{"id":1018,"date":"2026-03-06T13:00:00","date_gmt":"2026-03-06T05:00:00","guid":{"rendered":"https:\/\/www.ddosgj.com\/?p=1018"},"modified":"2026-03-06T13:00:00","modified_gmt":"2026-03-06T05:00:00","slug":"alta-defensa-social-cdn-analisis-de-registros-de-defensa-analisis-de-los-tipos-de-ataque-y-optimizacion-de-la-defensa","status":"publish","type":"post","link":"https:\/\/www.ddosgj.com\/es\/1018-html","title":{"rendered":"Social High Defend CDN An\u00e1lisis de registros de defensa Analizar los tipos de ataque y optimizar las estrategias de defensa"},"content":{"rendered":"<p>Recientemente para ayudar a algunas plataformas sociales para hacer el refuerzo de seguridad, a su vez sobre sus registros de CDN de alta defensa casi no me hizo re\u00edr - los atacantes ahora incluso \u201c3:00 a.m. a tiempo para fichar en el trabajo\u201d este tipo de operaci\u00f3n de mal gusto se han dedicado a este a\u00f1o, el chantaje tambi\u00e9n se enrolla en un giro ah.<\/p>\n<p>Para ser honesto, muchos equipos ni siquiera mirar los registros de defensa CDN. Pensado WAF abierto puede estar tranquilo, los resultados del tr\u00e1fico de ataque alrededor como un paseo por el jard\u00edn trasero. He visto el caso m\u00e1s escandaloso: una aplicaci\u00f3n social se apoder\u00f3 de 300G de tr\u00e1fico todos los d\u00edas, la operaci\u00f3n y el mantenimiento se congel\u00f3 durante tres meses para ver los registros no encontraron campos anormales.<\/p>\n<p>Empecemos por la distribuci\u00f3n de los tipos de ataque. De los registros CDN5 y CDN07 que he probado, el 70% de los ataques a las empresas sociales se concentran en la capa API. Especialmente la interfaz de liberaci\u00f3n din\u00e1mica de usuario, casualmente cambiar un User-ID puede atravesar toda la estaci\u00f3n de datos de usuario:<\/p>\n<p>Tales peticiones se ocultan muy profundamente en los registros. Las peticiones normales de usuario son de alrededor de 200ms, las peticiones maliciosas de traves\u00eda son com\u00fanmente de m\u00e1s de 2 segundos, pero necesitas correlacionar el campo de longitud de respuesta con la consulta de c\u00f3digo de error 5xx para bloquearlo.<\/p>\n<p>A\u00fan m\u00e1s desagradables son los ataques CC que simulan ser rastreadores. Un cliente con la configuraci\u00f3n por defecto de CDN5 fue golpeado por 800 peticiones de interfaz de inicio de sesi\u00f3n por segundo - el atacante simul\u00f3 el comportamiento completo de Chrome para cada IP, incluso falsificando el evento MouseMove. M\u00e1s tarde a\u00f1ad\u00ed comprobaciones de huellas digitales din\u00e1micas al WAF para detenerlo:<\/p>\n<p>Cuando se trata de la defensa de los rastreadores, no creas en la propaganda de los proveedores de CDN \u201creconocimiento inteligente hombre-m\u00e1quina\u201d. \u00a1He probado tres principales proveedores de servicios, las reglas por defecto en la tasa de reconocimiento de clics simulados es inferior a 40%. m\u00e1s tarde a 08Host propuso una soluci\u00f3n: en la p\u00e1gina de inicio de sesi\u00f3n enterrado en el campo Honeypot invisible, el robot 100% llenar\u00e1 estos campos, la persona real no puede ser visto - un solo movimiento para detener el 90% de la automatizaci\u00f3n! ataques de registro.<\/p>\n<p>De hecho, el mayor escollo del an\u00e1lisis de registros reside en la correlaci\u00f3n temporal. Una vez el cliente dijo que el tr\u00e1fico se dispar\u00f3 en las primeras horas de la ma\u00f1ana todos los d\u00edas, pensando que era una actividad normal del usuario. Como resultado de un vistazo al registro, el atacante eligi\u00f3 de 3 a 6 de la ma\u00f1ana para rozar la interfaz de cupones, porque a esta hora la vigilancia de operaci\u00f3n y mantenimiento es la m\u00e1s laxa. M\u00e1s tarde hizo un mapa de distribuci\u00f3n horaria de la interfaz antes de retirarse:<\/p>\n<p>Este tipo de ataque debe analizarse con correlaci\u00f3n temporal. Vert\u00ed los registros de CDN07 en ELStack (sistema de registro de desarrollo propio) y configur\u00e9 una regla de alerta de banda horaria an\u00f3mala:<\/p>\n<p>Otro ataque avanzado es un HTTP DoS lento, donde el atacante env\u00eda s\u00f3lo unos pocos bytes por petici\u00f3n, arrastrando todo el pool de conexiones. En los registros, se muestra como un tiempo de conexi\u00f3n muy largo + tr\u00e1fico muy peque\u00f1o, que no puede ser encontrado por WAF regular. M\u00e1s tarde, a\u00f1ad\u00ed el an\u00e1lisis de la capa de enlace TCP al nodo de borde de 08Host, y vi m\u00e1s de 10 minutos de conexiones semiabiertas directamente pellizcando la l\u00ednea.