Как узнать, какая служба подключается к шлюзу NAT, имея в качестве подсказки только несколько IP-адресов?

Использование NAT Gateway резко возросло с прошлой недели. Мне было поручено найти основную причину этого, поскольку счета за AWS сейчас значительно высоки.

Моим первым действием было расспросить людей. Никто не знает ни о каком развертывании, которое могло бы вызвать эту проблему.

Затем я включил журналы потоков и использовал CloudWatch Insights, чтобы создать рейтинг IP-адресов, которые обращаются к шлюзу NAT, упорядоченный по объему данных. Существует около 6 IP-адресов, и все они разрешаются в CloudFront. Я попыталсяnslookupиtracerouteиз каждого из имеющихся у нас дистрибутивов, а также из других учетных записей, которыми мы управляем, но я не смог сопоставить ни один из этих IP-адресов. Попробовал сделать то же самое с API в API Gateway. Тоже не повезло.

Что еще я могу сделать, чтобы узнать, что происходит на шлюзе NAT? Проблема возникает только в производстве, поэтому я не могу просто заблокировать IP-адреса. Все, что у меня есть, — это несколько IP-адресов, которые не связаны ни с одним ENI. Я проверил зарезервированные IP-адреса от Amazon, и все они находятся в CloudFront CIDR.