Регистрация Войти
Рейтинг:0
glowka avatar Server

Странные запросы продолжают поступать к моему API шлюза на AWS

флаг us
glowka

У меня есть простой HTTP-сервис, созданный с помощью AWS lambda и API-шлюза. Домен, указывающий на шлюз, размещается на Route53, а шлюз использует сертификат от диспетчера сертификатов. Это абсолютно свежо с единственным текстом «служба запущена» на странице индекса. Довольно стандартная установка. Все аккуратно подключено с помощью Terraform, работает как шарм... за исключением странных запросов, поступающих к API каждые несколько секунд (!). Я проверил все возможные зонды, проверки работоспособности, доступные на AWS — все отключено, но запросы продолжают поступать.

Дамп запроса от лямбды:

{
    ...
    "заголовки": {
        "accept": "*/*", "accept-encoding": "gzip, deflate", "длина содержимого": "0",
        "host": "sub-b.sub-a.my-domain.com", 
        "пользовательский агент": "python-requests/2.26.0", 
        "x-amzn-trace-id": "Корень = 1-6158e0d5-0d266e5d0a84add227005a79", 
        "x-forwarded-for": "3.85.226.144", "x-forwarded-port": "443", 
        "x-forwarded-proto": "https"
    }, 
    ...
    "http": {
        "метод": "GET", "путь": "/", "протокол": "HTTP/1.1",
        "sourceIp": "3.85.226.144", "userAgent": "python-requests/2.26.0"
    }, 
    "requestId": "GmgRbgATFiAEMtQ=",
    "routeKey": "$ по умолчанию", 
    "этап": "$ по умолчанию", 
    "время": "02/окт/2021:22:44:37 +0000"
    ...
}

3.85.226.144 IP — это экземпляр EC2 в Северной Вирджинии, поэтому сша-восток-1 Регион AWS (у меня eu-central-1). И этот агент python-запросы/2.26.0. Это похоже на сервис AWS. Тем более, что я экспериментировал с изменением поддомена, который не меняет окончательный результат, поскольку запрос начинает появляться сразу после повторной настройки моего сервиса с другим поддоменом. Объем около 3000 запросов в час.

Я уже часами гуглил и проверял все, что приходило мне в голову, но, несмотря на то, что я довольно часто работаю с инфраструктурой, я буквально беспомощен.

Что, черт возьми, отвечает за эти запросы?!

Всевозможные идеи и предложения высоко ценятся.

РЕДАКТИРОВАТЬ:

Я провел тест с новым корневым доменом, чтобы убедиться, что это что-то от AWS. Запросы прекратились (очевидно) во время сбоя, но вернулись немедленно (например, через несколько секунд) после того, как служба снова стала доступной. применить терраформ началось в 9:52 и закончилось в 9:59. Новый домен был подключен чуть раньше 9:59 (какие-то неактуальные модификации ждали еще несколько минут) и поэтому начали поступать запросы. Насколько я могу себе представить, ничто не может так быстро обнаружить новый корневой домен, поэтому он должен быть связан с самим AWS. введите описание изображения здесь

194
0 + 0
Рейтинг:1
glowka avatar Server
флаг us
glowka

Итак, проблема оказалась связана с маршрутом Route 53 или диспетчером сертификатов.

Когда я применял свои ресурсы, определенные терраформом какое-то состояние гонки должно было иметь место и вызвать какое-то зондирование инициализации, которое длилось вечно, а не останавливалось сразу после создания ресурсов. Итак, мой вывод таков: когда шлюз API, маршрут DNS и сертификат создаются одновременно, Route53 или CM имеют тенденцию оставаться в каком-то странном состоянии. Создание всех сервисов с помощью terraform, затем удаление маршрута и повторное создание решили проблему.

0 + 0
Рейтинг:0
Alex avatar Server
флаг us
Alex

Могу я спросить, почему вы думаете, что это генерируется самим сервисом AWS? Я мало что знаю об AWS, но как только я вижу «python-requests/2.26.0» как UA, я сразу же представляю, что кто-то по каким-то причинам написал скрипт для использования/проверки API. Что на самом деле является ответом на эти запросы? Можно ли извлечь из него какую-либо коммерческую информацию, такую ​​как цены/тарифы и т. д.? Если да, то, возможно, у вас просто есть кто-то, кто арендует сервер в AWS и пишет сценарии для анализа ваших данных. Или же они могут проверять все возможные хосты на наличие всех возможных доменов. Встречается в Интернете)

Кроме того, похоже, что вы не первый, кто спрашивает или сообщает об этом IP-адресе: https://www.abuseipdb.com/check/3.85.226.144 https://github.com/photoprism/photoprism/issues/1458

0 + 0
glowka avatar
флаг us
glowka
Это абсолютно свежий веб-сервис, буквально пустой, единственный текст «сервис запущен» на главной странице. После вашего вопроса я провел тест с новым корневым доменом. Запросы прекратились (очевидно) во время сбоя, но вернулись немедленно (например, через несколько секунд) после того, как служба снова стала доступной. Нет никакого способа, чтобы кто-то мог обнаружить это. Я не был уверен, был ли это сервис AWS, но теперь действительно трудно думать о чем-то другом. В любом случае, спасибо за конструктивный вопрос!
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.