Score:0

อินสแตนซ์ EC2 พบกับทราฟฟิกขาเข้าจำนวนมาก บันทึก Apache แสดงการใช้งานตามปกติ

ธง ar
Ron

ฉันต้องการทิศทางในการหาว่าเกิดอะไรขึ้นที่นี่

ฉันมีอินสแตนซ์ EC2 ที่ใช้งานไซต์ WordPress ทราฟฟิกขาเข้าบนอินสแตนซ์พุ่งขึ้นสู่ระดับที่น่าตกใจ ซึ่งไม่สอดคล้องกับการใช้งานเว็บไซต์ การจราจรขาออกค่อนข้างปกติ

สิ่งนี้ทำให้เว็บไซต์ช้าลงและ

บันทึก Apache ไม่สะท้อนทราฟฟิกที่เข้าสู่เซิร์ฟเวอร์ ไม่มีอะไรผิดปกติในบันทึก ยกเว้น 'การเชื่อมต่อจำลองภายใน' จำนวนมากที่เซิร์ฟเวอร์สร้างขึ้น และจากการอ่านของฉัน 'ไม่มีอะไรต้องกังวล

WordFence (ปลั๊กอินความปลอดภัยของ WordPress) ไม่แสดงอะไรผิดปกติเช่นกัน ดังนั้นฉันจึงสงสัยว่าเป็นการโจมตีบางอย่าง

ฉันสามารถทำตามขั้นตอนใดได้บ้างเพื่อเรียนรู้แหล่งที่มาและเนื้อหาของทราฟฟิกที่เข้าสู่อินสแตนซ์ EC2 ของฉัน

(ขออภัยหากเป็นคำถามที่คลุมเครือฉันไม่ใช่ผู้เชี่ยวชาญ EC2 และนี่คือข้อมูลทั้งหมดที่ฉันมี)


UPDATE: ข้อสงสัยในปัจจุบันคือการโจมตีของ DOS

Paul avatar
cn flag
มันมีความสม่ำเสมอที่สมบูรณ์แบบหรือไม่? WordPress มีสคริปต์ "cron" หรือบางอย่างที่ฉันคิดว่ามันเรียกว่า
ar flag
Ron
@พอล มีความสม่ำเสมอ แต่ไม่สม่ำเสมอ ไม่สามารถคาดเดาได้ และ WordPress crons จะลงทะเบียนเป็นแพ็กเก็ตเครือข่ายขาเข้าใช่ไหม
Paul avatar
cn flag
เมื่อฉันกำหนดค่า nginx ให้อนุญาตเฉพาะสิ่งที่จำเป็นสำหรับการรัน WordPress ฉันต้อง `allow ;` หรือ `wp-cron.php` จะไม่เรียกใช้การเติม `error.log`, IIRC ฉันเพิ่งค้นหา DDG สำหรับ `wp-cron.php` และบทความเกี่ยวกับผลลัพธ์นี้อธิบายมากกว่าที่ฉันรู้ก่อนทำการค้นหา https://medium.com/@thecpanelguy/the-nightmare-that-is-wpcron-php-ae31c1d3ae30
ar flag
Ron
ขอบคุณ @Paul อย่างไรก็ตาม ฉันไม่ใช่ wp-cron เนื่องจากการเรียกไปยัง wp-cron.php มีการแสดงอย่างชัดเจนในบันทึกและไม่มากเกินไป
Score:1
ธง ng

เพื่อให้ชีวิตของคุณง่ายขึ้น คุณจะต้องใช้เครื่องมือตรวจสอบ Amazon ขอเสนอ CloudWatch ซึ่งเป็นส่วนประกอบของ AWS ที่ให้การตรวจสอบแบบเรียลไทม์ของทรัพยากร AWS ที่ทำงานบนโครงสร้างพื้นฐานของ Amazon โดยจะรวบรวมเมตริกและบันทึก ลองไปที่ CloudWatch > Metrics > EC2 > Per Instance Metrics จากนั้นลองกรองตาม ชื่อเมตริก และดูว่าคุณสามารถทราบได้ว่าเกิดอะไรขึ้นกับอินสแตนซ์ของคุณหรือไม่

หวังว่านี่จะเป็นประโยชน์ ความนับถือ!

ar flag
Ron
ขอบคุณ. มีการใช้งาน CloudWatch อยู่แล้ว นั่นเป็นวิธีที่ฉันรู้เกี่ยวกับการจราจรขาเข้าที่มากเกินไปในตอนแรก สิ่งที่ฉันขาดหายไปตอนนี้คือวิธีการตรวจสอบทราฟฟิกนั้น
Score:1
ธง de

สำหรับการวิเคราะห์ทราฟฟิกขาเข้าของคุณ โปรดตรวจสอบลิงก์ต่อไปนี้:

https://docs.aws.amazon.com/wellarchitected/latest/financial-services-industry-lens/monitor-vpc-flow-logs-for-abnormal-traffic-patterns.html

หากคุณต้องการป้องกันการโจมตี DDoS ให้ดียิ่งขึ้น คุณอาจลองใช้บริการ AWS Shield อย่างไรก็ตาม AWS Shield ในตัวเลือกขั้นสูงเป็นบริการที่มีราคาแพงมาก แต่ตัวเลือก AWS Shield Standard อาจเป็นตัวเลือกแรกของคุณในการปกป้องอินสแตนซ์ EC2 คุณไม่ได้กล่าวถึงชั้นที่การโจมตีเกิดขึ้น การป้องกันเลเยอร์ 7 = AWS Shield Advanced

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา