Вопрос или проблема
На протяжении некоторого времени на мой сервер поступает большое количество запросов с различных IP-адресов несколько раз в день, каждый раз на 2-4 минуты с количеством запросов от 3 до 10 в секунду.
Все эти запросы приходят из ASN: AS8075 MICROSOFT-CORP-MSN-AS-BLOCK
Есть ли у кого-нибудь идеи, что это может быть?
И с кем мне связаться, чтобы узнать, откуда эти запросы?
Хотя это дубликат, этот вопрос по информационной безопасности буквально задает тот же самый вопрос о том, почему их сервер испытывает “массовое увеличение фальшивых попыток доступа с IP-адресов Microsoft”.
И как оказывается, это просто
«фоновое излучение» Интернета. Это не атака. Это сканирование. Это не новое. Это существует уже несколько десятилетий.
Цитируя комментарий Шрёдера.
Так что, если это не паук Bing, то это определенно не Microsoft(!), но это ничего, чтобы волноваться, тоже.
Ответ или решение
Вопрос о большом количестве доступов к вашему серверу с IP-адресов, принадлежащих Microsoft, вызывает беспокойство у многих администраторов и владельцев серверов. Давайте разберемся в этом явлении и обрисуем некоторые возможные сценарии, а также действия, которые вы можете предпринять для дальнейшего изучения ситуации.
Фон события
Ваша проблема заключается в том, что вы наблюдаете большое количество запросов к вашему серверу, которые происходят регулярно и имеют определённый шаблон – доступы приходят с различных IP-адресов, ассоциированных с Microsoft (ASN: AS8075). Обычно такие сетевые паттерны могут указывать на сканирование уязвимостей, автоматическое индексирование или работу поисковых роботов, таких как Bing.
Причины доступа
-
Поисковые роботы и краулеры: Многие компании, в том числе Microsoft, используют краулер для индексирования веб-сайтов. Это может быть связано с их сервисами, такими как Bing. Краулеры могут отправлять множество запросов за короткий период, что может выглядеть как "груз" на ваш сервер.
-
Необработанные сетевые сканеры: Большое количество запросов также может быть вызвано сетевыми сканерами, которые постоянно ищут уязвимости в интернете. Некоторые из них используют IP-адреса, ассоциированные с известными компаниями и провайдерами, что может создать впечатление, что они связаны с Microsoft.
-
Фоновая активность: Согласно одной из статей, работающей в этой области, данная ситуация может описываться как «фоновая радиация» интернета. То есть, такие, вроде бы, аномальные активности – это нормальное проявление работы сети, и подобные "сканирования" происходят постоянно.
Следующие шаги
-
Анализ логов: Проанализируйте журналы доступа к вашему серверу, чтобы определить, какие ресурсы запрашиваются наиболее часто. Это поможет вам лучше понять, что именно ищут запросы с Microsoft IP.
-
Настройка фильтров: Если количество обращений становится критичным и мешает нормальной работе вашего сервиса, рассмотрите возможность настройки правил брандмауэра или фильтров, которые ограничат доступ с определённых IP-адресов.
-
Связь с Microsoft: Если вы считаете, что это может быть ошибкой с их стороны, вы можете обратиться в службу поддержки Microsoft. Однако будьте готовы предоставить как можно больше информации о ситуации.
-
Использование альтернативных методов мониторинга: Установите решения для мониторинга активности на сервере, которые могут помочь вам отслеживать аномалии, такие как Zabbix или Prometheus.
Заключение
Таким образом, хотя большая активность запросов с IP-адресов Microsoft может вызывать негативные ассоциации с потенциальными угрозами, в большинстве случаев это явление является обычной частью работы интернета. Сканирование может быть следствием автоматизированного индексирования, и если ваши ресурсы не страдают из-за такого трафика, то особых действий можно не предпринимать. Поддерживайте регулярный мониторинг серверов и оставайтесь в курсе динамики сетевых запросов, чтобы оперативно реагировать на возможные изменения.