Рейтинг:0

Инстанс EC2 испытывает сильные всплески входящего трафика. Журналы Apache показывают нормальное использование

флаг ar
Ron

Мне нужно какое-то направление, чтобы выяснить, что здесь происходит.

У меня есть экземпляр EC2, на котором работает сайт WordPress. Входящий трафик экземпляра достигает тревожного уровня, что не соответствует использованию веб-сайта. Исходящий трафик относительно нормальный.

Это замедляет работу сайта и

Журналы Apache не отражают трафик, поступающий на сервер. В журналах нет ничего необычного, за исключением множества «внутренних фиктивных подключений», которые создаются сервером и о которых, согласно моим данным, не о чем беспокоиться.

WordFence (плагин безопасности WordPress) также не показывает ничего необычного. Так что я сомневаюсь, что это какая-то атака.

Какие шаги я могу предпринять, чтобы узнать источник и содержание трафика, поступающего на мой инстанс EC2?

(Извините, если это неконкретный вопрос.Я не эксперт по EC2, и это вся информация, которой я располагаю).


ОБНОВЛЕНИЕ: В настоящее время подозревается, что это DOS-атака.

Paul avatar
флаг cn
Это с идеальной регулярностью? В WordPress есть свой скрипт «cron», или как-то так он называется.
флаг ar
Ron
@Павел. Это последовательно, но не регулярно, не предсказуемо. И крон WordPress будет регистрироваться как входящий сетевой пакет, не так ли?
Paul avatar
флаг cn
Когда я настроил nginx так, чтобы он разрешал только то, что необходимо для запуска WordPress, я должен «разрешить ;` или `wp-cron.php` не запускается, заполняет `error.log`, IIRC. Я только что искал DDG для `wp-cron.php`, и эта статья объясняет это больше, чем я знал до поиска. https://medium.com/@thecpanelguy/the-nightmare-that-is-wpcron-php-ae31c1d3ae30
флаг ar
Ron
Спасибо @Paul, однако я не wp-cron, так как вызовы wp-cron.php четко представлены в журналах и не являются чрезмерными.
Рейтинг:1
флаг de

Для анализа входящего трафика перейдите по следующей ссылке:

https://docs.aws.amazon.com/wellarchitected/latest/financial-services-industry-lens/monitor-vpc-flow-logs-for-abnormal-traffic-patterns.html

Если вы хотите лучше защититься от DDoS-атак, вы можете попробовать использовать сервис AWS Shield. Однако расширенный вариант AWS Shield — это очень дорогая услуга, но вариант AWS Shield Standard может стать вашим первым выбором для защиты инстанса EC2. Вы не упомянули, на каком уровне была атака. Защита уровня 7 = AWS Shield Advanced.

Рейтинг:1
флаг ng

Чтобы сделать вашу жизнь проще, вам нужно использовать инструмент мониторинга, который предлагает Amazon. CloudWatch который является компонентом AWS, который обеспечивает мониторинг ресурсов AWS, работающих в инфраструктуре Amazon, в режиме реального времени, собирает метрики и журналы. Попробуйте перейти в CloudWatch > Метрики > EC2 > Метрики для каждого экземпляра. затем попробуйте отфильтровать по Название метрики и посмотрите, сможете ли вы выяснить, что произошло на вашем экземпляре.

Надеюсь, это полезно. С уважением!

флаг ar
Ron
Спасибо. CloudWatch уже используется. Вот как я узнаю о чрезмерном входящем трафике в первую очередь. Чего мне сейчас не хватает, так это способа проверить этот трафик.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.