有趣的(或无趣的,我不知道)事实是
它们以非描述性端口(可能是通过较早的扫描找到的)上的开放式Web服务为目标。
该端口以
200回复HTTP。请求查询仅在URL的根目录下...
...这将使它们成为空白页
,换句话说,它们在该Web服务。
本来可以是DDoS,除了
机器数量非常有限且定义明确
有4个每分钟查询,所有查询都在分钟的中间整齐地分组(在约5秒之内)
所以这不是DoS(比率微不足道),而不是DDoS(除了比率,人口很小),而不是黑客尝试(请求是顽固地放在一个URL上的,我发现确定流量,这是唯一的目标端口)。
如果没有人知道这是什么,我将其归类为“丰富(许多EC2机器,它们也可能使用免费层),但不知道怎么做”。
#1 楼
这听起来像是正常运行时间服务的行为。它们定期从多个位置连接,旨在在出现问题时向服务器所有者发出警报。在这种情况下,服务器所有者似乎已经设置了此类服务,并且然后忘记了它,因为服务器没有任何问题-除非有问题,否则警报服务不会发送警报,因此很容易忘记它们。
回答中的问题:为什么要执行额外的检查?有几个原因:
通过从多个位置发出请求,验证目标服务器上而不是测试服务器上是否存在问题
允许进行地理测试。
允许进行更复杂的测试,例如响应时间,同时避免可能影响单个服务器的网络问题
确保正常运行时间服务本身不会因单个服务器故障而停机!
评论
每分钟(或五分钟)一次这样的“ ping”是否足够?为什么有30个?
–user82913
16年6月8日在13:55
取决于服务。有些提供了多个测试位置,因此您可以查看特定国家/地区是否存在路由问题(例如,如果日本客户看不到您的站点,则日本和您的服务器之间可能存在连接问题)。其他人则进行时序测试,因此请运行多个测试以确保可以忽略间歇性问题。某些服务甚至加载整个页面并拍摄屏幕截图,因此您可以查看更改页面是否存在仅在给定基于时间的因素的情况下才显示的问题
–马修
16年6月8日在14:05
如果您使用过的正常运行时间服务的总内存丢失,则可以将其中一些IP临时添加到防火墙中以阻止它们,或者在不重要的情况下关闭服务几分钟,然后等待看看谁与您联系。
–i-CONICA
16年6月8日在14:11
ping只能告诉您计算机在网络上可访问,而不是Web服务器正在运行或Web应用程序正在响应。
–i-CONICA
16年6月8日在14:12
@ i-CONICA问题不是说这是ping,而是HTTP GET请求。
–马修
16年6月8日在14:14
评论
您有“正常运行时间”服务吗?这听起来很像他们使用的连接模式。啊...。你绝对正确。我最近测试了一个警报服务-针对该特定的Web服务...(与此同时忘记了)。谢谢-如果您能将其转化为答案,我将很乐意接受(并为永恒感到ham愧:)。这也将解释分布式EC2机器。
@WoJ请不要感到羞耻! :-)这是一个很好的问题,可以在将来帮助其他受同一事物困扰的人。
也许您应该让亚马逊意识到这一点。
@QuoraFeans:请阅读答案(以及我在上面的评论)-最终根本不是攻击。