Các yêu cầu lạ liên tục đến API cổng của tôi trên AWS

Tôi có một dịch vụ HTTP đơn giản được xây dựng với AWS lambda và cổng API. Miền trỏ đến cổng được lưu trữ bởi Route53 và cổng sử dụng chứng chỉ từ Trình quản lý chứng chỉ. Nó hoàn toàn mới với dòng chữ "dịch vụ đang chạy" duy nhất trên trang chỉ mục. Thiết lập khá chuẩn. Tất cả được kết nối gọn gàng bằng cách sử dụng Terraform, hoạt động như một cơ duyên... ngoại trừ các yêu cầu lạ đến API cứ sau vài giây (!). Tôi đã kiểm tra mọi hoạt động thăm dò, kiểm tra sức khỏe có thể có trên AWS – mọi thứ đều bị vô hiệu hóa, nhưng các yêu cầu vẫn tiếp tục đến.

Kết xuất yêu cầu từ lambda:

{
    ...
    "tiêu đề": {
        "accept": "*/*", "accept-encoding": "gzip, deflate", "content-length": "0",
        "máy chủ": "sub-b.sub-a.my-domain.com", 
        "tác nhân người dùng": "python-request/2.26.0", 
        "x-amzn-trace-id": "Gốc=1-6158e0d5-0d266e5d0a84add227005a79", 
        "x-forwarded-for": "3.85.226.144", "x-forwarded-port": "443", 
        "x-forwarded-proto": "https"
    }, 
    ...
    "http": {
        "phương thức": "NHẬN", "đường dẫn": "/", "giao thức": "HTTP/1.1",
        "sourceIp": "3.85.226.144", "userAgent": "python-requests/2.26.0"
    }, 
    "requestId": "GmgRbgATFiAEMtQ=",
    "routeKey": "$default", 
    "giai đoạn": "$mặc định", 
    "thời gian": "02/Oct/2021:22:44:37 +0000"
    ...
}

Các 3.85.226.144 IP là phiên bản EC2 ở Bắc Virgina, vì vậy đây là chúng tôi-đông-1 Vùng AWS (của tôi là eu-central-1). Và đại lý đó yêu cầu python/2.26.0. Nó trông giống như một dịch vụ AWS. Đặc biệt là tôi đã thử nghiệm thay đổi tên miền phụ mà không làm thay đổi kết quả cuối cùng vì yêu cầu bắt đầu xuất hiện ngay lập tức sau khi thiết lập lại dịch vụ của tôi với tên miền phụ khác. Khối lượng khoảng 3000 yêu cầu mỗi 1 giờ.

Tôi đã dành hàng giờ để tìm kiếm trên Google và kiểm tra bất cứ thứ gì xuất hiện trong đầu mình, nhưng ngay cả khi tôi làm việc khá thường xuyên với cơ sở hạ tầng thì tôi vẫn bất lực theo đúng nghĩa đen.

Cái quái gì chịu trách nhiệm cho những yêu cầu đó?!

Tất cả các loại ý tưởng và đề xuất được đánh giá cao.

CHỈNH SỬA:

Tôi đã tiến hành thử nghiệm với một miền gốc mới để đảm bảo đó là thứ gì đó từ AWS. Các truy vấn đã dừng (rõ ràng) trong thời gian ngừng hoạt động nhưng đã quay lại ngay lập tức (như vài giây) sau khi có thể truy cập lại dịch vụ. địa hình áp dụng bắt đầu lúc 9:52 và kết thúc lúc 9:59. Tên miền mới được đính kèm sớm hơn 9:59 một chút (một số sửa đổi không liên quan đang chờ xử lý trong vài phút nữa) và vì vậy các yêu cầu bắt đầu đến. Theo như tôi có thể tưởng tượng, không có cách nào có thể phát hiện miền gốc mới nhanh như vậy, vì vậy nó phải liên quan đến chính AWS.

Tôi có thể hỏi tại sao bạn nghĩ rằng điều đó được tạo bởi chính dịch vụ AWS không? Tôi không biết nhiều về AWS, nhưng ngay khi tôi thấy "python-requests/2.26.0" là UA, tôi lập tức tưởng tượng ai đó đã viết một tập lệnh để tận dụng/thăm dò API vì một số lý do. Điều gì thực sự là một câu trả lời cho những yêu cầu này? Bất kỳ thông tin kinh doanh nào có thể được phân tích cú pháp từ nó, chẳng hạn như giá/tỷ lệ, v.v.? Nếu có, thì bạn có thể nhờ ai đó thuê máy chủ trong AWS và viết tập lệnh để phân tích dữ liệu của bạn. Hoặc nếu không, họ có thể đang thăm dò tất cả các máy chủ có thể có cho tất cả các miền có thể. xảy ra trên Internet)

Ngoài ra, có vẻ như bạn không phải là người đầu tiên hỏi hoặc báo cáo về địa chỉ IP đó: https://www.abuseipdb.com/check/3.85.226.144 https://github.com/photoprism/photoprism/issues/1458