{"id":914,"date":"2026-02-28T16:00:00","date_gmt":"2026-02-28T08:00:00","guid":{"rendered":"https:\/\/www.ddosgj.com\/?p=914"},"modified":"2026-02-28T16:00:00","modified_gmt":"2026-02-28T08:00:00","slug":"como-la-cdn-social-de-alta-defensa-utiliza-el-reenvio-multicapa-para-ocultar-la-ip-de-origen-y-garantizar-que-nunca","status":"publish","type":"post","link":"https:\/\/www.ddosgj.com\/es\/914-html","title":{"rendered":"C\u00f3mo las CDN sociales de alta defensa utilizan el reenv\u00edo multicapa para ocultar la IP de origen y garantizar que nunca quede expuesta."},"content":{"rendered":"<p>Recuerdo que el a\u00f1o pasado un cliente para encontrarme fuego de emergencia, dijo que el sitio fue golpeado de repente a tiempo de inactividad, una comprobaci\u00f3n de los registros encontr\u00f3 que la IP de la estaci\u00f3n de origen fue precisamente voladura - el atacante simplemente no fue CDN, directamente a la IP de la estaci\u00f3n de origen de salida loco. Le pregunt\u00e9 c\u00f3mo hacer coincidir la CDN, justific\u00f3: \u201cno en el nombre de dominio CNAME al proveedor de CDN a la direcci\u00f3n?\u201d Los resultados de un vistazo a la configuraci\u00f3n, buen tipo, el servidor de origen en realidad atado al nombre de dominio de resoluci\u00f3n directa del registro A, las reglas de firewall no restringen la CDN de nuevo al segmento IP de origen. Este tipo de operaci\u00f3n, equivalente al hacker emiti\u00f3 una recta a trav\u00e9s de la estaci\u00f3n de origen del billete VIP.<\/p>\n<p>De hecho, la estaci\u00f3n de origen IP exposici\u00f3n esta mierda, nueve veces de cada diez son omisiones de configuraci\u00f3n o sesgo de comprensi\u00f3n. Algunas personas piensan que el uso de CDN descansar\u00e1 f\u00e1cil, pero no saben que CDN es s\u00f3lo una capa de escudo, el escudo en s\u00ed no est\u00e1 cubierto herm\u00e9ticamente, pero se convertir\u00e1 en una debilidad. \u00a1Actos comunes de la muerte incluyen: el servidor de origen abri\u00f3 un puerto de depuraci\u00f3n remota y el acceso p\u00fablico, los registros DNS permanecen en la fuente de un registro, certificado SSL IP fuente de fugas de aplicaci\u00f3n, e incluso directamente en el c\u00f3digo para escribir la fuente muerta API de llamada IP. a\u00fan m\u00e1s indignante es que algunos peque\u00f1os y medianos proveedores de la configuraci\u00f3n por defecto de la CDN permite a los usuarios eludir la memoria cach\u00e9 a trav\u00e9s de un encabezado espec\u00edfico o par\u00e1metros de URL para conectarse directamente a la estaci\u00f3n de origen! --Esto es simplemente una puerta trasera para los atacantes.<\/p>\n<p>He probado tres de los principales proveedores de CDN y he descubierto que incluso para el mismo proveedor, las pol\u00edticas de seguridad por defecto para los diferentes paquetes pueden ser muy diferentes. Por ejemplo, la edici\u00f3n Starter de CDN5 no oculta autom\u00e1ticamente el encabezado del servidor de origen, mientras que su edici\u00f3n Enterprise se ver\u00e1 obligada a reescribir el encabezado de respuesta. Tambi\u00e9n hay un detalle lamentable: algunos CDN en la fuente de nuevo a la falla de la informaci\u00f3n de error de IP de origen ser\u00e1 lanzado al cliente, que se llama \u201cla exposici\u00f3n de retroalimentaci\u00f3n de fallo\u201d, especialmente lanzada usuarios blancos.<\/p>\n<p>\u00bfPor qu\u00e9 tienes que morir para ocultar la IP de origen, en estos d\u00edas los ataques DDoS han sido durante mucho tiempo industrializado, el costo de penetrar en el CDN es cada vez mayor, pero si se toca la IP de origen, el costo del ataque directamente hacia abajo dos \u00f3rdenes de magnitud. He visto el caso m\u00e1s tr\u00e1gico es la exposici\u00f3n de IP de origen de una estaci\u00f3n de comercio electr\u00f3nico, se paraliz\u00f3 con 50Gbps UDP Flood, proveedores de nube directamente al servidor de origen para tirar del agujero negro durante 24 horas - para saber que ahora s\u00f3lo un cl\u00faster de broiler puede crear f\u00e1cilmente el tr\u00e1fico de nivel T. Lo que es a\u00fan m\u00e1s repugnante es que una vez que la IP de origen est\u00e1 etiquetada, le sigue el posterior escaneo de puertos, detecci\u00f3n de vulnerabilidades y abuso de APIs, que es tan dif\u00edcil de limpiar como un nido de cucarachas apu\u00f1alado.