CloudGoat项目中EC2实例SSRF问题研究的端口问题分析

问题背景

在CloudGoat安全演练环境中，用户尝试研究EC2实例的SSRF(服务器端请求伪造)问题时遇到了连接问题。通过curl命令和Nmap扫描发现目标EC2实例的80端口处于关闭状态，而正常情况下该端口应该开放HTTP服务。

技术现象

用户执行curl命令访问目标IP(23.20.79.97)的80端口时返回连接失败错误。Nmap扫描结果显示：

• 22端口(SSH)开放
• 80端口(HTTP)关闭
• 其他997个TCP端口被过滤
• 操作系统推测为Linux内核3.X-5.X版本

根本原因分析

经过技术团队调查，发现问题可能源于AWS近期对EC2实例元数据服务(IMDS)的默认配置变更。自2023年11月起，AWS默认启用IMDSv2(第二代实例元数据服务)，这影响了CloudGoat场景中依赖IMDSv1的SSRF问题研究。

解决方案

1. 临时解决方法：用户可通过AWS控制台检查并调整IMDS配置，将其从"required"改为"optional"模式。

2. 彻底解决方法：使用aws-nuke工具彻底清理AWS环境后重新部署CloudGoat场景，这可以重置所有配置到初始状态。

3. 长期修复：CloudGoat开发团队需要更新Terraform配置，确保与最新的AWS IMDSv2默认配置兼容。

技术细节补充

SSRF问题研究通常需要访问目标服务器的内部服务，而EC2实例的元数据服务(IMDS)是一个常见目标。IMDSv2引入了会话令牌机制，增加了安全性，但也影响了传统的研究方式。

在安全演练环境中，确保以下几点很重要：

• 安全组规则正确配置，允许从演练者IP访问目标端口
• 实例元数据服务版本与演练场景兼容
• Web服务(如Apache/Nginx)在目标实例上正常运行

最佳实践建议

1. 进行CloudGoat演练前，先确认AWS账户的IMDS配置
2. 定期更新CloudGoat到最新版本以获取兼容性修复
3. 遇到连接问题时，首先检查安全组规则和网络ACL设置
4. 复杂问题可考虑使用aws-nuke彻底重置环境

通过理解这些底层技术细节，安全研究人员可以更有效地利用CloudGoat进行云安全演练，同时也能更好地理解实际云环境中的安全配置问题。