我们运行内部 Exchange 服务器,最近发现大量流量来自 Amazon IP。奇怪的是,这些流量不是 SMTP;而是似乎在访问端口 443(即客户端访问服务器的 OWA/ECP 网站)。
我们对这些流量的目的感到困惑。我们想到的一个想法是,也许某个用户注册了第三方服务,该服务在 AWS 基础设施上运行,并定期(过度)登录 OWA 进行同步。但我们不清楚这些会话是否以用户身份登录,还是只是抓取登录登录页面。
我们尝试阻止观察到的地址以查看是否出现问题,但流量不久后又从另一组 Amazon IP 返回。
我开了一个友好的票[电子邮件保护]但迄今为止他们还没有发现任何有用的信息。
我如何才能识别这些流量正在试图做什么?
我如何阻止来自属于 Amazon AWS 的 IP 的所有到我的服务器的流量?
答案1
阻断交通
我创建了一个临时大锤照顾#2。
所有 AWS IP 范围的权威列表由 Amazon 发布在 https://ip-ranges.amazonaws.com/ip-ranges.json。该列表每周更新数次,更详细的描述见这篇博文。
该程序下载并解析列表,然后在 Windows 防火墙中创建(或更新)阻止规则。
在越来越多的身份模糊的服务从 AWS 基础设施上运行的情况下,也许这会对遇到类似问题的其他人有所帮助。
调查流量
对于 #1,这些 LogParser蜥蜴查询很有帮助:
SELECT * FROM #IISW3C#
WHERE c-ip in ('35.153.205.73'; '52.45.133.113'; /* additional IP's here */)
按月份、网址和用户分组:
SELECT TO_STRING(date, 'yyyy-MMM') AS Month, cs-uri-stem, cs-username, COUNT(*) AS Hits
FROM #IISW3C#
WHERE c-ip in ('35.153.205.73'; '52.45.133.113'; /* additional IP's here */)
GROUP BY Month, cs-uri-stem, cs-username
ORDER BY Month, cs-uri-stem, cs-username
结果
毫不奇怪,它访问了/EWS/Exchange.asmx
和/EWS/Services.wsdl
。用户代理通常为空白、Python-urllib/2.7
或python-requests/2.8.1
。python-requests/2.9.0
响应代码为401.0
(未授权)、401.1
(无效凭证) 和200.0
(确定)。每种代码都有很多。
所有这些200
服务都使用了我们域中单个用户的凭证。我猜他们注册了 Amazon WorkMail API(电子邮件传递/日历更新的推送通知)、Amazon Comprehend(传入电子邮件的情感分析)、Alexa for Business(向 Alexa 询问预定事件,通过语音添加新事件)或与 Amazon 品牌完全无关的第三方服务,而第三方恰好从 Amazon 基础设施运行 EWS 客户端。
我们正在跟进用户。如果有人能更好地猜测出它是什么产品,我很想听听。这个东西在 3 月的前 10 天产生了大约 25000 次点击,其中一些点击需要很长时间才能完成(可能返回了大量数据)。我知道按照亚马逊的标准,这只是小菜一碟,但这足以引起我们的注意。