<\/p>\n<p>Hablando de reenv\u00edo multicapa, la esencia de esto es poner una mu\u00f1eca rusa de anidaci\u00f3n en la IP de origen. La primera capa se basa en el nodo de borde CDN para llevar el tr\u00e1fico, la segunda capa utiliza un proxy inverso o fuente intermedia para hacer el aislamiento, y la tercera capa es la estaci\u00f3n de origen real. La clave es dejar que el atacante s\u00f3lo pueda ver la IP proxy m\u00e1s externa, y de vuelta a la IP de enlace de origen toda la comunicaci\u00f3n de la intranet o de la lista blanca. Aqu\u00ed recomiendo encarecidamente utilizar el programa de \u201cfuente intermedia\u201d: no deje que el CDN directamente de vuelta al servidor real, pero en medio de la inserci\u00f3n de una capa de proxy (como Nginx cl\u00faster proxy inverso), la capa de proxy y el CDN con una l\u00ednea dedicada o interconexiones de intranet, el exterior completamente invisible.<\/p>\n<p>Concretamente, tomemos como casta\u00f1a la configuraci\u00f3n de Nginx. Supongamos que su fuente real intranet IP es 192.168.1.100, la fuente intermedia servidor proxy IP p\u00fablica es 203.0.113.10 (pero s\u00f3lo permiten CDN de vuelta a la fuente IP segmento de acceso), CDN nodo de borde de vuelta a la fuente de punto a esta IP de origen intermedio. a continuaci\u00f3n, en el servidor de origen intermedio, la configuraci\u00f3n de la clave nginx.conf es largo como este:<\/p>\n<p>\u00a1No subestime estas l\u00edneas de configuraci\u00f3n! Yo ayudo a una estaci\u00f3n financiera a hacer refuerzo, s\u00f3lo conf\u00edo en esta arquitectura de fuente intermedia para bloquear el 70% del comportamiento de escaneo. Porque aunque el atacante elija la IP 203.0.113.10, s\u00f3lo ver\u00e1 una capa proxy disfrazada de CDN, y no podr\u00e1 tocar el servidor real 192.168.1.100. Es m\u00e1s, en la fuente intermedia tambi\u00e9n se pueden desplegar WAF, limitaci\u00f3n de velocidad, verificaci\u00f3n humana y otros m\u00f3dulos de seguridad adicionales, equivalentes a la estaci\u00f3n de origen en el doble seguro.<\/p>\n<p>Ahora hablemos de la elecci\u00f3n de los proveedores de CDN. Escoja al azar tres comparaciones: CDN5, CDN07, 08Host. El punto fuerte de CDN5 es que hay muchos nodos en el extranjero, pero la pol\u00edtica de seguridad por defecto es d\u00e9bil, hay que abrir manualmente el \u201cmodo estricto de vuelta a la fuente\u201d para bloquear la lista blanca; la aceleraci\u00f3n dom\u00e9stica de CDN07 es implacable, soporta la integraci\u00f3n nativa de reenv\u00edo multicapa (lo llaman \u201carquitectura de fuente escudo\u201d), pero el precio puede ser m\u00e1s caro que 40%; 08Host ruta rentable. \u201cArquitectura de fuente de escudo\u201d), pero el precio puede ser m\u00e1s caro que 40%; 08Host ruta rentable, comprar paquetes de alta defensa para enviar servicios de origen intermedio, pero la estabilidad del nodo de vez en cuando sacudida. Med\u00ed la prueba de presi\u00f3n, CDN07 en 300Gbps DDoS todav\u00eda puede mantener el enlace de fuente intermedia no se escapa la IP real, mientras que algunos vendedores baratos encontraron una gran cantidad de tr\u00e1fico directamente de vuelta a la fuente de la exposici\u00f3n - por lo que no creen que el \"absoluto oculto\" sin sentido, la clave es mirar el dise\u00f1o de la red subyacente. La clave es mirar el dise\u00f1o de red subyacente del proveedor.<\/p>\n<p>Tambi\u00e9n existe una operaci\u00f3n de anidamiento con m\u00faltiples CDN. Por ejemplo, utilizando CDN5 para hacer la primera capa de aceleraci\u00f3n de borde, de vuelta al cl\u00faster de origen intermedio CDN07, y finalmente de vuelta al servidor real. Este modo de anidamiento, aunque el coste se duplica, ayud\u00f3 una vez a una empresa de juegos a resistir un ataque h\u00edbrido de 1,2Tbps - el atacante ni siquiera penetr\u00f3 la IP Anycast de la primera capa de CDNs, por no hablar de la trazabilidad. Por supuesto, esta soluci\u00f3n requiere una programaci\u00f3n DNS detallada y configuraciones de retenci\u00f3n de sesi\u00f3n, o los usuarios pueden experimentar fluctuaciones de latencia a trav\u00e9s de los saltos CDN.