Recientemente, ayudé a una empresa de juegos a solucionar el problema y descubrí que su servidor había sido penetrado de nuevo por DDoS. Cuando entré en la consola, la curva de tráfico subió a 200 Gbps, y todo el negocio se paralizó. El jefe estaba tan angustiado que se puso en pie de un salto: “¿No habíamos comprado una CDN de alta defensa? ¿Cómo es que la IP de la estación de origen sigue estropeada?”. Suspiré: ya es el tercer caso este mes en el que “la CDN llevó el ataque, pero el sitio fuente fue copiado”.
El problema radica en el enlace “ocultar IP real”. Mucha gente piensa que mientras el conjunto de CDN no se preocupe, de hecho, ocultar la IP de origen es un proyecto sistemático. He visto demasiados equipos dejan una puerta trasera en la configuración de la CDN, y un atacante puede sentir la IP de origen con una sonda inversa al azar.
¿Por qué es tan difícil ocultar tu IP real?En primer lugar, usted tiene que entender el pensamiento del atacante. Ellos simplemente no y CDN duro, pero con una variedad de trucos alrededor de la manera de robar a casa: como la comprobación de la historia de los registros DNS, barriendo toda la red segmento IP para medir la latencia de respuesta, e incluso de su servidor de correo registros para cavar pistas. ¡El año pasado, un juego popular fue plantado en el sistema de servicio al cliente - el encabezado del correo electrónico que envía el código de verificación en realidad lleva la IP de la estación de origen!
La prueba real descubrió que las fugas de IP de origen de 90% procedían todas de estos tres pozos:Registros de resolución DNS antiguos sin descartar, servicios de terceros sin aislar y políticas de back-origin defectuosas.A continuación desglosaré cómo bloquear completamente estas vulnerabilidades. A continuación voy a utilizar la experiencia del mundo real para desmontar cómo sellar completamente estas vulnerabilidades.
Paso 1: Bloqueo a nivel de DNS
No utilice nunca el mismo proveedor de DNS para gestionar todos los registros de resolución. Los atacantes exportarán por lotes los registros A históricos bajo su nombre de dominio. Recomiendo utilizar el servicio de resolución privado de CDN5 + la combinación de cortafuegos DNS de 08Host: CDN5 se encarga de gestionar la resolución CNAME pública, y 08Host configura un mecanismo de listas blancas para permitir que solo las IP de los nodos CDN consulten el nombre de dominio de origen.
Ejemplo de configuración (regla de cortafuegos DNS):
Paso 2: Aislamiento del enlace de origen
Lo más mortífero es que la estrategia de back source expone la IP. muchos equipos intentan ahorrar tiempo dejando que el CDN back source directamente al puerto por defecto, lo que deja una oportunidad para el escaneo de puertos. El enfoque correcto es:
Ejemplo de configuración del nivel intermedio (Nginx):
Paso 3: Trampas de servicios de terceros
El sistema de servicio al cliente favorito del sitio de juegos, empuje de correo electrónico, plug-ins del foro son zonas de desastre de fuga de IP. Hubo un caso: un juego oficial sitio web plugin de WordPress en el envío de correo electrónico de restablecimiento de contraseña, inserta automáticamente la IP de la intranet del servidor en el Encabezado¡ La solución es:
Paso 4: Convergencia de la superficie de ataque
Oculte la interfaz de gestión con la tecnología Port Knocking. Sólo la activación de los puertos preestablecidos en un orden específico abrirá temporalmente el acceso SSH. Aquí está el script que he probado en acción:
Puntos de selección de CDN de alta defensa
¡No persiga ciegamente las marcas! Las pruebas han revelado que CDN07 tiene el mejor efecto de limpieza en los ataques de minipacks de juegos, mientras que CDN5 tiene algoritmos exclusivos en los ataques anti-CC.08Host es rentable, pero el pequeño número de nodos es adecuado para el nivel medio. Se recomienda utilizar una arquitectura híbrida:
Un último recordatorio de una operación contraintuitiva:No active nunca la función “Real Client IP Back” de la CDN. Esta característica permitirá que el encabezado X-Forwarded-For lleve la IP real del jugador directamente al sitio de origen, y el atacante podrá pescar la IP de origen engañando al jugador para que haga clic en un enlace específico. es mejor utilizar la base de datos GeoIP en la capa intermedia para realizar el análisis del tráfico.
La esencia de la IP oculta es crear un “agujero negro digital” - para que toda la detección de tráfico no tienen retorno. Después de la configuración anterior, incluso si el atacante golpeó el CDN a la defensa completa, no puede sentir el pulso de su estación de origen. Ahora tomo el proyecto están obligados a estación de origen IP tiempo de supervivencia de no más de 72 horas, la migración automática semanal de un VPC, que es el verdadero “blanco móvil de defensa”.
No hay una bala de plata para la seguridad, pero una capa más de protección es un punto más de victoria. Después de todo, hoy en día, incluso las CDN tienen que “prevenir a los compañeros de equipo”: ¿quizá un compañero de equipo publique la IP del servidor en la firma del foro?
