对aws beanstalk服务器的奇怪http请求

Question

我有一个运行在aws beanstalk中的节点服务器，服务器每天都会收到大量奇怪的http请求(500个请求)。这会触发服务器监控警报，这真的很烦人。我想知道这些请求是从哪里来的，我如何阻止它们。

日志如下所示：

/var/log/nginx/access.log

172.31.51.233 - - [05/Jun/2016:03:58:07 +0000] "POST /20141201/token HTTP/1.1" 404 28 "-" "Emby/3.0.5971.0" "50.240.190.120"
172.31.51.233 - - [05/Jun/2016:03:58:07 +0000] "POST /20141201/token HTTP/1.1" 404 28 "-" "Emby/3.0.5971.0" "50.240.190.120"
172.31.51.233 - - [05/Jun/2016:03:58:08 +0000] "POST /20141201/token HTTP/1.1" 404 28 "-" "Emby/3.0.5971.0" "50.240.190.120"
172.31.51.233 - - [05/Jun/2016:03:58:08 +0000] "POST /20141201/token HTTP/1.1" 404 28 "-" "Emby/3.0.5971.0" "50.240.190.120"

Answer 1

• 如果您知道要允许的特定ip地址，您可以分配一个安全组将其锁定到一组ip地址
• 您可以使用安全组条目专门阻止50.240.190.120，因为它们是一个坏角色
• 如果它需要公开访问，并且您不知道这些类型的请求来自哪些ip地址，您可以将WAF放在beanstalk服务的前面并筛选出这些请求。
• 最后，您可以调整您的警报以忽略404，因为作为一个公共get服务，几乎肯定意味着您将获得一定数量的404。

Answer 2

我假设第一个字段是远程IP地址。如果你想把头埋在沙子里，那就别管流量了：

sudo iptables -A INPUT --src 172.31.51.233 -j DROP

但这些流量并不是来自互联网。这个网络就是private。

Answer 3

我设法通过向AWS vps的网络ACL添加规则来拒绝来自IP的访问。请注意，添加规则400和500是为了拒绝来自两个特定IP的请求，添加的规则必须高于默认规则( 600和*)才能生效。

    Rule # Type        Protocol Port    Range Source       Allow / Deny

    400    HTTPS (443) TCP (6)  443     50.240.190.120/32  DENY
    500    HTTPS (443) TCP (6)  443     186.5.36.252/32    DENY
    600    ALL Traffic ALL      ALL     0.0.0.0/0          ALLOW 
    *      ALL Traffic ALL      ALL     0.0.0.0/0          DENY