<\/p>\n<p>Por \u00faltimo, me gustar\u00eda echar un jarro de agua fr\u00eda: no existe ninguna soluci\u00f3n que pueda 100% garantizar que la IP de origen nunca ser\u00e1 expuesta. Ha habido hackers que han deducido indirectamente la IP de origen a trav\u00e9s del an\u00e1lisis del tiempo del handshake del certificado SSL, el fingerprinting de la pila HTTP\/2, e incluso el mapeo inverso del segmento IP del nodo CDN, etc. As\u00ed que, adem\u00e1s del reenv\u00edo multicapa, hay que trabajar con las operaciones b\u00e1sicas de cambiar de nuevo a la IP de origen regularmente, deshabilitar las respuestas ICMP y cerrar los puertos no esenciales, etc. Yo sol\u00eda utilizar Shodan cada mes para escanear las IPs relacionadas con mi dominio y comprobar si hab\u00eda alguna exposici\u00f3n accidental de los servicios: es mejor que esperar a que se expongan. Acostumbro a usar Shodan para escanear las IPs asociadas a mis propios dominios una vez al mes para comprobar si hay alg\u00fan servicio expuesto accidentalmente - es mucho mejor que esperar a ser golpeado y luego llorar.<\/p>\n<p>En resumen, ocultar la IP de origen es un proyecto sistem\u00e1tico, no se acaba con un simple conjunto de CDN. Tienes que apilar las defensas de tres dimensiones: arquitectura de red, especificaciones de configuraci\u00f3n y respuesta de monitoreo. Ahora mira mi a\u00f1o que fue golpeado por el cliente, m\u00e1s tarde pas\u00f3 el doble del presupuesto para reconstruir la arquitectura, pero salv\u00f3 diez veces la p\u00e9rdida potencial de tiempo de inactividad - esta ola no est\u00e1 mal. Recuerde: la seguridad de este asunto, en lugar de sobre-dise\u00f1ado no lo deje al azar, despu\u00e9s de todo, los compa\u00f1eros de chantaje puede ser mucho m\u00e1s de lo que rodamos.<\/p>","protected":false},"excerpt":{"rendered":"<p>Recuerdo que el a\u00f1o pasado un cliente para encontrarme fuego de emergencia, dijo que el sitio fue golpeado de repente a tiempo de inactividad, una comprobaci\u00f3n de los registros encontr\u00f3 que la IP de la estaci\u00f3n de origen fue precisamente voladura - el atacante simplemente no fue CDN, directamente a la IP de la estaci\u00f3n de origen de salida loco. Le pregunt\u00e9 c\u00f3mo hacer coincidir la CDN, justific\u00f3: \u201cno en el nombre de dominio CNAME al proveedor de CDN a la direcci\u00f3n?\u201d Los resultados de un vistazo a la configuraci\u00f3n, buen tipo, el servidor de origen en realidad atado al nombre de dominio de resoluci\u00f3n directa del registro A, las reglas de firewall no restringen la CDN de nuevo al segmento IP de origen. Este tipo de operaci\u00f3n, equivalente al hacker emiti\u00f3 una estaci\u00f3n de origen directo del billete VIP. De hecho, la exposici\u00f3n de la IP de la estaci\u00f3n de origen de esta mierda, nueve veces de cada diez son omisiones de configuraci\u00f3n o la comprensi\u00f3n del sesgo causado. Algunas personas piensan que el uso de CDN descansar\u00e1 f\u00e1cil, pero no saben que la CDN es s\u00f3lo una capa de escudo, el escudo en s\u00ed no cubre el apretado en lugar de convertirse en el<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-914","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/914","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/comments?post=914"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/914\/revisions"}],"predecessor-version":[{"id":1211,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/914\/revisions\/1211"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/media?parent=914"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/categories?post=914"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/tags?post=914"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/collection?post=914"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}