¿Qué es este tipo de ataque no hacking de baja intensidad en un servicio web?

Navega tus respuestas
78

Estoy viendo desde hace aproximadamente 10 días un grupo de máquinas EC2 (aproximadamente 30, distribuidas en todas las regiones) que están atacando un servidor mío.

El hecho interesante (o no interesante, todavía no lo sé) es que

  • se dirigen a un servicio web abierto en un puerto no descriptivo (que probablemente se encontró en un escaneo anterior)
  • este puerto responde con un 200 a una solicitud HTTP
  • las consultas solo están en la raíz de la URL ...
  • ... lo que les trae una página vacía

En otras palabras, están continuamente haciendo un GET / en ese servicio web.

Podría haber sido un DDoS, excepto que

  • el número de máquinas es muy limitado y está bien definido
  • hay 4 consultas por minuto , todas ellas agrupadas ordenadamente (dentro de ~ 5 segundos) a la mitad del minuto

Entonces, esto no es un DoS (la tasa es insignificante), no una DDoS (al lado de la tasa, la población es pequeña), no los intentos de pirateo (la solicitud es obstinadamente en una URL, miré el tráfico y este es el solo puerto apuntado).

Lo clasificaré como "rico (muchas máquinas EC2, también pueden usar el nivel gratuito) pero no estoy seguro de qué" si nadie tiene una idea de lo que es esto.

    
pregunta WoJ 08.06.2016 - 08:32
fuente

1 respuesta

145

Esto suena como el comportamiento de un servicio de tiempo de actividad. Estos se conectan desde múltiples ubicaciones en un intervalo regular, y están diseñados para alertar al propietario del servidor en caso de problemas.

En este caso, parece que el propietario del servidor configuró dicho servicio y luego lo olvidó, ya que el servidor no tenía ningún problema: el servicio de alerta no enviaría alertas a menos que hubiera problemas, por lo que Es fácil olvidarse de ellos.

Respondiendo a la pregunta en el comentario: ¿por qué realizar comprobaciones adicionales? Varias razones:

  • Verifica que existe un problema en el servidor de destino, en lugar de en el servidor de prueba
  • Permite realizar pruebas geográficas al realizar solicitudes desde varias ubicaciones
  • Permite realizar pruebas más complejas, como los tiempos de respuesta, al tiempo que evita problemas de red que pueden afectar a servidores individuales
  • ¡Asegura que el servicio de tiempo de actividad en sí no sufra interrupciones debido a la caída de servidores individuales!
respondido por el Matthew 08.06.2016 - 08:55
fuente

Lea otras preguntas en las etiquetas

Actualización del paquete de idioma de Windows con un nombre absurdo ¿Qué tan seguro es el cifrado de disco completo predeterminado de Ubuntu?