في الآونة الأخيرة لمساعدة بعض المنصات الاجتماعية على القيام بتعزيزات أمنية، وتسليم سجلات CDN عالية الدفاعات الخاصة بهم لم يضحكني تقريبًا - حتى أن المهاجمين الآن “الساعة 3:00 صباحًا في الوقت المحدد لتسجيل الدخول إلى العمل” هذا النوع من العمليات الرخيصة قد انخرطوا في هذا العام، كما أن الابتزاز قد تم لفه أيضًا في تطور آه.
لنكون صادقين، العديد من الفرق لا تنظر حتى إلى سجلات دفاع CDN. يعتقد أن WAF المفتوح يمكن أن يطمئنوا، فنتائج حركة المرور الهجومية حولهم مثل نزهة في الحديقة الخلفية. لقد رأيت الحالة الأكثر فظاعة: تطبيق اجتماعي استحوذ على حركة مرور 300G كل يوم، تم تجميد التشغيل والصيانة لمدة ثلاثة أشهر لرؤية السجلات لم تجد حقولاً غير طبيعية.
لنبدأ بتوزيع أنواع الهجمات. من خلال سجلات CDN5 و CDN07 التي اختبرتها، فإن 70% من الهجمات على الأعمال الاجتماعية تتركز في طبقة واجهة برمجة التطبيقات. خاصةً واجهة الإصدار الديناميكي للمستخدم، يمكن أن يؤدي تغيير معرّف المستخدم بشكل عرضي إلى اجتياز بيانات مستخدم المحطة بأكملها:
مثل هذه الطلبات مخفية في عمق السجلات. تبلغ طلبات المستخدم العادية حوالي 200 مللي ثانية، أما طلبات العبور الخبيثة فتكون عادةً أكثر من ثانيتين، ولكنك تحتاج إلى ربط حقل طول الاستجابة مع استعلام رمز الخطأ 5xx لتأمينه.
والأدهى من ذلك هجمات CC المزيفة لتبدو مثل برامج الزحف. فقد تعرّض عميل يستخدم التكوين الافتراضي لـ CDN5 إلى 800 طلب واجهة تسجيل دخول في الثانية - قام المهاجم بمحاكاة السلوك الكامل لمتصفح كروم لكل عنوان IP، حتى أنه زيف حدث MouseMove. أضفت لاحقًا عمليات التحقق من البصمات الديناميكية إلى WAF لإيقافه:
عندما يتعلق الأمر بالدفاع عن الزاحف، لا تصدق دعاية بائعي CDN “التعرف الذكي بين الإنسان والآلة”. لقد اختبرت ثلاثة من مزودي الخدمة الرئيسيين، القواعد الافتراضية على معدل التعرف على النقرات المحاكاة أقل من 40%. لاحقًا إلى 08Host اقترح حلًا: في صفحة تسجيل الدخول المدفونة في حقل Honeypot غير المرئي، سيقوم الروبوت 100٪ بملء هذه الحقول، لا يمكن رؤية الشخص الحقيقي - خطوة واحدة لإيقاف 90٪ من الأتمتة! هجمات التسجيل.
في الواقع، يكمن أكبر مأزق في تحليل السجل في الارتباط الزمني. ذات مرة قال العميل أن حركة المرور ترتفع في الساعات الأولى من الصباح كل يوم، معتقدًا أنه نشاط عادي للمستخدم. وكنتيجة لإلقاء نظرة على السجل، اختار المهاجم من الساعة 3 صباحًا إلى 6 صباحًا لتنظيف واجهة القسيمة، لأن هذا الوقت هو الأكثر تراخيًا في مراقبة التشغيل والصيانة. قام لاحقًا بعمل خريطة توزيع وقت الواجهة الساخنة قبل الانسحاب:
يجب تحليل هذا النوع من الهجمات باستخدام الارتباط الزمني. لقد صببتُ سجلات CDN07 في ELStack (نظام تسجيل تم تطويره ذاتيًا) وقمتُ بإعداد قاعدة تنبيهات النطاق الزمني الشاذ:
هناك هجوم متقدم آخر هو هجوم HTTP DoS البطيء، حيث يرسل المهاجم بضع وحدات بايت فقط لكل طلب، مما يؤدي إلى سحب تجمع الاتصال بالكامل. في السجلات، يظهر في السجلات على أنه وقت اتصال طويل جدًا + حركة مرور صغيرة جدًا، والتي لا يمكن العثور عليها بواسطة WAF العادي. في وقت لاحق، أضفتُ تحليل طبقة ارتباط TCP إلى عقدة الحافة في 08Host، ورأيت أكثر من 10 دقائق من الاتصالات نصف المفتوحة مباشرةً على الخط.
