У меня есть сервер, который работает на aws - он сбалансирован с нагрузкой для некоторых экземпляров ec2, которые запускают серверы node.js. Группы безопасности настроены таким образом, что только LB может ударить их по HTTP-порту.Выполнение/предотвращение потенциально вредоносных запросов (AWS, Node.js)
Я искал некоторые файлы журналов и видел кучу (по 50 или около того за один раз, по-видимому, несколько периодически) запросов к /manager/html
- AFAIK это похоже на попытку выявить уязвимость в моем приложении или получить доступ к менеджер базы данных.
Мои вопросы:
Am I мишенью или эти случайные искатели? Это на службе, которая еще не запущена, так что это определенно неясно. Там была небольшая пресса об услуге, поэтому вполне возможно, что человек будет знать о нашем домене, но этот субдомен не был обнародован.
Существуют ли общие соглашения, запрещающие этим типам запросов ударять мои экземпляры? Предпочтительно, я мог бы настроить какую-то частоту или черный список в своем LB, и никогда не получал бы эти типы запросов в экземпляре. Не уверен, как обнаружить вредоносный и обычный трафик.
Должен ли я запускать локальный прокси-сервер в своих экземплярах ec2, чтобы избежать такого рода вещей? Существуют ли существующие решения node.js, которые могут просто отказаться от запросов на уровне приложения? Это плохая идея?
Бонус: Если бы я должен был регистрировать происхождение этих запросов, была бы полезной эта информация? Должен ли я попытаться отправиться изгоев и выследить происхождение и послать им больно? Должен ли я bemwineguns происхождения IP, если это единственное происхождение? (Я понимаю, что это глупо, но может вдохновить некоторые забавные ответы).
В настоящее время эти запросы не оказывают на меня влияние, они получают 401 или 404s, и это практически не влияет на других клиентов. Но если это будет расти в масштабе, каковы мои варианты?