Comment puis-je identifier et résoudre les vérifications de l'état indésirables effectuées par Route 53 ?

Dernière mise à jour : 18/06/2020

Mon serveur reçoit des demandes indésirables des serveurs de vérification de l'état d'Amazon Route 53. Comment identifier et résoudre ce problème ?

Brève description

Lorsque vous associez des vérifications d'état à un point de terminaison, Route 53 envoie des demandes de vérification d'état à l'adresse IP du point de terminaison pour en valider le bon fonctionnement. Un problème peut se produire si une adresse IP incorrecte est spécifiée, ou si une vérification de l'état n'est pas mise à jour ou supprimée au moment opportun.

Solution

Identifier la source des demandes indésirables

1.     Recherchez l'adresse IP source de la demande indésirable à l'aide des plages d'adresses IP Route 53. Pour plus d'informations, consultez « ROUTE53_HEALTHCHECKS » sur la page des plages d'adresses IP des serveurs Route 53 .

2.     Vérifiez les journaux du serveur d'applications pour déterminer si la demande a été envoyée par les serveurs de vérification de l'état Route 53. Lors de leur exécution, les vérifications de l'état Route 53 définissent l'en-tête HTTP suivant :

"Amazon-Route53-Health-Check-Service (ref <reference ID/ b5996862-d894-4595-88da-7940808e9665>; report http://amzn.to/1vsZADi)"

Exemple de journal d'accès de l'équilibreur de charge d'application :

http 2020-05-12T14:14:25.000265Z app/myapplicationloadbalancer 54.241.32.97:49816 10.0.3.64:80 -1 -1 -1 502 - 241 288 "GET http:// <ALB DNS NAME>:80/ HTTP/1.1" "Amazon-Route53-Health-Check-Service (ref b5996862-d894-4595-88da-7940808e9665; report http://amzn.to/1vsZADi)" - - arn:aws:elasticloadbalancing:us-east-1:<account ID>:targetgroup/mytargetgroup

Exemple de journal d'accès Microsoft Internet Information Services (IIS) :

Amazon+Route+53+Health+Check+Service;+ref:b5996862-d894-4595-88da-7940808e9665;+report+http://amzn.to/1vsZADi

Exemple de journal d'accès Apache :

54.228.16.1 - - [time] "GET / HTTP/1.1" 403 3839 "-" "Amazon Route 53 Health Check Service; ref:47d9bc51-39d6-4cd9-9a7f-4c981c5db165; report http://amzn.to/1vsZADi"

Exemple de journal d'accès NGINX :

NGINX access log entry: 54.232.40.80 - - [time] "GET / HTTP/1.1" 200 3770 "-" "Amazon Route 53 Health Check Service; ref:2e44063d-3b85-47c3-801e-6748cd542386; report http://amzn.to/1vsZADi" "-"

Supprimer ou bloquer la source des demandes indésirables

1.    Copiez l'ID de vérification de l'état à partir des journaux du serveur d'applications.

2.    Si la vérification de l'état est disponible à partir de votre compte AWS, mettez à jour la vérification de l'état pour surveiller l'adresse IP ou le nom de domaine souhaités. Ou supprimez la vérification de l'état si elle n'est plus obligatoire.

Si la vérification de l'état n'est pas disponible à partir de votre compte AWS, bloquez l'adresse IP de la vérification de l'état. Pour bloquer l'adresse IP, utilisez des règles de pare-feu, des groupes de sécurité ou des listes de contrôle d'accès réseau (NACL).

Important : pour signaler un abus soupçonné de vérification d'état de Route 53, consultez Arrêter les vérifications d'état indésirables d'Amazon Route 53.


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?