来自私有 GKE 集群上公共 IP 的可疑 ICMP.network 流量

Question

在 vpc-native 集群上启用网络策略日志后，发现一些可疑的 ICMP 流量被阻止了。

根据日志 json 有效负载，Inte.net ICMP 流量以某种方式到达 pod（包括那些未被任何服务或入口暴露的 pod）。 示例日志如下：

"src": {
  "instance": "redacted_public_ip"
},
"node_name": "redacted_node_name",
"count": 1,
"disposition": "deny",
"dest": {
  "workload_name": "redacted_workload_name",
  "workload_kind": "ReplicaSet",
  "pod_namespace": "redacted_pod_namespace",
  "namespace": "redacted_namespace",
  "pod_name": "redacted_pod_name"
},
"connection": {
  "protocol": "icmp",
  "dest_ip": "redacted_private_pod_ip",
  "direction": "ingress",
  "src_ip": "redacted_public_ip"
}

有多个像上面这样的条目，公共 IP 由多个不同的组织拥有，位于不同的国家。 调查此问题的下一步可能是什么？

Answer 1

除非您确实需要，否则只需阻止 ICMP。 ICMP 有两种基本类型，一种用于路由，另一种用于乒乓消息。 您不需要启用任何一个。

下一个提示是没有什么可调查的。 公共互联网将不停地戳戳每个公共地址IP。 否则，您将需要部署防火墙和阻止列表来阻止已知的不良行为者。