这种对 Web 服务的低强度、非黑客攻击是什么?

信息安全 网络 攻击
2021-08-19 05:56:48

大约 10 天来,我看到一堆 EC2 机器(大约 30 台,分布在所有地区)正在攻击我的服务器。

有趣(或无趣,我还不知道)的事实是

  • 他们针对非描述性端口上的开放 Web 服务(这可能是通过较早的扫描发现的)
  • 这个端口回复200一个 HTTP 请求
  • 查询仅在 URL 的根目录上...
  • ...这给他们带来了一个空白页面

换句话说,他们不断地GET /在那个网络服务上做一个。

它可能是 DDoS,除了

  • 机器数量非常有限且定义明确
  • 每分钟有 4 个查询,所有查询都在中间整齐地分组(约 5 秒内)

所以这不是 DoS(速率微不足道),不是 DDoS(除了速率,人口很少),不是黑客攻击(请求固执地在一个 URL 上,我查看了流量,这是唯一的目标端口)。

如果没有人知道这是什么,我会将其归类为“丰富的(许多 EC2 机器,它们也可能使用免费层)但愚蠢的不确定是什么”。

1个回答

这听起来像是正常运行时间服务的行为。它们定期从多个位置连接,旨在在出现问题时提醒服务器所有者。

在这种情况下,看起来服务器所有者已经设置了这样的服务,然后忘记了它,因为服务器没有任何问题 - 警报服务不会发送警报,除非有问题,所以很容易忘记他们。

在评论中回答问题:为什么要进行额外检查?几个原因:

  • 验证目标服务器上是否存在问题,而不是测试服务器上
  • 通过从多个位置提出请求,允许进行地理测试
  • 允许更复杂的测试,例如响应时间,同时避免可能影响单个服务器的网络问题
  • 确保正常运行时间服务本身不会因单台服务器宕机而中断!
其它你可能感兴趣的问题
上一篇在删除“敏感”变量之前覆盖它是一种安全的编程习惯吗? 下一篇PGP 有什么危险,以至于它的创建者因此被法庭指控?