如何确定并解决来自 Route 53 的不需要的运行状况检查?

上次更新时间:2020 年 6 月 18 日

我的服务器收到了来自 Amazon Route 53 运行状况检查服务器的不需要的请求。如何确定并解决此问题?

简短描述

当您将运行状况检查与某个终端节点关联时,Route 53 将向该终端节点的 IP 地址发送运行状况检查请求,以验证其运行是否正常。如果指定的 IP 地址不正确,或者未在需要时更新或删除运行状况检查,则可能会出现问题。

解决方法

确定不需要的请求源

1.    使用 Route 53 IP 地址范围来查找不需要的请求的源 IP 地址。有关更多信息,请参阅 Route 53 服务器的 IP 地址范围页面的“ROUTE53_HEALTHCHECKS”部分。

2.    检查应用程序服务器日志,以确定请求是否来自 Route 53 运行状况检查服务器。Route 53 运行状况检查会在执行运行状况检查时设置以下 HTTP 标头:

"Amazon-Route53-Health-Check-Service (ref <reference ID/ b5996862-d894-4595-88da-7940808e9665>; report http://amzn.to/1vsZADi)"

示例 Application Load Balancer 访问日志:

http 2020-05-12T14:14:25.000265Z app/myapplicationloadbalancer 54.241.32.97:49816 10.0.3.64:80 -1 -1 -1 502 - 241 288 "GET http:// <ALB DNS NAME>:80/ HTTP/1.1" "Amazon-Route53-Health-Check-Service (ref b5996862-d894-4595-88da-7940808e9665; report http://amzn.to/1vsZADi)" - - arn:aws:elasticloadbalancing:us-east-1:<account ID>:targetgroup/mytargetgroup

示例 Microsoft Internet 信息服务 (IIS) 访问日志:

Amazon+Route+53+Health+Check+Service;+ref:b5996862-d894-4595-88da-7940808e9665;+report+http://amzn.to/1vsZADi

示例 Apache 访问日志:

54.228.16.1 - - [time] "GET / HTTP/1.1" 403 3839 "-" "Amazon Route 53 Health Check Service; ref:47d9bc51-39d6-4cd9-9a7f-4c981c5db165; report http://amzn.to/1vsZADi"

示例 NGINX 访问日志:

NGINX access log entry: 54.232.40.80 - - [time] "GET / HTTP/1.1" 200 3770 "-" "Amazon Route 53 Health Check Service; ref:2e44063d-3b85-47c3-801e-6748cd542386; report http://amzn.to/1vsZADi" "-"

删除或阻止不需要的请求源

1.    从应用程序服务日志复制运行状况检查 ID。

2.    如果您的 AWS 账户有运行状况检查可用,请更新运行状况检查来监控预期的 IP 地址或域名。如果您不再需要运行状况检查,您也可删除运行状况检查

如果您的 AWS 账户没有运行状况检查可用,则阻止运行状况检查的 IP 地址。使用防火墙规则、安全组网络访问控制列表 (NACL) 均可阻止 IP 地址。

重要提示:要报告怀疑滥用 AWS 资源的行为,请参阅如何报告 AWS 资源滥用情况?


这篇文章对您有帮助吗?

我们可以改进什么?


需要更多帮助?