这是我在 serverfault 上的第一个问题。我希望这是提出有关此主题问题的正确地方。
不久前我设置了一个 AWS EC2 Linux 实例。今天我收到来自亚马逊的电子邮件,报告说我的实例上个月的网络流量使用率很高。
我开始调查。由于对 Linux、网络等不太熟悉,我已将日志记录添加到iptables规则中。
sudo iptables -I INPUT -j LOG
sudo iptables -I FORWARD -j LOG
sudo iptables -I OUTPUT -j LOG
我知道我找不到过去网络流量使用过多的原因,但我得到了有趣的行/var/log/messages。这是一个 CentOS 实例。
kernel: [XXXX] IN=eth0 OUT= MAC=XXXX SRC=159.65.145.206
DST=172.31.22.128 LEN=104 TOS=0x00 PREC=0x20 TTL=35 ID=50238 DF
PROTO=TCP SPT=40802 DPT=22 WINDOW=157 RES=0x00 ACK PSH URGP=0
我从日志行中删除了日期和时间。还将 MAC 编辑为 XXXX。但那是今天。Linuxwhois实用程序告诉我源 IP 属于 DigitalOcean, LLC。
以下是我对这个日志的想法。据我目前了解,SRC(DigitalOcean)与我的 AWS Linux 实例之间存在一些连接。并且有人或某些服务通过 ssh 连接到我的实例。
最后的问题。连接到我的实例的服务是合法的吗?也许我应该拒绝除我通过 ssh 连接之外的所有网络流量?
我需要一个在这方面对 AWS EC2 有更多经验的人。