في الساعة الثالثة من صباح ذلك اليوم، كنت أحتضن اللحاف وأنا أحلم بالزواج من زوجة ابني، وفجأة اهتز هاتفي المحمول بعنف مثل المحفز. لمسة على نظرة، انفجرت إنذارات المراقبة - ارتفعت حركة المرور في بيئة الإنتاج الخاصة بالعميل على الفور إلى 20 ضعف المعتاد، وانفجرت اتصالات TCP، وكانت استجابة الأعمال بطيئة كالحلزون يزحف. رد الفعل الأول: DDoS مرة أخرى. ردة الفعل الأولى: DDoS أخرى. التقطت هاتفي المحمول واتصلت ببائع CDN للحث على التنظيف العاجل، بينما كنت ألعن أثناء تسجيل الدخول إلى وحدة التحكم لحظر عنوان IP. نصف ساعة توقفت أخيرًا، لكن المدير في اليوم التالي طاردني وسألني: "من فعل ذلك في النهاية؟ كيف يمكننا منعه في المرة القادمة؟ حدقت في خلفية قطاعات IP المحظورة، وأدركت فجأة: لا يوجد تحليل للسجل، الأمن ببساطة قتال معصوب العينين.
شبكة CDN عالية الدفاع هذا الشيء، يعتقد الكثير من الناس لشراء حزمة، مع اسم النطاق CNAME في نهاية الأمر. تأتي الهجمات من قبل البائعين للتنظيف، والاعتماد اليومي على تسريع ذاكرة التخزين المؤقت، والسجلات؟ ليس هذا هو الشيء الذي يشغل القرص الصلب؟ ولكن في ساحة المعركة الحقيقية، السجل هو "مسجل ساحة المعركة" الحقيقي. لقد حظرت كل عنوان IP، وحظرت كل طلب خبيث، وخبأت كل ضربة، وكلها موجودة فيه. مهندسو الأمن الذين لا يحفرون في السجلات، مثل الإمساك بوعاء ذهبي للطعام - الموارد موجودة، لكنك لن تستخدمها.
ما الكنز المخبأ في المجلة؟ على سبيل المثال، في المرة الأخيرة التي واجهت فيها هجومًا على CC، استخدم الطرف الآخر الآلاف من واجهة تسجيل الدخول إلى واجهة تسجيل الدخول منخفضة الترددات إلى واجهة الدمية IP، حركة المرور ليست كبيرة ولكنها مقززة للغاية. لم يتم تشغيل قواعد WAF العادية، لكن الجانب التجاري استمر في الإبلاغ عن زيادة في أخطاء CAPTCHA. قمت بسحب سجلات الوقت الحقيقي لـ CDN07 مباشرةً (تدعم عائلته دفع السجل الثاني)، وكتبت برنامج Python النصي لتشغيل إحصائيات المجال:
سحبت على الفور عشرات عناوين IP: كل طلب IP حوالي 30 مرة في الدقيقة، وإرجاع كل 200 ولكن مع علامة خطأ CAPTCHA. كما ترى، مجرد إلقاء نظرة على منحنى حركة المرور ضرطة لا يمكن العثور عليها، ولكن السجلات تعطيك مباشرة صورة للمهاجم - تركيز شريحة IP، وكيل المستخدم متنكرا في شكل كروم، المرجع بشكل موحد للفارغ. في وقت لاحق مباشرة إلى هذه المجموعة من بروتوكول الإنترنت هذه أضافت قواعد حد السرعة: أكثر من 10 طلبات تسجيل دخول في الدقيقة الواحدة للقفز على CAPTCHA، الهجوم في يوم الراحة.
تتبع مصدر الهجوم؟ أنت أعمى بدون سجل لا تصدق دعاية "التتبع بنقرة واحدة" التي يتفاخر بها هؤلاء الذين يتفاخرون بـ "التتبع بنقرة واحدة"، فقد واجهت بالفعل نقطة متقدمة من الهجوم، وقد وضع الطرف الآخر بالفعل تجمع عناوين IP، ووضع سلسلة البروكسي. لكن يمكن أن تساعدك السجلات في توضيح سلسلة الهجوم. على سبيل المثال، واجهت العام الماضي عصابة ابتزاز استخدمت عنوان IP المرن لـ AWS لاختراق واجهة واجهة واجهة برمجة التطبيقات لأحد عملائنا. بالاعتماد على سجلات CDN5 التفصيلية (عائلته الافتراضية لتسجيل عناوين IP الخاصة بالعميل X-Forwarded-For وعناوين IP الحقيقية)، استعدت الجدول الزمني للهجوم:
بدون السجلات، فإن أقصى ما يمكنك رؤيته هو النتيجة النهائية لـ "سرقة بروتوكول الإنترنت الأمريكي". ومع ذلك، من خلال الجمع بين الطوابع الزمنية وعناوين URIs والتغيرات الجغرافية لعناوين IP، يمكنك عكس سلسلة أدوات المهاجم واستراتيجية الوكيل - وهذا أمر بالغ الأهمية للتعزيز اللاحق: أضافت قواعد WAF بصمة Sqlmap، وأضيفت حالات شاذة جغرافية إلى واجهة تسجيل الدخول (على سبيل المثال، قفزت عناوين IP الفيتنامية فجأة إلى الولايات المتحدة وأطلقت المصادقة الثانوية مباشرةً).
