【发布时间】:2023-03-21 23:09:01
【问题描述】:
我正在使用 AWS 安全组入站规则,只为私有资源提供对 EC2 实例的 HTTP 访问权限,但对我的 IP 地址提供公共 SSH 访问权限
为此,实例需要一个公共 IP 地址
我知道 IP 欺骗很容易做到,但使用 SSL 握手更难
我的问题是攻击者能否从典型的 AWS CIDR 10.0.x.y 中欺骗私有 IP 并将 HTTP 请求发送到我的 EC2 实例?
这个问题的目的是为了更好地了解 AWS 安全组的安全保证
【问题讨论】:
-
您是否担心从 Internet 到您的实例的流量?无法将流量从 Internet 定向到专用 IP 地址。欺骗是伪造源 IP 地址。因此,他们可以欺骗您自己的 IP 地址以通过安全组使用 SSH,但返回的流量将被发送到“真实”IP 地址,因此他们看不到响应。由于 SSH 需要双向协商,因此无法建立连接。
标签: amazon-web-services http amazon-ec2 ip aws-security-group