A las tres de la madrugada, mi teléfono móvil vibraba como loco. Aturdido, lo cogí y le eché un vistazo, y el grupo de alerta de monitorización se cepilló tres pantallas de "anomalía HTTP 500 de origen" y "ancho de banda funcionando al máximo 95%". Corazón golpeó, agarró el ordenador portátil conectado a la VPN - el fondo de negocio se ha quedado atascado para abrir, la carga del servidor de origen se disparó a tres dígitos, gráficos de tráfico en tiempo real muestran que la parrilla en alta mar es de miles de solicitudes por segundo la escala del impacto loco de nuestros servicios. ¿Cuál es la parte más irónica? Obviamente, hemos destrozado el dinero en un CDN de alta defensa conocida, y ahora la consola de protección es tan tranquilo como si nada hubiera sucedido.
Esta es una escena típica de "CDN de alta defensa es penetrado". Los atacantes se saltaron las reglas de protección de la CDN, tocaron directamente su IP de origen, esta vez la llamada limpieza trillón, WAF inteligente todo se convierte en una pose. He visto demasiados equipos que la primera reacción es ponerse en contacto con el servicio de atención al cliente de la CDN, reiniciar el servidor, o incluso cerrar temporalmente el negocio - estas operaciones son demasiado lentas, o igual a un suicidio.
La charla de hoy no trata de ninguna solución teórica, sino de un manual práctico de emergencia resumido después de que yo personalmente pisara el pozo. La próxima vez que descubras que una CDN es una farsa, sigue estos pasos y podrás volver a poner tu negocio en la zona segura en media hora.
Paso 1: Bloquear inmediatamente el tráfico de las estaciones de origen conectadas directamente.
La primera vez que descubras que te han penetrado, no compruebes los registros ni busques la causa, salva primero tu vida. La forma más rápida es bloquear el acceso a todas las IPs de retorno que no sean CDN en el firewall o grupo de seguridad del servidor. Tome Cloudflare como ejemplo, el segmento oficial de IP de retorno es público, y otros proveedores como CDN5 y CDN07 también proporcionan listas exclusivas de IP de retorno en segundo plano. Bloqueo temporal con iptables:
Si utiliza un grupo de seguridad de plataforma en nube (como AliCloud/AWS), es más rápido modificar las reglas directamente. Nota: Asegúrese de confirmar de antemano el intervalo de IP de origen de retorno del proveedor de CDN, ya que, de lo contrario, podría eliminar por error el tráfico normal.
Paso 2: Cambiar rápidamente los nodos de alta defensa + actualizar la resolución
Las CDN de alta defensa de muchos proveedores ofrecen nodos de reserva multilínea. Por ejemplo, el "Emergency Protection Mode" de CDN07 o el "Resilient Shield Node" de 08Host, estos nodos suelen tener políticas de control de frecuencia y autenticación más estrictas. Inmediatamente después de que la consola cambie de nodo, el TTL de DNS se ajusta a la baja a 60 segundos (si previamente se había fijado alto) y se obliga a refrescar la resolución. No esperes que la caché expire - los atacantes no pueden esperar a que esperes media hora.
Aquí es cuando se ve la importancia de la selección. Lo he probado, y la red Anycast como CDN5 soporta el cambio de nodo en segundos, mientras que algunas de las soluciones más baratas requieren el levantamiento manual de la orden de trabajo - ¿esperar una orden de trabajo en mitad de la noche? Espere a que la sala de servidores eche humo.
Paso 3: Rastrear quién ha perdido exactamente la IP de la estación de origen
Después de tapar la laguna, es hora de ajustar cuentas. El ochenta por ciento de la exposición de la IP de origen se debe a descuidos en la configuración. Las fugas más comunes son:
Recomiendo un truco: utilizar diferentes nombres de dominio para hacer múltiples resoluciones DNS para el mismo servicio, y observar qué dominios resuelven a la IP de origen. por ejemplo:
Si un nombre de dominio resuelve directamente a la IP de origen, significa que la configuración de resolución no va CDN en absoluto.He visto un equipo en DNSPOD con un CNAME, pero se olvidó de eliminar el registro A anterior, lo que equivale a una puerta trasera para el atacante.
Paso 4: Endurecimiento de la estrategia de ocultación del sitio de origen
La CDN de alta defensa no es un amuleto universal, la propia estación de origen debe ser "sigilosa". Recomendamos algunos trucos solapados:
Compartiendo una configuración de Nginx que uso yo mismo para interceptar automáticamente peticiones de backhaul no CDN:
Paso 5: Verificar la eficacia de la protección y vigilarla continuamente
Una vez finalizada la operación de emergencia, utilice la herramienta para simular el ataque y verificar que la protección es eficaz. Recomendamos dos widgets de desarrollo propio:
Supervise también el retraso y la tasa de errores de su negocio. Los CDNs de alta defensa pueden matar a los usuarios normales (por ejemplo, CAPTCHA apareciendo con demasiada frecuencia) después de activar la protección estricta, por lo que necesita ajustar la sensibilidad de acuerdo a su negocio. No crea en la "protección inteligente totalmente automática" - lo he probado, y al menos tres de los modos inteligentes del mercado ni siquiera pueden prevenir ataques CC simples.
Sharp tuitea sobre la selección de proveedores
Hoy en día, el agua en el mercado de CDN de alta defensa es demasiado profunda. Algunos vendedores se jactan de "protección 2Tbps", el real tomar los nodos de pila de hardware antiguo; también hay "piscina de limpieza compartida", un gran ataque implica a todos los clientes. Medí un pequeño proveedor, el tráfico de ataque sólo a 200Gbps toda la región se derrumbó, el servicio al cliente en realidad dijo "recomienda actualizar a la versión empresarial".
Compare varios proveedores de servicios comunes:
Un consejo sincero: no se limite a mirar la oferta y los parámetros, en realidad construir un entorno de prueba para reproducir una ola de tráfico para probar. Una vez que un proveedor me dio una demostración de "protección exitosa contra los ataques de 500 Gbps", y más tarde se enteró de que se trataba de un cepillo interno de datos - en estos días, incluso los CDN tienen que "evitar que los compañeros de equipo".
Un par de comentarios finales.
La penetración de CDN de alta defensa no es un problema técnico, es el sistema de operación y mantenimiento y la capacidad de respuesta de emergencia del demonio espejo. He visto equipos gastar millones para comprar protección, pero debido a un error de configuración de DNS, toda la placa se derrumbó. También he visto casos en los que el CDN mínimo + reglas de desarrollo propio son tan estables como el Monte Taishan.
La solución verdaderamente fiable es siempre: asumir que el CDN debe ser penetrado y el sitio fuente debe estar oculto donde el enemigo no pueda encontrarlo. El principio de confianza cero es siempre cierto en ciberseguridad.
La próxima vez que te suene el despertador a medianoche, espero que sonrías, abras el terminal, hagas una serie de combos y te vuelvas a dormir.
