Recientemente, he ayudado a varias plataformas de ajedrez para hacer el refuerzo de la seguridad, y encontró que esta banda de ataques CC son más y más refinado. No golpee su sitio web oficial, no toque la interfaz de pago, centrándose específicamente en la sala de juegos y la interfaz de inicio de sesión a la brocha gorda. La semana pasada, un cliente me llamó a las tres de la mañana, dijo que al mismo tiempo en línea en doscientas personas, la carga del servidor directamente se disparó a 90% - esto es, obviamente, CC montar cara de salida.
Los ataques CC en la industria del ajedrez hace tiempo que han evolucionado hasta la fase de "golpe de precisión". El atacante registrará primero una cuenta para averiguar la lógica de negocio, qué interfaz para crear una sala, qué interfaz para verificar el token, e incluso el intervalo de paquetes de latido del corazón para que usted lo calcule con claridad. He capturado algunos paquetes de ataque y he descubierto que incluso simulan el ritmo de funcionamiento de los usuarios reales: primero se registran, solicitan una lista de salas cada 30 segundos y luego entran en la sala a intervalos aleatorios de segundos. Este tipo de tráfico no puede ser detenido por los cortafuegos tradicionales, y cada solicitud lleva una cookie legítima.
¿Recuerdas el año pasado cuando una conocida plataforma de ajedrez fue atacada a martillazos? Los atacantes utilizaron dos mil nodos de funciones en la nube para cepillarse por turnos la interfaz de la sala, 3.000 peticiones por segundo para paralizar el servicio de habitaciones. Lo más perjudicial es que eligieron la hora punta de las 10 de la noche para hacerlo, y el rescate exigido un 30% superior al de sus homólogos.
¿Por qué las CDN ordinarias de alta defensa no pueden protegerse contra este tipo de ataques? Porque la estrategia de protección tradicional depende principalmente de la frecuencia IP. Pero la gente ahora utiliza un gran número de IP proxy + solicitudes de baja frecuencia, cada IP solicita más de una docena de veces por minuto, se ve mejor que el usuario real. He probado el modo de "protección inteligente" de un proveedor, la gente roza lentamente la interfaz de la sala durante media hora, CDN en realidad no se detuvo uno, pero en lugar de unos pocos con frecuencia refrescar la lista de usuarios reales para bloquear.
Una protección verdaderamente eficaz parte de la dimensión empresarial. Por ejemplo, en la interfaz de salas del juego de mesa, la frecuencia de acceso normal de los usuarios está limitada: ¿quién puede cambiar diez salas en un segundo? Pero las reglas por defecto de muchos proveedores de CDN sólo limitan mecánicamente el número de peticiones por segundo. Más tarde, cuando cambié el WAF de CDN07 para mi cliente, escribí directamente una regla personalizada:
El significado de este conjunto de combinaciones es: se permiten ráfagas cortas de 5 solicitudes (para hacer frente a los clics rápidos), pero el número total de solicitudes por minuto no puede exceder de 10. Al mismo tiempo con "IP + ID de usuario" identificación de dos factores, para evitar que el atacante para cambiar la cuenta de cepillo de la misma IP. prueba real hacia abajo en el día del bloqueo de 160.000 solicitudes maliciosas, falsa tasa de bloqueo de sólo 0,2%.
La protección de la interfaz de inicio de sesión es aún más mortal. Muchas plataformas piensan que la adición de un código de verificación está bien, pero el resultado es que la gente utiliza la plataforma de código + scripts para cepillar. El año pasado, una plataforma fue golpeado por el ataque, el atacante con un diccionario de contraseñas millones lento ensayo y error, cada hora para tratar de seis mil veces, específicamente recoger tres o cuatro de la operación de la mañana. Cuando el equipo de seguridad se enteró, ya había más de trescientas cuentas agrietadas.
En la actualidad, la práctica fiable consiste en desplegar mecanismos de desafío dinámicos. Por ejemplo, el módulo de verificación inteligente de CDN5 desencadena una respuesta de tres niveles ante comportamientos de inicio de sesión anómalos: en primer lugar, hace saltar el control deslizante para verificar, luego pasa a la verificación por pregunta computacional cuando detecta un ataque continuado y, por último, fuerza la verificación por SMS. La clave es que este proceso de cambio es completamente dinámico: el atacante no puede averiguar las reglas de activación. Dejé que el equipo de pruebas simulara el ataque, el registro más alto duró hasta la 173ª solicitud antes de activar el nivel más alto de verificación, los usuarios normales no tocarán la línea de fondo.
