これは奇妙です。いくつかのインスタンスをプライベート サブネットで実行しています。これらのサブネットはインターネットに直接公開されておらず、パブリック IP を持たず、すべての送信トラフィックは NAT インスタンスを介してルーティングされます。
ただし、GuardDuty はこのプライベート サブネット内のすべてのインスタンスに対して次のような警告を表示します。
Recon:EC2/PortProbeUnprotectedPort
Action
Action type
PORT_PROBE
Blocked
false
First seen
12-21-2019 22:22:10 (a month ago)
Last seen
01-19-2020 11:18:12 (38 minutes ago)
Actor
IP address
159.65.11.106
Location
country:
Singapore
lat:
1.314
lon:
103.6839
Organization
asn:
14061
asnOrg:
DigitalOcean, LLC
isp:
Digital Ocean
org:
Digital Ocean
Additional information
Threat name
Scanner
Threat list name
ProofPoint
Local port
30539
Archived
false
Remote IP details
ipAddress:
5.101.0.209
location:
Moscow, Russia
organization:
PinSPB
したがって、ここではいくつかの疑問が生じます。
- パブリック IP アドレスがないのに、インスタンスがスキャンされるのはどうしてでしょうか?
- アクターの IP アドレスがリモート IP と異なるのはなぜですか?
答え1
私自身、原因がわかったかもしれないと思うので、他の人もこの問題に遭遇した場合に備えて、回答として投稿します。
これらのインスタンスは Kubernetes クラスターの一部であり、イングレス コントローラーとして nginx を使用しています。このイングレス コントローラーは、type:LoadbalancerAWS がネットワーク ロードバランサー (NLB) を使用するようにするアノテーションを介して公開されます。
NLB はオリジン IP アドレスを保持するため、それらの IP も AWS GuardDuty ログに表示されます。