Puncte:0

Instanța EC2 se confruntă cu creșteri masive de trafic de intrare. Jurnalele Apache arată utilizarea normală

drapel ar
Ron

Am nevoie de o direcție pentru a-mi da seama ce se întâmplă aici.

Am o instanță EC2 care rulează un site WordPress. Traficul de intrare pe instanță crește la niveluri alarmante, care nu sunt în concordanță cu utilizarea site-ului web. Traficul de ieșire este relativ normal.

Acest lucru încetinește site-ul și

Jurnalele Apache nu reflectă traficul care lovește serverul. Nu există nimic ieșit din comun în jurnale, cu excepția multor „Conexiuni interne false” care sunt generate de server și care, conform citirii mele, nu sunt de ce să vă faceți griji.

WordFence (plugin de securitate WordPress) nu arată nimic ieșit din comun. Deci mă îndoiesc că este un atac de vreun fel.

Ce pași pot face pentru a afla sursa și conținutul traficului care lovește instanța mea EC2?

(Ne pare rău dacă aceasta este o întrebare vagă.Nu sunt expert EC2, iar acestea sunt toate informațiile pe care le am).


UPDATE: Suspiciunea actuală este că este un atac DOS.

Paul avatar
drapel cn
Este cu o regularitate perfectă? WordPress are scriptul său „cron”, sau ceva ce cred că se numește.
drapel ar
Ron
@Paul. Este consistent, dar nu regulat, nu previzibil. Și WordPress crons s-ar înregistra ca pachet de rețea de intrare, nu-i așa?
Paul avatar
drapel cn
Când am configurat nginx pentru a permite numai ceea ce este necesar pentru a rula WordPress, trebuie să „permit”. ;` sau `wp-cron.php` nu va rula completările `error.log`, IIRC. Tocmai am căutat în DDG `wp-cron.php` și acest articol la rezultat explică mai mult decât știam înainte de a căuta. https://medium.com/@thecpanelguy/the-nightmare-that-is-wpcron-php-ae31c1d3ae30
drapel ar
Ron
Mulțumesc @Paul, Cu toate acestea, nu este wp-cron, deoarece apelurile către wp-cron.php sunt clar reprezentate în jurnale și nu sunt excesive.
Puncte:1
drapel ng

Pentru a vă ușura viața, ar trebui să utilizați un instrument de monitorizare, oferit de Amazon CloudWatch care este o componentă a AWS care oferă monitorizare în timp real a resurselor AWS care rulează pe infrastructura Amazon, colectează valori și înregistrează. Încercați să accesați CloudWatch > Metrics > EC2 > Per Instance Metrics apoi încearcă să filtrezi după Numele valorii și vedeți dacă vă puteți da seama ce s-a întâmplat în instanța dvs.

Sper că acest lucru este util. Salutari!

drapel ar
Ron
Mulțumiri. CloudWatch este deja utilizat. Așa știu despre traficul excesiv de intrare în primul rând. Ceea ce îmi lipsește acum este o modalitate de a inspecta acel trafic.
Puncte:1
drapel de

Pentru a analiza traficul dvs. de intrare, vă rugăm să verificați următorul link:

https://docs.aws.amazon.com/wellarchitected/latest/financial-services-industry-lens/monitor-vpc-flow-logs-for-abnormal-traffic-patterns.html

Dacă doriți să fiți mai bine protejat împotriva atacurilor DDoS, puteți încerca să utilizați serviciul AWS Shield. Cu toate acestea, opțiunea AWS Shield în avansat este un serviciu foarte scump, dar opțiunea AWS Shield Standard ar putea fi prima alegere pentru a proteja instanța EC2. Nu ai menționat la ce strat avea atacul. Protecția layer 7 = AWS Shield Advanced.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.