<\/p>\n<p>Cuando se trata de estrategias de optimizaci\u00f3n, lo primero que hay que cambiar es la configuraci\u00f3n CDN por defecto. La configuraci\u00f3n de f\u00e1brica de casi todos los proveedores de WAF es de \u201cbaja sensibilidad\u201d, incluso la detecci\u00f3n de inyecciones SQL est\u00e1 aguada. Se recomienda que lo primero que se haga al obtener el permiso sea ajustar la base de reglas:<\/p>\n<p>El segundo foco son los pesos personalizados de las reglas. Muchos equipos abren directamente el modo de aprendizaje, y el resultado est\u00e1 envenenado por los atacantes: provocan deliberadamente falsos positivos con peticiones normales, para que el WAF ajuste a la baja los pesos de las reglas maliciosas. Ahora todos recomiendan usar motores duales en paralelo: el motor de IA de CDN5 para la detecci\u00f3n primaria, y luego usar reglas desarrolladas por uno mismo para las comprobaciones secundarias:<\/p>\n<p>Por \u00faltimo, hay que hacer perfiles de atacantes. Una vez descubr\u00ed que una determinada IP probaba 20 tipos de t\u00e9cnicas de ataque cada d\u00eda, desde inyecci\u00f3n SQL hasta SSRF para cambiar el patr\u00f3n. El rastreo descubri\u00f3 que se trataba de un equipo de infiltraci\u00f3n contratado por un competidor, especializado en probar ofertas de vulnerabilidad. M\u00e1s tarde, elaboramos directamente un cuadro de mando de amenazas y comenzamos la verificaci\u00f3n humana de las IP con puntuaciones altas:<\/p>\n<p>Hoy en d\u00eda, al chantaje le gusta jugar a una combinaci\u00f3n de golpes. Primero, ralentizar la detecci\u00f3n durante media hora para encontrar el formato de par\u00e1metro de URL liberado por WAF, y luego utilizar 200 nodos de funci\u00f3n de nube para explotar al mismo tiempo. Una vez que el registro de defensa mostr\u00f3 que el atacante incluso utiliz\u00f3 ChatGPT para generar contenido de di\u00e1logo de usuario normal para ocultar la carga maliciosa - AI est\u00e1 empezando a participar en el chantaje en estos d\u00edas.<\/p>\n<p>Para ser honesto, mirando a los registros de defensa es como resolver un crimen. Los atacantes siempre dejan rastros: una IP nunca con Referrer, un n\u00famero de versi\u00f3n de User-Agent se fija en 99.0, un cierto tipo de solicitud debe ser desencadenada por el error 504 ... Recientemente, para ayudar a los clientes de soluci\u00f3n de problemas encontr\u00f3 que el grupo atacante en realidad utiliza el ID de v\u00eddeo popular como un comando de control, en los comentarios de la decodificaci\u00f3n de palabras de comandos criptogr\u00e1ficos desencadenados despu\u00e9s del ataque CC, este agujero en el cerebro! Esta es una gran idea.<\/p>\n<p>Se recomienda dedicar media hora cada fin de semana a revisar los registros. Centrarse en la distribuci\u00f3n de los c\u00f3digos de respuesta an\u00f3malos, la diversidad de las solicitudes de la misma IP, y las llamadas a la API en momentos no convencionales. Una vez que me encontr\u00e9 con que una determinada IP peticiones por segundo es siempre 59 veces (justo atrapado en el umbral de 60 veces \/ segundo del l\u00edmite de flujo), en el camino hacia el final de una banda profesional DDoS.<\/p>\n<p>Ahora, el cliente utiliza la soluci\u00f3n que he puesto a punto para desplegar una combinaci\u00f3n de CDN07 y 08Host para la redundancia de doble enlace. Las bases de reglas de los dos proveedores se complementan, 08Host es bueno identificando ataques de capa de protocolo, y el motor de IA de CDN07 es m\u00e1s sensible a la detecci\u00f3n de comportamientos. El coste mensual de defensa aument\u00f3 en 8%, pero el tr\u00e1fico acaparado por el chantaje baj\u00f3 de 20TB al mes a menos de 100GB - este ratio ROI es dinero de sangre.