في الآونة الأخيرة، ساعدت شركة ألعاب في استكشاف المشكلة وإصلاحها ووجدت أن خادمهم قد تعرض للاختراق من قبل DDoS مرة أخرى. عندما قمت بتسجيل الدخول إلى وحدة التحكم، ارتفع منحنى حركة المرور إلى 200 جيجابت في الثانية، وشُلّت الشركة بأكملها. كان المدير قلقًا للغاية لدرجة أنه قفز على قدميه: “ألم نشتري شبكة CDN عالية الدفاع؟ كيف لا يزال عنوان IP الخاص بالمحطة المصدر مشوشًا؟” تنهدت - هذه بالفعل الحالة الثالثة هذا الشهر التي “نفذت فيها شبكة CDN الهجوم، ولكن تم نسخ الموقع المصدر”.
تكمن المشكلة في رابط “إخفاء عنوان IP الحقيقي”. يعتقد الكثير من الناس أنه طالما أن مجموعة CDN لن تقلق، في الواقع، فإن إخفاء عنوان IP المصدر هو مشروع منهجي. لقد رأيت الكثير من الفرق التي تترك بابًا خلفيًا في تكوين CDN، ويمكن للمهاجم أن يتحسس عنوان IP المصدر من خلال مسبار عكسي عشوائي.
لماذا يصعب إخفاء عنوان IP الحقيقي الخاص بك؟أولا وقبل كل شيء، عليك أن تفهم تفكير المهاجم. إنهم ببساطة لا يفعلون ذلك وأنت ببساطة لا تستخدم شبكة CDN الصعبة، ولكن مع مجموعة متنوعة من الحيل حول طريقة سرقة المنزل: مثل التحقق من سجل سجلات DNS، ومسح قطاع IP للشبكة بالكامل لقياس زمن الاستجابة للكمون، وحتى من سجلات خادم البريد الخاص بك للبحث عن أدلة. في العام الماضي، تم زرع لعبة شائعة على نظام خدمة العملاء - رأس البريد الإلكتروني الذي يرسل رمز التحقق يحمل في الواقع عنوان IP الخاص بالمحطة المصدر!
وجد الاختبار الحقيقي أن مصدر تسريبات بروتوكول الإنترنت لـ 90% مصدرها جميعًا من هذه الحفر الثلاث:سجلات دقة DNS القديمة التي لم يتم تجاهلها، وخدمات الطرف الثالث غير المعزولة، وسياسات الأصل الخلفي الخاطئةفيما يلي تفصيل لكيفية سد هذه الثغرات بالكامل. سأستخدم أدناه تجربة واقعية لتفكيك كيفية سد هذه الثغرات بالكامل.
الخطوة 1: الحجب على مستوى DNS
لا تستخدم أبدًا نفس مزود DNS لإدارة جميع سجلات الدقة! سيقوم المهاجمون بتصدير سجلات A التاريخية دفعة واحدة تحت اسم نطاقك. أوصي باستخدام خدمة الدقة الخاصة لـ CDN5 + مزيج جدار حماية DNS الخاص بـ 08Host: CDN5 مسؤول عن التعامل مع دقة CNAME العامة، ويقوم 08Host بإعداد آلية قائمة بيضاء للسماح فقط لعناوين IP الخاصة بعقدة CDN بالاستعلام عن اسم النطاق المصدر.
مثال على التكوين (قاعدة جدار حماية DNS):
الخطوة 2: عزل رابط مصدر الإرجاع
أخطر ما في الأمر هو أن استراتيجية المصدر الخلفي تفضح عنوان IP، حيث تحاول العديد من الفرق توفير الوقت من خلال السماح لشبكة CDN بالمصدر الخلفي مباشرةً إلى المنفذ الافتراضي، مما يترك فرصة لفحص المنفذ. النهج الصحيح هو:
نموذج لتهيئة الطبقة الوسطى (Nginx):
الخطوة 3: مصائد خدمة الطرف الثالث
نظام خدمة العملاء المفضل في موقع اللعبة، ودفع البريد الإلكتروني، والمكونات الإضافية للمنتدى هي مناطق كوارث تسرب IP. كانت هناك حالة: المكون الإضافي WordPress لموقع الويب الرسمي للعبة في إرسال بريد إلكتروني لإعادة تعيين كلمة المرور، أدخل تلقائيًا عنوان IP الخاص بالخادم داخل الشبكة الداخلية في الرأس!
الخطوة 4: تقارب سطح الهجوم
إخفاء واجهة الإدارة باستخدام تقنية طرق المنافذ. فقط تشغيل المنافذ المحددة مسبقًا بترتيب معين سيفتح الوصول إلى SSH مؤقتًا. إليك النص البرمجي الذي اختبرته أثناء العمل:
نقاط اختيار شبكة CDN عالية الدفاعية
لا تتبع العلامات التجارية بشكل أعمى! وجدت الاختبارات أن CDN07 لديها أفضل تأثير تنظيف على هجمات الحزم الصغيرة للألعاب، بينما CDN5 لديها خوارزميات حصرية على هجمات مكافحة CC.08المضيف فعال من حيث التكلفة، ولكن عدد العقد الصغير مناسب للطبقة الوسطى. يوصى باستخدام بنية هجينة:
تذكير أخير بعملية غير بديهية:لا تقم أبدًا بتمكين ميزة “استرجاع عنوان IP الحقيقي للعميل” لشبكة CDN! ستسمح هذه الميزة لرأس X-Forwarded-For بنقل عنوان IP الحقيقي للاعب مباشرةً إلى الموقع المصدر، وسيتمكن المهاجم من اصطياد عنوان IP المصدر عن طريق خداع اللاعب للنقر على رابط معين، ومن الأفضل استخدام قاعدة بيانات GeoIP في الطبقة الوسطى لإجراء تحليل حركة المرور.
يتمثل جوهر عنوان IP المخفي في إنشاء “ثقب أسود رقمي” - بحيث لا يكون لكل اكتشاف لحركة المرور أي عائد. بعد التكوين أعلاه، حتى لو قام المهاجم بضرب CDN للدفاع الكامل، لا يمكن أن يشعر بنبض محطة المصدر الخاصة بك. الآن آخذ المشروع مطلوب من المشروع وقت بقاء IP لمحطة المصدر لمدة لا تزيد عن 72 ساعة، والترحيل التلقائي الأسبوعي لـ VPC، وهو “الدفاع الحقيقي للهدف المتحرك”.
لا يوجد حل سحري للحماية، ولكن طبقة إضافية من الحماية هي نقطة إضافية من نقاط النصر. في النهاية، في هذه الأيام، حتى شبكات CDN يجب أن “تمنع زملاء الفريق” - ربما يقوم أحد زملاء الفريق بنشر عنوان IP الخاص بالخادم في توقيع المنتدى؟
