Вопрос или проблема
Недавно я развернул сервер на Django (через Gunicorn) на экземпляре AWS EC2 с использованием Docker.
После настройки Grafana/Loki и анализа логов, я заметил нечто странное. Я получаю до 20 запросов в секунду на три URL-пути:
/check/site /check/squared-a /check/ha-a
Я получил более 2500 таких запросов менее чем за 15 минут. После расследования выяснилось, что исходные IP-адреса принадлежат экземплярам AWS EC2, расположенным по всем регионам AWS. По сути, никто не использует приложение, для которого был построен сервер (<5 загрузок для мобильного приложения).
У меня не так много опыта с AWS, так что правильно ли я предполагаю, что это не нормально?
Эти URL не имеют отношения к моему приложению (оно совсем новое, и эти URL никогда не были реальными маршрутами).
.
Ответ или решение
Ваша ситуация с AWS EC2, получающей большое количество входящих запросов, требует внимательного анализа, особенно учитывая, что данные URL не имеют прямого отношения к вашему приложению. Давайте рассмотрим возможные причины и решения по этому вопросу.
Причины высокой активности запросов:
-
Сканирование и брутфорс атаки: Зачастую автоматизированные сканеры обследуют IP-адреса в облачных сервисах, включая AWS, в поисках уязвимостей. Это может объяснить большое количество запросов к несуществующим URL, таким как /check/site, /check/squared-a, /check/ha-a.
-
Миссконфигурация или тестирование: Возможно, что другой разработчик или команда ошибочно использовали ваш IP-адрес для тестирования или перепутали с другим проектом. Это могло привести к случайному наращиванию трафика.
-
Сервисы мониторинга или агентов: Некоторые инструменты или сервисы мониторинга могут быть неправильно настроены и использовать ваши URL.
Сценарий решений:
-
Анализ логов и источников: Продолжайте использовать Grafana/Loki для мониторинга логов. Определите, какие именно EC2 инстансы в AWS генерируют такие запросы. Используйте AWS CloudTrail или VPC Flow Logs для выяснения дополнительно.
-
Ограничения по IP: Если вы определили, что эти запросы не санкционированы, используйте AWS Security Groups или Network ACLs, чтобы ограничить входящие запросы от неизвестных IP-адресов или с определенных регионов.
-
Защита с помощью WAF: AWS предоставляет службу Web Application Firewall (WAF), через которую можно настраивать правила, чтобы блокировать или ограничивать трафик на вашем сервере, предотвращая такие аномальные активности.
-
Настройки Django/Gunicorn: Проверьте конфигурации вашего приложения, убедитесь, что оно настроено только для обработки необходимых маршрутов.
-
Обратиться к AWS Support: Если вы заподозрили подозрительную активность, свяжитесь с AWS Support для консультации. Они могут помочь с более глубоким анализом.
Данная проблема может быть не только технической, но и вопросом безопасности, поэтому действуйте оперативно. Убедитесь, что вся ваша инфраструктура в AWS защищена и работает корректно. Регулярный мониторинг и применение упомянутых мер помогут не только решить текущую проблему, но и обеспечить стабильность вашего приложения в будущем.