A las tres de la mañana de ese día, yo estaba abrazando el edredón soñando con casarse con mi nuera, y mi teléfono móvil de repente sacudió salvajemente como un catalizador. Toque sobre una mirada, alarmas de monitoreo estallaron - el tráfico del entorno de producción del cliente al instante se disparó a 20 veces el habitual, las conexiones TCP estalló la mesa, la respuesta del negocio es lento como un caracol arrastrándose. Primera reacción: otro DDoS. La primera reacción: otro DDoS. Cogí mi teléfono móvil y llamó al proveedor de CDN para instar a la limpieza urgente, mientras maldecía al iniciar sesión en la consola para bloquear la IP. media hora finalmente se detuvo, pero el jefe al día siguiente perseguido y le preguntó: "¿Quién al final lo hizo? ¿Cómo podemos evitarlo la próxima vez?" Me quedé mirando el fondo de los segmentos de IP bloqueados, de repente me di cuenta: no hay análisis de registro, la seguridad es simplemente luchar con los ojos vendados.
CDN de alta defensa esta cosa, mucha gente piensa para comprar un paquete, con un nombre de dominio CNAME en el extremo de la cuestión. Los ataques vienen por los vendedores para limpiar, todos los días se basan en la aceleración de la memoria caché, los registros? Eso no es lo que ocupa el disco duro? Pero en el campo de batalla real, el registro es el verdadero "grabador de campo de batalla". Usted bloqueó cada IP, bloqueó cada solicitud maliciosa, almacena en caché cada golpe, todo yace en él. Los ingenieros de seguridad que no cavan registros, como la celebración de un cuenco de oro para la comida - los recursos están ahí, pero no va a utilizar.
¿Qué tesoro esconde el diario? Por ejemplo, la última vez que me encontré con un ataque de CC, la otra parte utiliza miles de marioneta IP de baja frecuencia de subida interfaz de inicio de sesión, el tráfico no es grande, pero extremadamente desagradable. Las reglas WAF regulares no se dispararon, pero el lado del negocio seguía reportando una oleada de errores CAPTCHA. Yo directamente tirar de los registros en tiempo real de CDN07 (su familia apoya segundo empuje de registro), escribió un script en Python para ejecutar las estadísticas de campo:
Inmediatamente sacó una docena de IP: cada solicitud de IP alrededor de 30 veces por minuto, devolver todos 200 pero con marca de error CAPTCHA. Usted ve, basta con ver la curva de tráfico pedo no se puede encontrar, pero los registros directamente le dará un retrato del atacante - concentración segmento IP, User-Agent disfrazado de Chrome, Referer uniformemente para el vacío. Más tarde directamente a este grupo de IP añadido un límite de velocidad reglas: más de 10 solicitudes de inicio de sesión por minuto para saltar el CAPTCHA, el ataque en el día de descanso.
¿Rastrear el origen del ataque? Estás ciego sin un registro. No creas esos "un solo clic trazabilidad" alarde de propaganda, realmente se encontró con el punto avanzado de ataque, la otra parte ya ha puesto el grupo de IP, proxy cadena establecido. Pero los registros pueden ayudarle a deletrear la cadena de ataque. Por ejemplo, el año pasado me encontré con una banda de chantaje que utilizó AWS IP elástica para penetrar en la interfaz API de uno de nuestros clientes. Apoyándome en los detallados logs de CDN5 (su familia registra por defecto X-Forwarded-For e IPs reales de clientes), restauré la línea temporal del ataque:
Sin registros, lo más que se puede ver es el resultado final de "robo de IP de EE.UU.". Sin embargo, combinando marcas de tiempo, URIs y cambios geográficos de IP, se puede invertir la cadena de herramientas y la estrategia de proxy del atacante - esto es demasiado crítico para el refuerzo posterior: las reglas WAF añadieron la huella digital Sqlmap, y se añadieron anomalías geográficas a la interfaz de inicio de sesión (por ejemplo, las IPs vietnamitas saltaron repentinamente a EE.UU. y activaron directamente la autenticación secundaria).
