Назад | Перейти на главную страницу

Неизвестные проверки работоспособности Amazon Route 53 создают слишком много трафика. Как их остановить?

Мы только что развернули новый сайт asp.net на сервере IIS. Сейчас мы начали получать много запросов с заголовком

Amazon+Route+53+Health+Check+Service;+ref:<code>;+report+http://amzn.to/1vsZADi

Мы не настраивали никаких проверок работоспособности и вообще не используем сервисы Amazon. Что интересно, все запросы идут не к домену, а к ip.

Мы подали заявку на прекращение этих проверок здесь https://aws.amazon.com/forms/route53-unwanted-healthchecks а теперь жду ответа.

Наша первоначальная мысль заключалась в том, чтобы отправить 403, когда пользовательский агент соответствует Amazon+Route+53+Health+Check+Service строка. Но вроде бы проверки не остановили: http://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating.html

Кто-нибудь еще испытал это? Есть ли способ остановить эти запросы?

Редактировать 1: Пока (10 дней) нет ответа от Amazon, и проверки работоспособности все еще не поступают. Я попытаюсь заблокировать диапазоны IP-адресов (см. Ответ ниже), чтобы посмотреть, где это может взорваться.

Я абсолютно уверен, что AWS ответит на ваш запрос и снимет чеки. Очевидно, что поставщик, который встраивает механизм отчетности по запросам, не заинтересован в том, чтобы не прояснять ситуацию.

Да, вам следует настроить свой сайт так, чтобы он отвечал отказом, но причина в первую очередь в том, что это, вероятно, вызовет расследование тем, кто непреднамеренно настроил их для вашего IP-адреса, когда проверки начнут давать сбой. Они используются для удаления систем из DNS, когда система не работает.

Если вы хотите заблокировать их по диапазонам IP-адресов, эти диапазоны являются общедоступной информацией. Найдите блоки CIDR из файла JSON, который можно бесплатно загрузить по ссылке ниже, помеченной ROUTE53_HEALTHCHECKS. Вы должны обнаружить, что все запросы поступают из этого диапазона.

http://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html

Вы также можете воспользоваться этой возможностью, чтобы выяснить, почему ваше приложение настолько уязвимо для DDoS-атак таким относительно небольшим объемом трафика, если это действительно происходит ... хотя из вопроса я подозреваю, что вы буквально не имеете в виду, что это отключает ваш сервер, но вы видите значительный объем неожиданного трафика с нескольких исходных адресов, как это могло бы произойти и при настоящей DDoS-атаке.

tl; dr Именно CloudFlare создавал запросы на проверку работоспособности.


Как было предложено в ответе выше, я заблокировал все запросы диапазонов IP-адресов Amazon Health Check и вместо этого установил возврат 404.

Однако теперь в журналах было указано, что был возвращен код 302 (ранее было 200). Казалось, что отображается кешированная версия сайта. Через некоторое время я понял, что все наши домены управляются через CloudFlare и по какой-то причине этот домен был настроен на «ускорение и защиту с помощью CloudFlare».

Решением было отключить CloudFlare для этого конкретного домена в настройках CloudFlare DNS, и все запросы проверки работоспособности были остановлены.

Теперь, когда мы знаем, что CloudFlare использует Amazon для проверки работоспособности, мы снова включили CloudFlare.