2

我在弹性负载均衡器后面有几个 EC2 实例。这些实例为单个网站提供 HTTP 请求。我最近开始查看流量的 HOST 标头,因为我打算将我的应用程序拆分为虚拟主机。

我有规律地(一天几十次)记录一个与我的服务器完全无关的主机名请求。作为几个例子,今天我看到了带有主机名ad.adserverplus.comr1---sn-upfn-hp5e.c.youtube.com. 我查了这些,发现 IP 地址与我的任何服务器都不相同,也不与 ELB 相同,所以我试图建立一个关于这种情况如何发生的理论。

我意识到有人可能在欺骗主机头,但这种情况经常发生,我很确定这不是正在发生的事情。我的另一个想法是,不知何故,有一些陈旧的 DNS 数据恰好将其中一个主机解析为我的 IP 地址,但这似乎偶尔会发生一次,但不会定期发生。还有哪些其他可能性,我如何验证/抹黑它们?

编辑我今天查看了一些意外的主机名,似乎它们实际上确实解析为一个 IP,该 IP 是我的域顶点解析到的可能 IP 之一。我将 Route 53 用于 DNS,并且我将区域顶点指向 ELB,因此当我查询我的域的 IP 地址时,我会根据我询问的时间得到不同的答案。所以这让我很好奇,这些 IP 地址是如何分配给我的,EC2 如何确保他们没有选择其他人已经在使用的 IP 地址。

4

2 回答 2

0

这有很多原因。首先,您应该了解您的 EC2 实例和负载均衡器的公共主机名之前可能已经使用过。如果您有一个与负载均衡器关联的弹性 IP,那么它之前也可能被使用过。

因此,您可以获得针对您当前正在使用的 IP 地址主机名的先前租户的服务器的流量。

您可以做的一件事是将您的 Web 服务器配置为拒绝流量(以 403 响应)拒绝未使用指定的正确主机名到达或来自特定外部主机的流量。

于 2013-04-25T18:39:14.497 回答
0

您的 IP 或您的 ELB 的 IP 可能曾经是一个开放代理。这意味着有人希望您将请求转发到他们的预期目的地。

但一般来说,打开 80 端口到互联网,各种机器人和僵尸会以相当稳定的狡猾请求流访问你。我想尽管 \ec2 IP 范围将是一个特别多汁的范围,可以搜索修补不良的网站以进行利用。

于 2015-11-16T11:28:09.757 回答