我在一个弹性负载均衡器后面有两个EC2实例。这些实例为单个网站提供HTTP请求。我最近开始查看流量的HOST头,因为我计划将我的应用程序拆分为虚拟主机。
有规律地(一天几十次),我记录了一个与我的服务器完全无关的主机名请求。举几个例子,今天我看到了主机名为ad.adserverplus.com和r1---sn-upfn-hp5e.c.youtube.com的请求。我查了这些,IP地址与我的任何服务器都不一样,也不是ELB,所以我正试图开发一种理论来解释这种情况是如何发生的。
我意识到有人可能在欺骗主机头,但这种情况经常发生,我很确定这不是正在发生的事情。我的另一个想法是,不知何故,有过时的DNS数据恰好将其中一个主机解析为我的IP地址,但这似乎偶尔会发生,但不是经常发生。还有哪些其他的可能性,我该如何证实或否定它们?
编辑我今天查看了一些意想不到的主机名,似乎它们实际上确实解析到一个IP,这是我的域名顶点解析到的可能的IP之一。我使用Route 53作为DNS,并且我将区域顶点指向ELB,因此当我查询我的域的IP地址时,根据我的询问时间,我得到不同的答案。所以这让我很好奇,这些IP地址是如何分配给我的,以及EC2如何确保他们没有占用别人已经在使用的IP地址。
这有很多原因。首先,您应该了解EC2实例和负载平衡器的公共主机名以前可能已经被使用过。如果您有一个与负载均衡器相关联的弹性IP,那么它也可能以前使用过。
这样,您就可以将流量发送到您的服务器,该服务器是为您当前使用的主机名或IP地址的前租户准备的。
你可以做的一件事是配置你的web服务器拒绝流量(响应403),流量没有到达正确的主机名指定或来自一个特定的外部主机。
您的IP或您的ELBs IP可能在某个时间点是一个开放的代理。意思是有人希望你能把请求转发到他们预定的目的地。
,但一般来说,打开端口80到互联网和各种机器人和僵尸会访问你与一个相当稳定的流动的狡猾的请求。我想,尽管ec2 IP范围将是一个特别有价值的范围,以搜索修补不良的网站加以利用。