تحسين استراتيجيات الدفاع؟ ضبط المعلمات عن طريق الإحساس هو الميتافيزيقيا. لقد رأيت الكثير من الفرق التي تشتري شبكة CDN عالية الدفاع تستخدمها فقط وفقًا للقواعد الافتراضية، وعندما تتعرض للضرب، تضيف التحقق من شريط التمرير بجنون، ويشتكي المستخدمون العاديون. في الواقع، تخبرك السجلات بالفعل كيفية التحسين. خذ سجل 08Host كمثال، يتم تمييز كل طلب من طلباتهم بـ "تسمية حدث أمني" (مثل "هجوم الويب" "هجوم CC" "طلب عادي"). أقوم مباشرةً بكتابة برنامج نصي لتحليل سجلات الأسبوع الماضي:
اتضح أن: يتم مسح واجهة /api/v1/payment callback كل يوم، ولكن الطلبات الخبيثة 80% تأتي من شريحة IP تحت نفس ASN. بسيط بما فيه الكفاية - إضافة حد حركة مرور ذكي مباشرةً إلى رقم ASN هذا، مع قواعد فضفاضة مثل 5 طلبات في الثانية (ما يكفي للأعمال العادية، ولكن ليس كافيًا للتفجير)، وعدم وجود أي نتائج إيجابية كاذبة. وتوفير المال على شراء حزم حماية CC إضافية.
كيف تلعب بالسجلات في الحياة الواقعية؟ أولاً.لا تستخدم الإصدار المخصي من عرض سجل وحدة التحكم.-الحقول غير مكتملة، ومعدل أخذ العينات تافه، والبحث بطيء للشك في الحياة. بصراحة افتح الكمية الكاملة من السجلات للدفع، إرساء S3 أو Elasticsearch. يدعم CDN07 و CDN5 سجلات الوقت الحقيقي للدفع، 08Host يجب أن تضيف أموالاً لشراء إصدار المؤسسة (هنا للبصق: هل لا يزال الدفاع العالي ميزات تسجيل رئيسية؟) لست متأكدًا مما إذا كنت ستتمكن من القيام بذلك. عادةً ما أكره مباشرةً إلى مكدس ELK، وأستخدم Kibana للقيام بالتصور. مشاركة تكوين Kanban الشائع الذي أستخدمه:
ثانياً.لا تركز فقط على حظر IP.. يغير المهاجمون المتقدمون عناوين IP أكثر من الجوارب. أفضّل تحليل أنماط الجلسات: على سبيل المثال، وصول نفس عنوان IP إلى "صفحة تسجيل الدخول -> الصفحة الرئيسية للمستخدم -> صفحة الطلب" لفترة قصيرة من الوقت هو سلوك طبيعي، ولكن "صفحة تسجيل الدخول -> واجهة CAPTCHA -> صفحة تسجيل الدخول" التي تدور 10 مرات هو بالتأكيد انفجار. يتطلب هذا ربط إدخالات سجلات متعددة في جلسات عمل - نوصي بكتابة قاعدة في الوقت الحقيقي باستخدام Flink أو Spark Streaming، والتي تعمل بشكل أفضل بكثير من نقطة واحدة لحظر IP.
ألقِ آخر قضية متشددة.:: في إحدى المرات تعطل أحد العملاء بسبب هجوم بطيء، حيث ظل كل اتصال TCP متوقف لعدة دقائق قبل إرسال بضع بايتات. لم يتمكن مراقب حركة المرور من رؤية أي خلل على الإطلاق. في وقت لاحق، سحبنا سجلات TCP من CDN5 (ملاحظة: ليس سجلات HTTP!) ووجدنا أن عددًا كبيرًا من الاتصالات جاء من شريحة IP لمزود خدمة سحابية متخصصة. وجدتُ أن عددًا كبيرًا من الاتصالات جاءت من شريحة IP لمزود خدمة سحابية متخصصة، واستمر كل اتصال لأكثر من 300 ثانية، لكن البيانات المنقولة كانت أقل من 1 كيلوبايت. كتبتُ مباشرةً قواعد iptables لحظر ASN بأكمله:
العالم نظيف. لا يمكنك حتى تحديد نوع الهجوم بدون سجل، ناهيك عن صده بدقة.
على محمل الجد، في هذه الأيام، حتى شبكة CDN يجب أن "تمنع زملاء الفريق" - بعض البائعين من أجل إظهار "تأثير دفاعي جيد"، وتعمد تصفية سجلات الهجوم بشكل نظيف، وحدة التحكم تعطيك فقط لرؤية عدد عمليات الحظر. واجهت حقًا تسللًا متقدمًا، مثل الأشخاص الذين يضربون محطة المصدر التي لم تلاحظها. لهذا السببمن المهم أكثر من أي شيء آخر الاحتفاظ بنسخة من السجل الأصلي في المنزل.، يوم هدم الدفاعات، لا يزال بإمكانك الاعتماد على السجلات لإجراء تشريح رقمي للجثة.
خلاصة القول، تحليل سجلات شبكة CDN عالية الدفاع ليست "ميزة اختيارية" على الإطلاق، بل هي المركز العصبي لنظام الدفاع. من خلال الاعتماد عليه، يمكنك رؤية الصورة الكاملة للهجوم، وتعديل دقة الاستراتيجية، وحتى صد نية المهاجم. لا تنتظر حتى يتم تفجير الخندق المائي قبل أن تتذكر حفر الخنادق - ابدأ بجمع السجلات اليوم. (وبالطبع، تذكر أن تشتري قرصًا صلبًا. لا تسألني كيف أعرف ذلك).
