为什么 Ubuntu 在启动时会向这些 Amazon EC2 IP 发出请求?

信息安全 线鲨 ubuntu 亚马逊
2021-09-03 02:07:15

每次我启动并登录到 Ubuntu 16.04,在我启动任何软件/浏览器之前,我都会在 Wireshark 中看到 Ubuntu 对这些 IP 有一些请求:

54.173.79.111 
54.231.40.234

Whois 表明他们是 Amazon EC2。

我知道 Ubuntu 这些天通过 Dash 搜索与 Amazon 集成,但该功能在我的设置中已关闭。

还有其他人注意到这些地址的活动吗?我是否应该担心这些是私有 EC2 实例并且我有间谍软件记录到它们或类似的?

谢谢

2个回答

如本论坛主题中所建议的,该gnome-software进程联系54.173.79.111以进行更新这些 IP 本身并没有什么狡猾之处,它们都属于 AWS 云。

也就是说,您不能仅通过查看 IP 来保证流量是合法的。那是因为它们仅表明您正在联系托管在 Amazon 云中的某些服务(并且显然在Red Hat OpenShift上运行)。

$ 挖 +short -x 54.173.79.111                                                                                                           
ec2-54-173-79-111.compute-1.amazonaws.com。
$ 挖 +short -x 54.231.40.234
s3-1.amazonaws.com。

(还有一个维护的 AWS IP 范围列表,您可以在其中查找地址。)

这不能验证任何内容的原因54.173.79.111是与不止一个 EC2 实例相关联。例如,hospitalpadreze.org.br并且subverticathegame.com还解析为同一地址:

$ dig +short hospitalpadreze.org.br                                                                                                     
 54.173.79.111
$ dig +short subverticathegame.com 130 
sub-renderedturkey.rhcloud.com。
ex-std-node683.prod.rhcloud.com。
ec2-54-173-79-111.compute-1.amazonaws.com。
54.173.79.111

正如@thel3l 所提议的那样,验证 SSL 证书的 CN54.173.79.111:443也不是一种可靠的技术。我们不知道您是否真的通过 SSL 连接,通过哪些端口和使用哪个主机名。这是一个演示如何在同一个 IP 上提供不同的证书:

$ openssl s_client -connect 54.173.79.111:443 -brief
连接已建立
协议版本:TLSv1.2
密码套件:ECDHE-RSA-AES256-GCM-SHA384
对等证书:C = 美国,ST = 北卡罗来纳州,L = 罗利,O = Red Hat Inc.,CN = *.rhcloud.com
使用的哈希:SHA512
支持的椭圆曲线点格式:uncompressed:ansiX962_compressed_prime:ansiX962_compressed_char2
服务器临时密钥:ECDH、P-256、256 位

证书有效期为*.rhcloud.com现在让我们尝试使用不同的主机名:

$ openssl s_client-connect 54.173.79.111:443 -servername www.cristiansandu.ro -brief
连接已建立
协议版本:TLSv1.2
密码套件:ECDHE-RSA-AES256-GCM-SHA384
同行证书:CN = www.cristiansandu.ro
使用的哈希:SHA512
支持的椭圆曲线点格式:uncompressed:ansiX962_compressed_prime:ansiX962_compressed_char2
服务器临时密钥:ECDH、P-256、256 位

www.cristiansandu.ro相反,我们正在获得证书,尽管它仍然是相同的 IP。使用服务器名称指示 (SNI),如果您指定不同的-servername.

tl;博士:没什么好担心的。

仅关闭您在此处提供给我们的数据,可能只是 Gnome 软件进行更新调用。应该没什么好担心的。

这是一个细分:

  • netstat -atlp并且grep该 IP 的 a 向我显示我的系统正在连接到一个54.173.79.111on 端口443

  • 此命令的 PID/程序输出调用自身gnome-software死赠品。

实际输出:

tcp        0      0 ipaddr:53044      54.173.79.111:443       ESTABLISHED 2709/gnome-software

此外,访问https://ec2-54-173-79-111.compute-1.amazonaws.com/app(您给我们的 IP - 否则为https://54.173.79.111/app)并检查证书显示我知道它是发给 *.rhcloud.com - Redhat Cloud - 在这一点上我几乎可以肯定它是一个更新服务。

其它你可能感兴趣的问题
上一篇我是否需要 OAuth 来传递服务的 API 密钥(现在它通过复制粘贴传递)? 下一篇在注册时自动抓取域的 whois 信息之前是否未使用?