<\/p>\n<p>Por \u00faltimo, lanzar una soluci\u00f3n rey bomba: enterrar scripts personalizados en los nodos de borde CDN. Cuando se encuentra con una solicitud sospechosa para volver a los datos falsos + marcadores de seguimiento, no s\u00f3lo puede reducir los ingresos de ataque, sino tambi\u00e9n revertir la trazabilidad del atacante. El c\u00f3digo espec\u00edfico es demasiado largo para publicar, la idea central es:<\/p>\n<p>La seguridad nunca es permanente. Los m\u00e9todos de ataque de hoy para prevenir, ma\u00f1ana puede ser una nueva variante. La clave es analizar los registros como una rutina diaria, y poco a poco usted ser\u00e1 capaz de desarrollar la intuici\u00f3n de \u201cuna mirada a la falsificaci\u00f3n\u201d - una vez me desenterr\u00f3 una red utilizando dispositivos IoT como proxies debido a anomal\u00edas en el tama\u00f1o de la ventana TCP inicial de una determinada IP.<\/p>\n<p>Por cierto, no te dejes enga\u00f1ar por las declaraciones de defensa proporcionadas por los vendedores. Incluir\u00e1n ataques simples para mostrar su eficacia, y la tasa de defensa efectiva real puede estar descontada. Lo mejor es escribir sus propios scripts para ejecutar el an\u00e1lisis de los registros, centr\u00e1ndose en el impacto empresarial de los datos reales de bloqueo de ataques.<\/p>\n<p>Ahora los clientes est\u00e1n mucho m\u00e1s tranquilos cuando sufren ataques. La \u00faltima vez que una plataforma social fue atacada por un mill\u00f3n de QPS, seg\u00fan los registros de defensa ajustaron r\u00e1pidamente la estrategia de limitaci\u00f3n de velocidad, diez minutos para estabilizar la situaci\u00f3n. Las palabras del jefe fueron: \u201cEsta sensaci\u00f3n de seguridad es m\u00e1s real que comprar tres a\u00f1os de seguro\u201d.<\/p>","protected":false},"excerpt":{"rendered":"<p>Recientemente para ayudar a algunas plataformas sociales para hacer el refuerzo de seguridad, a su vez sobre sus registros de CDN de alta defensa casi no me hizo re\u00edr - los atacantes ahora incluso \u201c3:00 a.m. a tiempo para perforar el reloj para trabajar\u201d este tipo de operaci\u00f3n de mal gusto se han comprometido en el chantaje de este a\u00f1o tambi\u00e9n rod\u00f3 en un giro ah. Para ser honesto, muchos equipos ni siquiera mirar los registros de defensa CDN. Pensamiento abrir el WAF ser\u00e1 capaz de estar tranquilo, el resultado del ataque en el tr\u00e1fico alrededor como pasear en el jard\u00edn trasero. He visto el caso m\u00e1s escandaloso: una aplicaci\u00f3n social se apoder\u00f3 de 300G de tr\u00e1fico todos los d\u00edas, la operaci\u00f3n y el mantenimiento se congel\u00f3 durante tres meses para ver los registros no encontraron campos anormales. Hablemos de la distribuci\u00f3n de los tipos de ataque. De los registros CDN5 y CDN07 que he probado, el 70% de los ataques a empresas sociales se concentran en la capa API. En particular, la interfaz de liberaci\u00f3n din\u00e1mica de usuario, casualmente cambiar un User-ID puede atravesar toda la estaci\u00f3n de datos de usuario:<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-1018","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/1018","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/comments?post=1018"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/1018\/revisions"}],"predecessor-version":[{"id":1107,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/1018\/revisions\/1107"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/media?parent=1018"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/categories?post=1018"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/tags?post=1018"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/collection?post=1018"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}