우리는 사내 Exchange 서버를 운영하고 있으며 최근 Amazon IP에서 많은 트래픽이 발생하는 것을 발견했습니다. 이상한 점은 트래픽이 SMTP가 아니라는 것입니다. 오히려 포트 443(클라이언트 액세스 서버의 OWA/ECP 웹 사이트)에 도달하는 것 같습니다.
우리는 이 트래픽의 목적이 무엇인지 혼란스럽습니다. 우리에게 떠오른 생각 중 하나는 아마도 AWS 인프라에서 실행되는 타사 서비스에 등록한 사용자 중 한 명이 동기화를 위해 정기적으로 (과도하게) OWA에 로그인한다는 것입니다. 그러나 세션이 사용자로 로그인하고 있는지, 아니면 단지 로그인 랜딩 페이지를 스크랩하고 있는지는 확실하지 않습니다.
우리는 무언가가 "중단"되는지 확인하기 위해 관찰된 주소를 차단하려고 시도했지만 트래픽은 잠시 후 다른 Amazon IP 세트에서 다시 돌아왔습니다.
우호티켓을 오픈했어요[이메일 보호됨]하지만 지금까지 그들은 유용한 것을 발견하지 못했습니다.
이 트래픽이 무엇을 하려는지 어떻게 식별할 수 있습니까?
Amazon AWS에 속한 IP에서 발생하는 내 서버로의 모든 트래픽을 차단하려면 어떻게 해야 합니까?
답변1
트래픽 차단
임시로 만들었어요강력한#2를 돌보기 위해.
모든 AWS IP 범위의 신뢰할 수 있는 목록은 Amazon에서 게시합니다. https://ip-ranges.amazonaws.com/ip-ranges.json. 목록은 일주일에 여러 번 업데이트될 수 있으며 자세한 내용은 다음을 참조하세요.이 블로그 게시물.
프로그램은 목록을 다운로드 및 구문 분석하고 Windows 방화벽에서 차단 규칙을 생성(또는 업데이트)합니다.
AWS 인프라에서 실행되는 다소 신원이 모호한 서비스의 수가 증가하는 가운데, 이는 유사한 문제에 직면한 다른 사람들에게도 도움이 될 수 있습니다.
트래픽 조사 중
#1의 경우, 이 LogParser도마뱀쿼리가 도움이 되었습니다:
SELECT * FROM #IISW3C#
WHERE c-ip in ('35.153.205.73'; '52.45.133.113'; /* additional IP's here */)
월, URL 및 사용자별로 그룹화:
SELECT TO_STRING(date, 'yyyy-MMM') AS Month, cs-uri-stem, cs-username, COUNT(*) AS Hits
FROM #IISW3C#
WHERE c-ip in ('35.153.205.73'; '52.45.133.113'; /* additional IP's here */)
GROUP BY Month, cs-uri-stem, cs-username
ORDER BY Month, cs-uri-stem, cs-username
결과
당연하게도 /EWS/Exchange.asmx와 에 히트를 쳤습니다 /EWS/Services.wsdl. 사용자 에이전트는 일반적으로 비어 있거나 입니다 Python-urllib/2.7. 응답 코드는 (승인되지 않음), (잘못된 자격 증명) 및 (확인)입니다. 각각 많았습니다.python-requests/2.8.1python-requests/2.9.0401.0401.1200.0
모든 200것은 우리 도메인에서 단일 사용자의 자격 증명을 사용하고 있었습니다. 나는 그들이 Amazon WorkMail API(이메일 전달/일정 업데이트에 대한 푸시 알림), Amazon Comprehend(수신 이메일의 감정 분석), Alexa for Business(Alexa에게 예정된 이벤트에 대해 물어보고 음성으로 새 이벤트 추가)와 같은 서비스에 가입한 것으로 추측합니다. ) 또는 Amazon 인프라에서 EWS 클라이언트를 실행하는 Amazon 브랜드와 전혀 관련이 없는 제3자입니다.
우리는 사용자에게 후속 조치를 취하고 있습니다. 어떤 제품인지 더 잘 추측할 수 있는 사람이 있다면 듣고 싶습니다. 이 작업은 3월 첫 10일 동안 약 25,000개의 히트를 생성했으며 그 중 일부는 완료하는 데 오랜 시간이 걸렸습니다(아마도 많은 데이터가 반환되었을 것입니다). 아마존 기준으로는 작은 감자라는 건 알지만, 우리가 알아차리기에는 충분했습니다.