Puse una pequeña prueba de concepto web api en la infraestructura de AWS (elastic beanstalk) usando su nivel gratuito. Mi aplicación funciona bien, pero veo mucho de esto en los registros de acceso:
172.xxx.xxx.xxx - - [18/Jun/2017:10:18:59 +0000] "POST /device/enabler/linear HTTP/1.1" 403 362 "-" "Mozilla/5.0" "149.100.171.172"
172.xxx.xxx.xxx - - [18/Jun/2017:10:18:59 +0000] "POST /device/enabler/linear HTTP/1.1" 403 362 "-" "Mozilla/5.0" "2.227.202.134"
172.xxx.xxx.xxx - - [18/Jun/2017:10:18:59 +0000] "POST /device/enabler/linear HTTP/1.1" 403 362 "-" "Mozilla/5.0" "93.44.33.132"
172.xxx.xxx.xxx - - [18/Jun/2017:10:18:59 +0000] "POST /device/enabler/linear HTTP/1.1" 403 362 "-" "Mozilla/5.0" "93.37.77.196"
172.xxx.xxx.xxx - - [18/Jun/2017:10:18:59 +0000] "POST /device/enabler/linear HTTP/1.1" 403 362 "-" "Mozilla/5.0" "151.62.133.102"
172.xxx.xxx.xxx - - [18/Jun/2017:10:18:59 +0000] "POST /device/enabler/linear HTTP/1.1" 403 362 "-" "Mozilla/5.0" "95.249.219.42"
172.xxx.xxx.xxx - - [18/Jun/2017:10:18:59 +0000] "POST /device/enabler/linear HTTP/1.1" 403 362 "-" "Mozilla/5.0" "2.34.37.138"
Estoy viendo aproximadamente 7 hits por segundo, y siempre es un POST
a /device/enabler/linear
. La URL no es parte de mi aplicación en absoluto. He invertido el DNS en algunos de los IP, y todos parecen ser de ISPs italianos (no estoy seguro si eso es relevante).
No es un problema masivo en este momento, ya que no impide que mi aplicación funcione (¿no estoy realmente seguro de que cuente como ddos?), pero es una molestia y me ha llevado a retirar el servicio (por lo que posiblemente ha tenido éxito). Y empezará a costarme dinero en algún momento porque los registros de acceso se escriben mucho más rápido de lo que anticipé, por lo que excederé las S3 que hay en el plan gratuito.
Estoy en el proceso de averiguar cómo configurar el firewall AWS EC2 (creo que eso es lo que necesito configurar para permitir el acceso desde mi cliente)
¿Alguien ha visto este tipo de cosas antes? ¿Podría ser un ddos? ¿Alguien ha visto éxitos en esta URL de esta manera? (Busqué en Google y la he dejado en blanco)
Aprecie cualquier consejo que alguien pueda ofrecer;