识别并阻止来自 Amazon AWS 服务器的流量

识别并阻止来自 Amazon AWS 服务器的流量

我们运行内部 Exchange 服务器,最近发现大量流量来自 Amazon IP。奇怪的是,这些流量不是 SMTP;而是似乎在访问端口 443(即客户端访问服务器的 OWA/ECP 网站)。

我们对这些流量的目的感到困惑。我们想到的一个想法是,也许某个用户注册了第三方服务,该服务在 AWS 基础设施上运行,并定期(过度)登录 OWA 进行同步。但我们不清楚这些会话是否以用户身份登录,还是只是抓取登录登录页面。

我们尝试阻止观察到的地址以查看是否出现问题,但流量不久后又从另一组 Amazon IP 返回。

我开了一个友好的票[电子邮件保护]但迄今为止他们还没有发现任何有用的信息。

  1. 我如何才能识别这些流量正在试图做什么?

  2. 我如何阻止来自属于 Amazon AWS 的 IP 的所有到我的服务器的流量?

答案1

阻断交通

我创建了一个临时大锤照顾#2。

所有 AWS IP 范围的权威列表由 Amazon 发布在 https://ip-ranges.amazonaws.com/ip-ranges.json。该列表每周更新数次,更详细的描述见这篇博文

该程序下载并解析列表,然后在 Windows 防火墙中创建(或更新)阻止规则。

在越来越多的身份模糊的服务从 AWS 基础设施上运行的情况下,也许这会对遇到类似问题的其他人有所帮助。

调查流量

对于 #1,这些 LogParser蜥蜴查询很有帮助:

SELECT * FROM #IISW3C#
WHERE c-ip in ('35.153.205.73'; '52.45.133.113'; /* additional IP's here */)

按月份、网址和用户分组:

SELECT TO_STRING(date, 'yyyy-MMM') AS Month, cs-uri-stem, cs-username, COUNT(*) AS Hits
FROM #IISW3C#
WHERE c-ip in ('35.153.205.73'; '52.45.133.113'; /* additional IP's here */)
GROUP BY Month, cs-uri-stem, cs-username
ORDER BY Month, cs-uri-stem, cs-username

结果

在此处输入图片描述

毫不奇怪,它访问了/EWS/Exchange.asmx/EWS/Services.wsdl。用户代理通常为空白、Python-urllib/2.7python-requests/2.8.1python-requests/2.9.0响应代码为401.0(未授权)、401.1(无效凭证) 和200.0(确定)。每种代码都有很多。

所有这些200服务都使用了我们域中单个用户的凭证。我猜他们注册了 Amazon WorkMail API(电子邮件传递/日历更新的推送通知)、Amazon Comprehend(传入电子邮件的情感分析)、Alexa for Business(向 Alexa 询问预定事件,通过语音添加新事件)或与 Amazon 品牌完全无关的第三方服务,而第三方恰好从 Amazon 基础设施运行 EWS 客户端。

我们正在跟进用户。如果有人能更好地猜测出它是什么产品,我很想听听。这个东西在 3 月的前 10 天产生了大约 25000 次点击,其中一些点击需要很长时间才能完成(可能返回了大量数据)。我知道按照亚马逊的标准,这只是小菜一碟,但这足以引起我们的注意。

相关内容