Назад | Перейти на главную страницу

Выявление и блокировка трафика с серверов Amazon AWS

У нас есть собственный сервер Exchange, и мы заметили, что в последнее время много трафика идет с IP-адресов Amazon. Странно то, что трафик - это не SMTP; скорее, похоже, что он попадает в порт 443 (который является веб-сайтом OWA / ECP сервера клиентского доступа).

Мы не понимаем цели этого трафика. Нам пришла в голову мысль, что, возможно, один из пользователей подписался на сторонний сервис, работающий в инфраструктуре AWS, который периодически (чрезмерно) входит в OWA для синхронизации. Но нам неясно, выполняется ли вход в систему как пользователь или просто очищается целевая страница входа.

Мы попытались заблокировать наблюдаемые адреса, чтобы увидеть, не «сломается» ли что-нибудь, но через короткое время трафик снова возвращается с другого набора IP-адресов Amazon.

Я открыл дружеский тикет с abuse@amazon.com, но пока они не нашли ничего полезного.

  1. Как я могу определить, что пытается сделать этот трафик?

  2. Как я могу заблокировать весь трафик на мой сервер, исходящий с IP-адресов Amazon AWS?

Блокировка трафика

Я создал временный кувалда позаботиться о # 2.

Официальный список всех диапазонов IP-адресов AWS опубликован Amazon по адресу https://ip-ranges.amazonaws.com/ip-ranges.json. Список может обновляться несколько раз в неделю, более подробно он описан в это сообщение в блоге.

Программа загружает и анализирует список, а также создает (или обновляет) правило блокировки в брандмауэре Windows.

На фоне увеличения числа сервисов с некоторой скрытой идентификацией, запущенных из инфраструктуры AWS, возможно, это поможет другим, кто сталкивается с аналогичными проблемами.

Изучение трафика

Для №1 эти LogParser Ящерица запросы были полезны:

SELECT * FROM #IISW3C#
WHERE c-ip in ('35.153.205.73'; '52.45.133.113'; /* additional IP's here */)

Группировка по месяцу, URL и пользователю:

SELECT TO_STRING(date, 'yyyy-MMM') AS Month, cs-uri-stem, cs-username, COUNT(*) AS Hits
FROM #IISW3C#
WHERE c-ip in ('35.153.205.73'; '52.45.133.113'; /* additional IP's here */)
GROUP BY Month, cs-uri-stem, cs-username
ORDER BY Month, cs-uri-stem, cs-username

Полученные результаты

Неудивительно, что это было хитом /EWS/Exchange.asmx и /EWS/Services.wsdl. Пользовательский агент обычно был пустым, Python-urllib/2.7, python-requests/2.8.1 или python-requests/2.9.0. Коды ответов были 401.0 (неавторизованный), 401.1 (неверные учетные данные) и 200.0 (хорошо). Их было много.

Все 200 одни использовали учетные данные одного пользователя в нашем домене. Я предполагаю, что они подписались на такую ​​службу, как Amazon WorkMail API (push-уведомления для доставки электронной почты / обновления календаря), Amazon Comprehend (анализ настроения входящей электронной почты), Alexa for Business (спрашивайте Alexa о запланированных мероприятиях, добавляйте новые с помощью голоса ) или сторонней компанией, совершенно не связанной с брендом Amazon, которая запускает клиент EWS из инфраструктуры Amazon.

Мы следим за пользователем. Если кто-то догадывается, что это может быть за продукт, мне было бы интересно его услышать. Эта штука сгенерировала около 25 тысяч обращений за первые 10 дней марта, и некоторые из них заняли много времени (вероятно, вернули много данных). Я знаю, что это мелочь по стандартам Amazon, но этого было достаточно, чтобы мы заметили.