Otro gran asesino es el motor de análisis de comportamiento. El sistema de protección de 08Host es bastante interesante, dará cientos de etiquetas a cada sesión de usuario: desde el rastro del ratón hasta el tiempo entre peticiones, pasando incluso por características de la pila TCP. Una vez pillé un grupo de ataque, cada petición simulaba perfectamente el navegador Chrome, pero sólo porque la configuración inicial del tamaño de la ventana TCP y la real de Chrome diferían en unos pocos bytes, directamente se marcaba como tráfico malicioso.
Lo más dañino de los juegos de mesa son los ataques de conexión TCP. Algunos atacantes no envían peticiones HTTP, simplemente establecen conexiones TCP contigo como locos y luego llenan los puertos. Para este escenario, tienes que hacer un límite de conexiones a nivel de CDN. Se recomienda dividir la estrategia por tipo de negocio:
No olvides la protección WebSocket. Hoy en día, las placas con un poco de escala utilizan conexiones largas para comunicarse, y los atacantes eligen específicamente el canal WebSocket para enviar paquetes basura. A un cliente le ha pasado: el atacante envía cientos de paquetes basura comprimidos por segundo, y la CPU de descompresión del servidor está directamente llena. Más tarde, configuré reglas específicas de WebSocket en CDN07:
Para ser sincero, ahora no basta con fijarse en el valor del ancho de banda para elegir una CDN de alta defensa. Tenemos que ver si la otra parte tiene experiencia en la protección de la industria del ajedrez, las reglas WAF se pueden personalizar, no hay API para que usted pueda ajustar dinámicamente la estrategia. Algunos vendedores soplan cientos de ancho de banda de protección T, el resultado es que la base de reglas no se ha actualizado durante tres años, e incluso Redis ataques de acceso no autorizado no se puede prevenir.
Recientemente, al ayudar a los clientes a hacer la migración, comparé varios proveedores, la ventaja de CDN5 radica en el algoritmo de programación inteligente, cuando es atacado, cambia de línea en cuestión de segundos; WAF de CDN07 tiene una fuerte capacidad de personalización, incluso la profundidad de soporte de detección de parámetros JSON; la latencia de red Anycast rentable de 08Host es estable. Al final, el cliente obtuvo una solución híbrida: 08Host para llevar el tráfico diario, CDN5 para hacer la programación de copia de seguridad del ataque, la interfaz de negocio clave para colgar CDN07 WAF. este conjunto de combinaciones hacia abajo, el aumento de los costes mensuales de menos de 20%, pero la capacidad de protección a su vez más de cinco veces.
Por último, una lección de lágrimas: no piense que comprar un CDN de alta defensa va a descansar tranquilo. Compruebe regularmente la declaración de protección es la operación básica, el mejor ataque semanal y ejercicios de defensa. Una vez me encontré con que la antigua interfaz API de un cliente no tenía acceso a la protección, el atacante en cuclillas durante tres meses y finalmente encontró esta brecha, una noche para penetrar en el servidor. Ahora pido a los clientes que sigan estrictamente el principio de "en línea debe estar protegido", y todas las nuevas interfaces deben someterse a pruebas de seguridad antes de su despliegue.
La ciberseguridad es hoy en día el juego del gato y el ratón. Las reglas desplegadas la semana pasada pueden saltarse la siguiente, así que hay que mantener una mentalidad de "confrontación continua". Un grupo de ataque incluso estudió nuestra estrategia de protección y utilizó un modo de ataque budista para machacarte poco a poco: joderte durante diez minutos cada hora, eligiendo al personal de seguridad para empezar durante las horas de comida. Más tarde, escribimos un script para analizar automáticamente el modo de ataque, y cambiábamos directamente el modo de protección cuando encontrábamos una anomalía, así pudimos estabilizar nuestra posición.
Seamos sinceros, crear seguridad en el sector del ajedrez es un pozo sin fondo. Pero pensar en las pérdidas y los pagos causados por los ataques, estas inversiones son realmente nada. El año pasado, hubo una plataforma a causa de tres días de inactividad por la demanda colectiva de los jugadores, el dinero de compensación suficiente para comprar cinco años de servicios de alta defensa. Ahora los clientes han aprendido a ser inteligentes, el presupuesto de seguridad de "partida de gastos" a "partida de seguros", lo que es un buen fenómeno del progreso de la industria.
(A petición del cliente parte de los detalles técnicos han sido borrosos procesamiento, la configuración específica, por favor, ajuste de acuerdo con el negocio real)
