未知的 Amazon Route 53 執行狀況檢查會產生過多流量。如何阻止他們?
我們剛剛在 IIS 伺服器上部署了一個新的 asp.net 站點。現在我們開始接收大量帶有標頭的請求
Amazon+Route+53+Health+Check+Service;+ref:<code>;+report+http://amzn.to/1vsZADi
我們沒有設置任何健康檢查,我們根本沒有使用亞馬遜服務。有趣的是,所有請求都不是針對域,而是針對 ip。
我們已在https://aws.amazon.com/forms/route53-unwanted-healthchecks提出停止這些檢查的請求,現在正在等待回复。
Amazon+Route+53+Health+Check+Service
我們最初的想法是當使用者代理匹配字元串時發送 403 。但似乎不會停止檢查:http ://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating.html有沒有其他人經歷過這個?有什麼辦法可以阻止這些請求?
編輯 1:到目前為止(10 天)亞馬遜沒有回應,健康檢查仍在進行中。我將嘗試阻止 IP 範圍(見下面的答案),看看它會在哪裡爆炸。
tl; dr創建健康檢查請求的是 CloudFlare。
正如上面答案中所建議的,我阻止了對 Amazon Health Check IP 範圍的所有請求,並設置為返回 404。
然而,日誌現在表明返回了 302 程式碼(以前是 200)。似乎正在顯示該站點的記憶體版本。過了一會兒,我意識到我們所有的域都是通過 CloudFlare 管理的,並且出於某種原因,這個域被設置為“受 CloudFlare 加速和保護”。
解決方案是在 CloudFlare DNS 設置中為此特定域禁用 CloudFlare,並且所有執行狀況檢查請求都已停止。
現在我們知道 CloudFlare 使用 Amazon 進行健康檢查,我們再次啟用了 CloudFlare。
我完全相信 AWS 會響應您的請求並取消檢查。顯然,為請求建構報告機制的提供者對不清理事情不感興趣。
是的,您應該將您的站點配置為響應失敗,但原因主要是因為當檢查開始失敗時,這可能會觸發任何無意中針對您的 IP 地址配置它們的人的調查。當系統不健康時,它們用於從 DNS 中刪除系統。
如果您想按 IP 範圍阻止它們,則這些範圍是公共資訊。從可從下面的連結免費下載的 JSON 文件中找到 CIDR 塊,標記為
ROUTE53_HEALTHCHECKS
。您應該會發現所有請求都來自此範圍。http://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html
您也可以藉此機會調查為什麼您的應用程序如此容易受到如此少量流量的 DDoS 攻擊,如果這種情況確實發生了……儘管我懷疑您的問題並不是字面上的意思它正在關閉您的伺服器,而是您看到來自多個源地址的大量意外流量,就像在真正的 DDoS 攻擊中也會發生的那樣。