Isso é estranho, estou tendo algumas instâncias em execução em uma sub-rede privada. Essas sub-redes não estão expostas diretamente à Internet, não possuem um IP público e todo o tráfego de saída é roteado através de uma instância NAT.
No entanto, o GuardDuty me dá avisos como este para todas as instâncias nesta sub-rede privada:
Recon:EC2/PortProbeUnprotectedPort
Action
Action type
PORT_PROBE
Blocked
false
First seen
12-21-2019 22:22:10 (a month ago)
Last seen
01-19-2020 11:18:12 (38 minutes ago)
Actor
IP address
159.65.11.106
Location
country:
Singapore
lat:
1.314
lon:
103.6839
Organization
asn:
14061
asnOrg:
DigitalOcean, LLC
isp:
Digital Ocean
org:
Digital Ocean
Additional information
Threat name
Scanner
Threat list name
ProofPoint
Local port
30539
Archived
false
Remote IP details
ipAddress:
5.101.0.209
location:
Moscow, Russia
organization:
PinSPB
Portanto, várias questões surgem aqui:
- Como é possível que minha instância seja verificada quando não possui um endereço IP público?
- Por que o endereço IP do ator é diferente do IP remoto?
Responder1
Acho que posso ter descoberto o motivo sozinho e vou publicá-lo como resposta, caso outras pessoas também se deparem com esse problema:
Essas instâncias faziam parte de um cluster Kubernetes e eu uso o nginx como controlador de entrada. Esse controlador de entrada é exposto por meio type:Loadbalancerde uma anotação que faz com que a AWS use um Network LoadBalancer (NLB).
Como os NLB preservam o endereço IP de origem, esses IPs também são mostrados nos logs do AWS GuardDuty.