如何才能看到试图连接到我的亚马逊EC2的IP地址？

Question

我有一个EC2实例，它被设置为使用OpenSSH的SFTP服务器。它只允许通过TCP端口22 (通过EC2安全组限制)在白名单上的It上连接。我经常有客户试图从其他的I连接，他们还没有被白名单。我想追踪那些尝试的连接和他们来自的IP，这样我就可以帮助他们找出他们的IP地址。

是否有可能从服务器上看到这些IP地址？我还能看到连接尝试并获得SFTP用户名吗？

Answer 1

AWS有一个名为VPC流日志的特性，它捕获到VPC或特定子网或特定网络接口的所有通信量。您可以设置VPC流日志，然后将这些日志填充到AWS CloudWatch中。它提供了非常描述性的日志信息，您可以从中筛选查询。查看有关流量测井的更多信息

Answer 2

如果希望看到丢弃的通信量，则需要使用运行在EC2实例上的防火墙来执行白名单，而不是使用AWS基础设施。(您的服务器无法记录/查看它没有接收到的流量)。

您可能需要查看类似于Fail2Ban的内容。

一句忠告是，有一些机器人网络将尝试使用弱用户名和密码通过SSH连接到您的IP (特别是在EC2上)。你只会让自己发疯，试图追踪每一个失败的登录尝试或试图连接。一个盒子一天就能拿到几百个这样的东西；你已经被警告过了。