Мы только что развернули новый сайт asp.net на сервере IIS. Сейчас мы начали получать много запросов с заголовком
Amazon+Route+53+Health+Check+Service;+ref:<code>;+report+http://amzn.to/1vsZADi
Мы не настраивали никаких проверок работоспособности и вообще не используем сервисы Amazon. Что интересно, все запросы идут не к домену, а к ip.
Мы подали заявку на прекращение этих проверок здесь https://aws.amazon.com/forms/route53-unwanted-healthchecks а теперь жду ответа.
Наша первоначальная мысль заключалась в том, чтобы отправить 403, когда пользовательский агент соответствует Amazon+Route+53+Health+Check+Service
строка. Но вроде бы проверки не остановили: http://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating.html
Кто-нибудь еще испытал это? Есть ли способ остановить эти запросы?
Редактировать 1: Пока (10 дней) нет ответа от Amazon, и проверки работоспособности все еще не поступают. Я попытаюсь заблокировать диапазоны IP-адресов (см. Ответ ниже), чтобы посмотреть, где это может взорваться.
Я абсолютно уверен, что AWS ответит на ваш запрос и снимет чеки. Очевидно, что поставщик, который встраивает механизм отчетности по запросам, не заинтересован в том, чтобы не прояснять ситуацию.
Да, вам следует настроить свой сайт так, чтобы он отвечал отказом, но причина в первую очередь в том, что это, вероятно, вызовет расследование тем, кто непреднамеренно настроил их для вашего IP-адреса, когда проверки начнут давать сбой. Они используются для удаления систем из DNS, когда система не работает.
Если вы хотите заблокировать их по диапазонам IP-адресов, эти диапазоны являются общедоступной информацией. Найдите блоки CIDR из файла JSON, который можно бесплатно загрузить по ссылке ниже, помеченной ROUTE53_HEALTHCHECKS
. Вы должны обнаружить, что все запросы поступают из этого диапазона.
http://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html
Вы также можете воспользоваться этой возможностью, чтобы выяснить, почему ваше приложение настолько уязвимо для DDoS-атак таким относительно небольшим объемом трафика, если это действительно происходит ... хотя из вопроса я подозреваю, что вы буквально не имеете в виду, что это отключает ваш сервер, но вы видите значительный объем неожиданного трафика с нескольких исходных адресов, как это могло бы произойти и при настоящей DDoS-атаке.
tl; dr Именно CloudFlare создавал запросы на проверку работоспособности.
Как было предложено в ответе выше, я заблокировал все запросы диапазонов IP-адресов Amazon Health Check и вместо этого установил возврат 404.
Однако теперь в журналах было указано, что был возвращен код 302 (ранее было 200). Казалось, что отображается кешированная версия сайта. Через некоторое время я понял, что все наши домены управляются через CloudFlare и по какой-то причине этот домен был настроен на «ускорение и защиту с помощью CloudFlare».
Решением было отключить CloudFlare для этого конкретного домена в настройках CloudFlare DNS, и все запросы проверки работоспособности были остановлены.
Теперь, когда мы знаем, что CloudFlare использует Amazon для проверки работоспособности, мы снова включили CloudFlare.