     | 攻击行为的触发次数                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                |
| 工作模式     | 对应域名的工作模式                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                |
| 匹配动作     | 该攻击行为匹配的规则的动作，仅跟规则有关，此项不受工作模式影响                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                    |
| 操作         | 包含详情和误报两个功能                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                            |
| 详情         | 攻击行为的详细信息：<br>● 域名：攻击请求的域名<br>● 请求方式：攻击请求的请求方式，GET, POST, HEAD 等<br>● 请求协议：攻击请求的请求协议，http 或 https<br>● 请求端口：攻击请求所请求的端口：80, 443 等<br>● 攻击时间：攻击请求的被处理的时间<br>● 目标 IP：攻击请求所请求的 IP<br>● 客户端 IP：攻击请求的来源 IP，可能是第三方代理的 IP 地址<br>● 客户端端口：攻击请求的来源端口<br>● 地域：发起攻击请求的 IP 的地域归属信息<br>● 攻击类型：攻击被判定的类型，CC 攻击、注入攻击等<br>● 风险等级：攻击的严重程度，高、中、低风险<br>● 工作模式：域名的工作模式，阻断模式、告警模式<br>● 匹配动作：攻击请求是匹配的规则动作是拦截还是放行<br>● 请求路径：攻击请求的路径，包含参数<br>● 请求内容：攻击请求的 body 部分<br>● 请求头(UA)：攻击请求的 User-Agent 字段<br>● Referer：攻击请求的 Referer 字段<br>● 代理 IP(XFF)：攻击请求的真实 IP 字段，若未设置则为空<br>● 风险项：攻击请求中触发规则的特征字符<br>● 请求 ID：唯一标示该攻击请求的字符串 |
| 误报         | 点击此按钮后类似请求将不再触发规则，即不再判断为攻击，CC 攻击无法误报，详情参见[误报详情](/docs/uewaf/features/report/false_positive)                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                  |

!> 注意：  
点击【误报】后将发生：
1 未来类似的攻击不再显示，即不再判断为攻击，误报是根据攻击特征进行的放行，如果是常用的 IP，若要放行请添加白名单  
2 我们的安全工程师将定期统计和分析误报的情况，不断更新和完善规则系统。