这很奇怪,我有一些实例在私有子网中运行。这些子网不直接暴露给互联网,它们没有公共 IP,所有传出的流量都通过 NAT 实例路由。
然而,GuardDuty 针对此私有子网中的所有实例发出了类似的警告:
Recon:EC2/PortProbeUnprotectedPort
Action
Action type
PORT_PROBE
Blocked
false
First seen
12-21-2019 22:22:10 (a month ago)
Last seen
01-19-2020 11:18:12 (38 minutes ago)
Actor
IP address
159.65.11.106
Location
country:
Singapore
lat:
1.314
lon:
103.6839
Organization
asn:
14061
asnOrg:
DigitalOcean, LLC
isp:
Digital Ocean
org:
Digital Ocean
Additional information
Threat name
Scanner
Threat list name
ProofPoint
Local port
30539
Archived
false
Remote IP details
ipAddress:
5.101.0.209
location:
Moscow, Russia
organization:
PinSPB
因此,这里出现了多个问题:
- 当我的实例没有公共 IP 地址时,它怎么可能被扫描呢?
- 为什么参与者 IP 地址与远程 IP 不同?
答案1
我想我自己可能已经找到了原因,并且我会将其作为答案发布出来以防其他人也遇到这个问题:
这些实例是 Kubernetes 集群的一部分,我使用 nginx 作为入口控制器。此入口控制器通过type:Loadbalancer注释公开,注释使 AWS 使用网络负载均衡器 (NLB)。
由于 NLB 保留了原始 IP 地址,因此这些 IP 也会显示在 AWS GuardDuty 日志中。