Recientemente para ayudar a algunas plataformas sociales para hacer el refuerzo de seguridad, a su vez sobre sus registros de CDN de alta defensa casi no me hizo reír - los atacantes ahora incluso “3:00 a.m. a tiempo para fichar en el trabajo” este tipo de operación de mal gusto se han dedicado a este año, el chantaje también se enrolla en un giro ah.
Para ser honesto, muchos equipos ni siquiera mirar los registros de defensa CDN. Pensado WAF abierto puede estar tranquilo, los resultados del tráfico de ataque alrededor como un paseo por el jardín trasero. He visto el caso más escandaloso: una aplicación social se apoderó de 300G de tráfico todos los días, la operación y el mantenimiento se congeló durante tres meses para ver los registros no encontraron campos anormales.
Empecemos por la distribución de los tipos de ataque. De los registros CDN5 y CDN07 que he probado, el 70% de los ataques a las empresas sociales se concentran en la capa API. Especialmente la interfaz de liberación dinámica de usuario, casualmente cambiar un User-ID puede atravesar toda la estación de datos de usuario:
Tales peticiones se ocultan muy profundamente en los registros. Las peticiones normales de usuario son de alrededor de 200ms, las peticiones maliciosas de travesía son comúnmente de más de 2 segundos, pero necesitas correlacionar el campo de longitud de respuesta con la consulta de código de error 5xx para bloquearlo.
Aún más desagradables son los ataques CC que simulan ser rastreadores. Un cliente con la configuración por defecto de CDN5 fue golpeado por 800 peticiones de interfaz de inicio de sesión por segundo - el atacante simuló el comportamiento completo de Chrome para cada IP, incluso falsificando el evento MouseMove. Más tarde añadí comprobaciones de huellas digitales dinámicas al WAF para detenerlo:
Cuando se trata de la defensa de los rastreadores, no creas en la propaganda de los proveedores de CDN “reconocimiento inteligente hombre-máquina”. ¡He probado tres principales proveedores de servicios, las reglas por defecto en la tasa de reconocimiento de clics simulados es inferior a 40%. más tarde a 08Host propuso una solución: en la página de inicio de sesión enterrado en el campo Honeypot invisible, el robot 100% llenará estos campos, la persona real no puede ser visto - un solo movimiento para detener el 90% de la automatización! ataques de registro.
De hecho, el mayor escollo del análisis de registros reside en la correlación temporal. Una vez el cliente dijo que el tráfico se disparó en las primeras horas de la mañana todos los días, pensando que era una actividad normal del usuario. Como resultado de un vistazo al registro, el atacante eligió de 3 a 6 de la mañana para rozar la interfaz de cupones, porque a esta hora la vigilancia de operación y mantenimiento es la más laxa. Más tarde hizo un mapa de distribución horaria de la interfaz antes de retirarse:
Este tipo de ataque debe analizarse con correlación temporal. Vertí los registros de CDN07 en ELStack (sistema de registro de desarrollo propio) y configuré una regla de alerta de banda horaria anómala:
Otro ataque avanzado es un HTTP DoS lento, donde el atacante envía sólo unos pocos bytes por petición, arrastrando todo el pool de conexiones. En los registros, se muestra como un tiempo de conexión muy largo + tráfico muy pequeño, que no puede ser encontrado por WAF regular. Más tarde, añadí el análisis de la capa de enlace TCP al nodo de borde de 08Host, y vi más de 10 minutos de conexiones semiabiertas directamente pellizcando la línea.
