Webサービスに対するこの種の低強度の非ハッキング攻撃とは何ですか?
私のサーバーを攻撃しているEC2マシンの束(すべての地域に分散された約30)が今から約10日間見られます。
興味深い(または興味がない、私はまだ知りません)事実はそれです
- 記述的ではないポートで開いているWebサービスをターゲットとする(おそらく以前のスキャンで発見された)
- このポートはHTTPリクエストに対して
200で応答します - クエリはURLのルートにのみあります...
- ...空のページを表示します
言い換えると、彼らはそのWebサービスで継続的にGET /を実行しています。
DDoSだった可能性もありますが、
- マシンの数は非常に限られており、明確に定義されています
- クエリは4つあります毎分、それらはすべて、分中頃にきちんとグループ化されています(約5秒以内)。
したがって、これはDoSではなく(レートは重要ではありません)、DDoSではなく(レートのほかに、人口は少ない)、ハッキングの試みではありません(リクエストが1つのURLで頑固に行われ、トラフィックを調べたところ、これが唯一のターゲットポートです) )。
私はそれを「リッチ(多くのEC2マシン、無料のティアも使用する可能性があります)だが、これが何であるかについてだれもが誰も知らない場合は分類します。
これは、稼働時間サービスの動作のように聞こえます。これらは定期的に複数の場所から接続し、問題が発生した場合にサーバーの所有者に警告するように設計されています。
この場合、サーバーに問題がなかったため、サーバーの所有者がそのようなサービスを設定し、それを忘れていたようです。問題がなければアラートサービスはアラートを送信しないため、簡単にそれらについて忘れてください。
コメントで質問に答える:なぜ追加のチェックを実行するのですか?いくつかの理由:
- 問題がテストサーバーではなくターゲットサーバーに存在することを確認します。
- 複数の場所からリクエストを行うことにより、地理的なテストが可能
- 個々のサーバーに影響を与える可能性のあるネットワークの問題を回避しながら、応答時間などのより複雑なテストを可能にします
- 稼働中のサービス自体が、単一サーバーのダウンによる停止の影響を受けないようにします。