我们最近对我们的 Web 应用程序进行了更改,该应用程序内置于 .net 并在 AWS 上运行,其中包括使用 ELMAH 进行错误日志记录。结果,几天后,我们注意到大量请求向我们发送了垃圾邮件,这些请求在日志中显示为 404 错误。
我们应该担心所有这些尝试吗?这究竟意味着什么?我们是否应该采取任何行动来帮助防止这种情况发生?
根据我目前的发现,如果你有 PHP,你可能更容易受到攻击。
有关错误的小样本大小,请参阅随附的屏幕截图。
【问题讨论】:
标签: .net http-status-code-404 elmah
似乎有人正在扫描您的应用程序,以查看是否安装了任何他们可能想要尝试破解的软件。您可以看到由于特定类型的请求,例如 phpmyadmin 的请求。
一方面,这对于面向公众的网站来说是相当正常的*。另一方面,我知道您会想要“解决”这个问题。一种情况是实现throttling 或Rate Limiting。您可以想到很多场景,例如,一旦某个 IP 在指定时间内有太多 404 请求,就立即阻止它。
*不幸的是,我们已经到了这样的地步,我们说这样的事情“相当正常”。
【讨论】:
我不确定您的预算是多少,但使用 Amazon 的 Web 应用程序防火墙肯定会解决这个问题。
https://docs.aws.amazon.com/waf/latest/developerguide/tutorials-common-attacks.html
https://docs.aws.amazon.com/waf/latest/developerguide/tutorials-4xx-blocking.html
还可以查看此预构建的 Web 应用程序防火墙模板,该模板利用 AWS 最佳实践来提高安全性和可用性:
https://docs.aws.amazon.com/solutions/latest/aws-waf-security-automations/welcome.html
Web Requests Cost/Month 1 million $14.65 10 million $46.50 100 million $79.00
【讨论】:
就像其他答案之一中提到的那样,被扫描是所有面向公众的网站的常见问题。有可用的代理产品,它们能够过滤掉其中一些请求,但没有任何东西可以 100% 捕获。
我对此的输入将是 ELMAH 中的用户 error filtering。您可能不想忽略每个 404,因为这也可能是由您自己的网站引起的(并且您想知道什么时候发生)。使用过滤,您可以创建 IP 和状态代码的组合来忽略。
【讨论】: