Como posso identificar e resolver verificações de integridade indesejados do Route 53?

3 minuto de leitura

Meu servidor está recebendo solicitações indesejadas dos servidores de verificação de integridade do Amazon Route 53.

Breve descrição

Quando você associa verificações de integridade a um endpoint, o Amazon Route 53 envia essas solicitações ao endereço IP do endpoint. Essas verificações de integridade confirmam que os endereços IP do endpoint estão operando conforme o esperado. Um problema poderá ocorrer se um endereço IP incorreto for especificado ou se uma verificação de integridade não for atualizada ou excluída quando necessário.

Resolução

Identificar a origem das solicitações indesejadas

1. Use os intervalos de endereços IP do Route 53 para encontrar o endereço IP de origem da solicitação indesejada. Para mais informações, consulte ROUTE53_HEALTHCHECKS em intervalos de endereços IP dos servidores do Route 53.

2. Verifique os logs do servidor de aplicações para determinar se os servidores de verificação de integridade do Route 53 enviaram a solicitação. Ao realizar verificações de integridade, as verificações de integridade do Route 53 definem o seguinte cabeçalho HTTP:

"Amazon-Route53-Health-Check-Service (ref <reference ID/ b5996862-d894-4595-88da-7940808e9665>; report http://amzn.to/1vsZADi)"

Exemplo de log de acesso do Application Load Balancer:

http 2020-05-12T14:14:25.000265Z app/myapplicationloadbalancer 54.241.32.97:49816 10.0.3.64:80 -1 -1 -1 502 - 241 288 "GET http:// <ALB DNS NAME>:80/ HTTP/1.1" "Amazon-Route53-Health-Check-Service (ref b5996862-d894-4595-88da-7940808e9665; report http://amzn.to/1vsZADi)" - - arn:aws:elasticloadbalancing:us-east-1:<account ID>:targetgroup/mytargetgroup

Exemplo de log de acesso do Microsoft Internet Information Services (IIS):

Amazon+Route+53+Health+Check+Service;+ref:b5996862-d894-4595-88da-7940808e9665;+report+http://amzn.to/1vsZADi

Exemplo de log de acesso do Apache:

54.228.16.1 - - [time] "GET / HTTP/1.1" 403 3839 "-" "Amazon Route 53 Health Check Service; ref:47d9bc51-39d6-4cd9-9a7f-4c981c5db165; report http://amzn.to/1vsZADi"

Exemplo de log de acesso do NGINX:

NGINX access log entry: 54.232.40.80 - - [time] "GET / HTTP/1.1" 200 3770 "-" "Amazon Route 53 Health Check Service; ref:2e44063d-3b85-47c3-801e-6748cd542386; report http://amzn.to/1vsZADi" "-"

Excluir ou bloquear a origem de solicitações indesejadas

1. Copie o ID da verificação de integridade dos logs do serviço de aplicação.

2. Se a verificação de integridade estiver disponível na sua conta da AWS, atualize a verificação de integridade para monitorar o endereço IP ou o nome de domínio pretendido. Ou, se ela não for mais necessária, exclua a verificação de integridade.

Se a verificação de integridade não estiver disponível na sua conta da AWS, bloqueie o endereço IP da verificação de integridade. Para bloquear o endereço IP, use regras de firewall , grupos de segurança ou listas de controle de acesso à rede (NACLs).

Importante: para denunciar suspeitas de abuso na verificação de integridade do Route 53, consulte Impedir verificações de integridade indesejadas do Amazon Route 53.

Informações relacionadas

Como posso interromper solicitações de verificação de integridade do Route 53 que são enviadas à minha aplicação?

Tópicos

Rede e entrega de conteúdo

Vídeos relacionados

Assista ao vídeo de Purvik para saber mais (3:33)

AWS OFICIALAtualizada há um ano

Conteúdo relevante

Como posso solucionar problemas de verificação integridade insalubre do Route 53?
AWS OFICIALAtualizada há um ano
Como posso interromper as solicitações de verificação de integridade do Route 53 enviadas ao meu aplicativo?
AWS OFICIALAtualizada há 6 meses
Como configuro meu site para executar failover para um bucket do S3 quando uma verificação de integridade do Route 53 falhar?
AWS OFICIALAtualizada há um ano
Como faço para associar uma verificação de integridade do Route 53 de uma conta diferente da AWS a um conjunto de registros em minha conta?
AWS OFICIALAtualizada há 2 anos