¿Optimizar las estrategias de defensa? Ajustar los parámetros por tacto es metafísica. He visto muchos equipos que compran CDN de alta defensa y lo usan según las reglas por defecto, y cuando te golpean, añades verificación deslizante como un loco, y los usuarios normales se quejan. De hecho, los logs ya te dicen cómo optimizar. Tomemos como ejemplo el log de 08Host, cada una de sus peticiones está marcada con una "etiqueta de evento de seguridad" (como "ataque web" "ataque CC" "petición normal"). Yo directamente escribo un script para analizar los logs de la semana pasada:
Resulta que: la interfaz /api/v1/payment callback es barrida todos los días, pero las peticiones maliciosas 80% provienen de un segmento IP bajo el mismo ASN. Bastante sencillo: añada directamente un límite de tráfico inteligente a este número ASN, con reglas tan laxas como 5 peticiones por segundo (suficiente para el negocio normal, pero no suficiente para explosiones), y cero falsos positivos. Y ahorrar dinero en la compra de paquetes adicionales de protección CC.
¿Cómo se juega con los troncos en la vida real? En primer lugar.No utilices la versión castrada de la vista de registro de la consola.-Los campos están incompletos, la frecuencia de muestreo es lamentable, la búsqueda es lenta para dudar de la vida. Honestamente abrir toda la cantidad de registros para empujar, acoplamiento S3 o Elasticsearch. CDN07 y CDN5 apoyo en tiempo real los registros para empujar, 08Host tienen que añadir dinero para comprar la versión empresarial (aquí para escupir: son de alta defensa todavía características clave de registro?). No estoy seguro de si va a ser capaz de hacer eso. Por lo general, no me gusta directamente a la pila ELK, tomar Kibana para hacer la visualización. Compartir una configuración Kanban común que utilizo:
En segundo lugar.No se centre únicamente en el bloqueo de IP.. Los atacantes avanzados cambian de IP con más frecuencia que los calcetines. Yo prefiero analizar patrones de sesión: por ejemplo, la misma IP accediendo a "página de inicio de sesión -> página de inicio de usuario -> página de pedido" durante un corto periodo de tiempo es un comportamiento normal, pero "página de inicio de sesión -> interfaz CAPTCHA -> página de inicio de sesión" ciclando 10 veces es definitivamente una explosión. Esto requiere correlacionar múltiples entradas de registro en sesiones - recomendamos escribir una regla en tiempo real usando Flink o Spark Streaming, que funciona mucho mejor que un único punto de bloqueo de IP.
Añade un último caso duro.: Una vez, un cliente se vio colapsado por un ataque lento, en el que cada conexión TCP se retenía durante varios minutos antes de enviar unos pocos bytes. El monitor de tráfico no detectaba ninguna anomalía. Más tarde, extrajimos los registros TCP de CDN5 (nota: ¡no los registros HTTP!) y descubrimos que un gran número de conexiones procedían del segmento IP de un proveedor de servicios en la nube de nicho. Descubrí que un gran número de conexiones provenían del segmento IP de un proveedor de servicios en la nube nicho, y cada conexión sobrevivió durante más de 300 segundos, pero los datos transferidos eran inferiores a 1 KB. Escribí directamente reglas iptables para bloquear todo el ASN:
El mundo está limpio. Ni siquiera se puede determinar el tipo de ataque sin un registro, y mucho menos bloquearlo con precisión.
En serio, en estos días, incluso el CDN tiene que "evitar que los compañeros de equipo" - algunos proveedores con el fin de mostrar "buen efecto defensivo", filtrar deliberadamente los registros de ataque limpio, la consola sólo le dan para ver el número de prohibiciones. Realmente encontrado infiltración avanzada, como la gente golpeó la estación de origen no se ha dado cuenta. Es por eso queLo más importante es conservar una copia del registro original en casa.el día en que se derriben las defensas, podrás seguir contando con los registros para hacer una autopsia digital.
En resumen, el análisis de registros de CDN de alta defensa no es en absoluto una "función opcional", sino el centro neurálgico del sistema de defensa. Confiando en él, puede ver la imagen completa del ataque, ajustar la precisión de la estrategia e incluso hacer retroceder la intención del atacante. No esperes a que te vuelen el foso para acordarte de cavar trincheras: empieza a recoger troncos hoy mismo. (Y, por supuesto, acuérdate de comprar un disco duro. No me preguntes cómo lo sé).
