Cos'è questo tipo di attacco a bassa intensità e non hacking su un servizio web?

Naviga le tue risposte
78

Vedo da circa 10 giorni un gruppo di macchine EC2 (circa 30 distribuite in tutte le regioni) che stanno attaccando un mio server.

Il fatto interessante (o poco interessante, non lo so ancora) è che

  • indirizzano un servizio Web aperto su una porta non descrittiva (che è stata probabilmente trovata attraverso una scansione precedente)
  • questa porta risponde con una 200 a una richiesta HTTP
  • le query riguardano solo la radice dell'URL ...
  • ... che porta loro una pagina vuota

In altre parole, stanno facendo continuamente un GET / su quel servizio web.

Potrebbe essere un DDoS, tranne che

  • il numero di macchine è molto limitato e ben definito
  • ci sono 4 query al minuto , tutte raggruppate ordinatamente (entro ~ 5 secondi) verso la metà del minuto

Quindi questo non è un DoS (il tasso è insignificante), non un DDoS (accanto al tasso, la popolazione è piccola), non tentativi di hacking (la richiesta è ostinatamente su un URL, ho guardato il traffico e questo è il solo porta mirata).

Lo classificherò come "ricco (molte macchine EC2, possono anche usare il livello gratuito) ma stupido non-sicuro-cosa" se nessuno ha un'idea di cosa sia.

    
posta WoJ 08.06.2016 - 08:32
fonte

1 risposta

145

Sembra il comportamento di un servizio di uptime. Questi si collegano da più posizioni a intervalli regolari e sono progettati per avvisare il proprietario del server in caso di problemi.

In questo caso, sembra che il proprietario del server abbia configurato un tale servizio, e poi se ne sia dimenticato, dal momento che il server non ha avuto problemi: il servizio di avviso non avrebbe inviato avvisi a meno che non ci fossero problemi, quindi è facile dimenticarsene.

Risposta alla domanda nel commento: perché eseguire controlli extra? Diversi motivi:

  • Verifica che esista un problema sul server di destinazione, piuttosto che sul server di prova
  • Consente di eseguire test geografici, effettuando richieste da più posizioni
  • Consente test più complessi, come i tempi di risposta, evitando al contempo problemi di rete che potrebbero interessare i singoli server
  • Garantisce che il servizio di uptime non subisca interruzioni dai server singoli che scendono!
risposta data 08.06.2016 - 08:55
fonte

Leggi altre domande sui tag

Quanto è sicura la cifratura predefinita di Ubuntu per tutto il disco? Aggiornamento del language pack di Windows con un nome senza nome