[英]Suspicious ICMP network traffic from public IPs on private GKE cluster
在 vpc-native 集群上启用网络策略日志后,发现一些可疑的 ICMP 流量被阻止了。
根据日志 json 有效负载,Inte.net ICMP 流量以某种方式到达 pod(包括那些未被任何服务或入口暴露的 pod)。 示例日志如下:
"src": {
"instance": "redacted_public_ip"
},
"node_name": "redacted_node_name",
"count": 1,
"disposition": "deny",
"dest": {
"workload_name": "redacted_workload_name",
"workload_kind": "ReplicaSet",
"pod_namespace": "redacted_pod_namespace",
"namespace": "redacted_namespace",
"pod_name": "redacted_pod_name"
},
"connection": {
"protocol": "icmp",
"dest_ip": "redacted_private_pod_ip",
"direction": "ingress",
"src_ip": "redacted_public_ip"
}
有多个像上面这样的条目,公共 IP 由多个不同的组织拥有,位于不同的国家。 调查此问题的下一步可能是什么?
除非您确实需要,否则只需阻止 ICMP。 ICMP 有两种基本类型,一种用于路由,另一种用于乒乓消息。 您不需要启用任何一个。
下一个提示是没有什么可调查的。 公共互联网将不停地戳戳每个公共地址IP。 否则,您将需要部署防火墙和阻止列表来阻止已知的不良行为者。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.