Cuando se trata de estrategias de optimización, lo primero que hay que cambiar es la configuración CDN por defecto. La configuración de fábrica de casi todos los proveedores de WAF es de “baja sensibilidad”, incluso la detección de inyecciones SQL está aguada. Se recomienda que lo primero que se haga al obtener el permiso sea ajustar la base de reglas:
El segundo foco son los pesos personalizados de las reglas. Muchos equipos abren directamente el modo de aprendizaje, y el resultado está envenenado por los atacantes: provocan deliberadamente falsos positivos con peticiones normales, para que el WAF ajuste a la baja los pesos de las reglas maliciosas. Ahora todos recomiendan usar motores duales en paralelo: el motor de IA de CDN5 para la detección primaria, y luego usar reglas desarrolladas por uno mismo para las comprobaciones secundarias:
Por último, hay que hacer perfiles de atacantes. Una vez descubrí que una determinada IP probaba 20 tipos de técnicas de ataque cada día, desde inyección SQL hasta SSRF para cambiar el patrón. El rastreo descubrió que se trataba de un equipo de infiltración contratado por un competidor, especializado en probar ofertas de vulnerabilidad. Más tarde, elaboramos directamente un cuadro de mando de amenazas y comenzamos la verificación humana de las IP con puntuaciones altas:
Hoy en día, al chantaje le gusta jugar a una combinación de golpes. Primero, ralentizar la detección durante media hora para encontrar el formato de parámetro de URL liberado por WAF, y luego utilizar 200 nodos de función de nube para explotar al mismo tiempo. Una vez que el registro de defensa mostró que el atacante incluso utilizó ChatGPT para generar contenido de diálogo de usuario normal para ocultar la carga maliciosa - AI está empezando a participar en el chantaje en estos días.
Para ser honesto, mirando a los registros de defensa es como resolver un crimen. Los atacantes siempre dejan rastros: una IP nunca con Referrer, un número de versión de User-Agent se fija en 99.0, un cierto tipo de solicitud debe ser desencadenada por el error 504 ... Recientemente, para ayudar a los clientes de solución de problemas encontró que el grupo atacante en realidad utiliza el ID de vídeo popular como un comando de control, en los comentarios de la decodificación de palabras de comandos criptográficos desencadenados después del ataque CC, este agujero en el cerebro! Esta es una gran idea.
Se recomienda dedicar media hora cada fin de semana a revisar los registros. Centrarse en la distribución de los códigos de respuesta anómalos, la diversidad de las solicitudes de la misma IP, y las llamadas a la API en momentos no convencionales. Una vez que me encontré con que una determinada IP peticiones por segundo es siempre 59 veces (justo atrapado en el umbral de 60 veces / segundo del límite de flujo), en el camino hacia el final de una banda profesional DDoS.
Ahora, el cliente utiliza la solución que he puesto a punto para desplegar una combinación de CDN07 y 08Host para la redundancia de doble enlace. Las bases de reglas de los dos proveedores se complementan, 08Host es bueno identificando ataques de capa de protocolo, y el motor de IA de CDN07 es más sensible a la detección de comportamientos. El coste mensual de defensa aumentó en 8%, pero el tráfico acaparado por el chantaje bajó de 20TB al mes a menos de 100GB - este ratio ROI es dinero de sangre.
Por último, lanzar una solución rey bomba: enterrar scripts personalizados en los nodos de borde CDN. Cuando se encuentra con una solicitud sospechosa para volver a los datos falsos + marcadores de seguimiento, no sólo puede reducir los ingresos de ataque, sino también revertir la trazabilidad del atacante. El código específico es demasiado largo para publicar, la idea central es:
La seguridad nunca es permanente. Los métodos de ataque de hoy para prevenir, mañana puede ser una nueva variante. La clave es analizar los registros como una rutina diaria, y poco a poco usted será capaz de desarrollar la intuición de “una mirada a la falsificación” - una vez me desenterró una red utilizando dispositivos IoT como proxies debido a anomalías en el tamaño de la ventana TCP inicial de una determinada IP.
Por cierto, no te dejes engañar por las declaraciones de defensa proporcionadas por los vendedores. Incluirán ataques simples para mostrar su eficacia, y la tasa de defensa efectiva real puede estar descontada. Lo mejor es escribir sus propios scripts para ejecutar el análisis de los registros, centrándose en el impacto empresarial de los datos reales de bloqueo de ataques.
Ahora los clientes están mucho más tranquilos cuando sufren ataques. La última vez que una plataforma social fue atacada por un millón de QPS, según los registros de defensa ajustaron rápidamente la estrategia de limitación de velocidad, diez minutos para estabilizar la situación. Las palabras del jefe fueron: “Esta sensación de seguridad es más real que comprar tres años de seguro”.