عندما يتعلق الأمر بإستراتيجيات التحسين، فإن أول شيء يجب تغييره هو التكوين الافتراضي لشبكة CDN. جميع بائعي إعدادات مصنع WAF تقريبًا هي “حساسية منخفضة”، حتى اكتشاف حقن SQL يتم تخفيفها. يوصى بأن أول شيء يجب القيام به عند الحصول على الإذن هو ضبط قاعدة القواعد:
التركيز الثاني هو أوزان القواعد المخصصة. تقوم العديد من الفرق بفتح وضع التعلّم مباشرة، والنتيجة هي تسميم المهاجمين - مما يؤدي إلى ظهور نتائج إيجابية كاذبة عمدًا مع الطلبات العادية، بحيث يقوم WAF بتعديل أوزان القواعد الضارة إلى الأسفل. أوصي الآن جميعًا باستخدام محركات مزدوجة بالتوازي: محرك الذكاء الاصطناعي الخاص بـ CDN5 للفحص الأولي، ثم استخدام القواعد المطورة ذاتيًا للتحقق الثانوي:
أخيرًا، يجب عليك القيام بتحليل المهاجمين. في إحدى المرات وجدت أن بروتوكول إنترنت معين جرب 20 نوعًا من تقنيات الهجوم كل يوم، من حقن SQL إلى SSRF لتغيير النمط. وجد التتبع أنه كان فريق تسلل استأجره أحد المنافسين المتخصصين في اختبار عروض الثغرات الأمنية. في وقت لاحق، قمنا مباشرةً بإعداد بطاقة نتائج للتهديدات، وبدأنا في التحقق البشري من عناوين IP ذات النقاط العالية:
في الوقت الحاضر، يحب الابتزاز أن يلعب مزيجًا من اللكمات. أولاً، الاكتشاف البطيء لمدة نصف ساعة للعثور على تنسيق معلمة عنوان URL الذي أصدره WAF، ثم استخدام 200 عقدة دالة سحابية للانفجار في نفس الوقت. وبمجرد أن أظهر سجل الدفاع أن المهاجم استخدم حتى ChatGPT لتوليد محتوى حوار مستخدم عادي لإخفاء الحمولة الخبيثة - بدأ الذكاء الاصطناعي في الانخراط في الابتزاز هذه الأيام.
لنكون صادقين، النظر إلى سجلات الدفاع يشبه حل جريمة. فالمهاجمون دائماً ما يتركون آثاراً: لا يوجد عنوان IP أبداً مع المُحيل، ورقم إصدار وكيل المستخدم ثابت على 99.0، ونوع معين من الطلبات يجب أن يكون ناتجاً عن خطأ 504 ... مؤخراً، لمساعدة العملاء في استكشاف الأخطاء وإصلاحها وجدنا أن مجموعة المهاجمين استخدمت بالفعل معرف الفيديو الشهير كأمر تحكم، في تعليقات فك تشفير كلمة الأمر المشفر الذي تم تشغيله بعد هجوم CC، هذه الثغرة في الدماغ! هذه فكرة رائعة.
يوصى بتخصيص نصف ساعة في نهاية كل أسبوع لاستعراض السجلات. ركز على توزيع رموز الاستجابة الشاذة، وتنوع الطلبات من نفس عنوان IP، ومكالمات واجهة برمجة التطبيقات في أوقات غير تقليدية. وبمجرد أن وجدتُ أن بعض طلبات بروتوكول الإنترنت في الثانية الواحدة تكون دائمًا 59 مرة (عالقة فقط في عتبة 60 مرة/ثانية من حد التدفق)، على طول الطريق إلى نهاية عصابة DDoS المحترفة.
يستخدم العميل الآن الحل الذي قمت بضبطه لنشر مزيج من CDN07 و 08Host لتكرار الوصلة المزدوجة. قواعد القواعد الخاصة بالبائعين تكمل بعضها البعض، 08Host جيد في تحديد هجمات طبقة البروتوكول، ومحرك الذكاء الاصطناعي لـ CDN07 أكثر حساسية لاكتشاف السلوك. ازدادت تكلفة الدفاع الشهرية بمقدار 81 تيرابايت 3 تيرابايت، ولكن انخفضت حركة المرور التي يسيطر عليها الابتزاز من 20 تيرابايت شهريًا إلى أقل من 100 تيرابايت - وهذه النسبة في العائد على الاستثمار هي نسبة دية.
أخيرًا، قم بإلقاء حل القنبلة الملك: دفن البرامج النصية المخصصة في عقد حافة CDN. عند مواجهة طلب مشبوه للعودة إلى البيانات المزيفة + علامات التتبع، لا يمكن أن يقلل فقط من عائدات الهجوم، ولكن أيضًا إمكانية التتبع العكسي للمهاجم. الكود المحدد طويل جدًا بحيث لا يمكن نشره، الفكرة الأساسية هي:
الأمن لا يدوم أبدًا. اليوم طرق الهجوم التي يجب منعها اليوم، وغداً قد يكون هناك متغير جديد. المفتاح هو تحليل السجلات كروتين يومي، وببطء ستتمكن من تطوير حدس “نظرة واحدة على المزيف” - ذات مرة استخرجت شبكة تستخدم أجهزة إنترنت الأشياء كبروكسيات بسبب الشذوذ في حجم نافذة TCP الأولية لعنوان IP معين.
بالمناسبة، لا تنخدع ببيانات الدفاع التي يقدمها البائعون. فهي ستتضمن هجمات بسيطة من أجل إظهار فعاليتها، وقد يكون معدل الدفاع الفعلي الفعال مخفضاً. من الأفضل أن تكتب البرامج النصية الخاصة بك لتشغيل تحليل السجلات، مع التركيز على تأثير الأعمال التجارية لبيانات حظر الهجمات الحقيقية.
أصبح العملاء الآن أكثر هدوءًا عندما يواجهون هجمات. في المرة الأخيرة التي تعرضت فيها إحدى المنصات الاجتماعية لهجوم بمليون QPS، وفقًا لسجلات الدفاع، تم تعديل استراتيجية الحد من المعدل بسرعة، عشر دقائق لاستقرار الوضع. كانت كلمات المدير: “هذا الشعور بالأمان أكثر واقعية من شراء تأمين لمدة ثلاث سنوات”.
