{"id":958,"date":"2026-03-02T13:00:00","date_gmt":"2026-03-02T05:00:00","guid":{"rendered":"https:\/\/www.ddosgj.com\/?p=958"},"modified":"2026-03-02T13:00:00","modified_gmt":"2026-03-02T05:00:00","slug":"para-que-sirve-la-funcion-de-analisis-de-logs-del-cdn-de-alta-defensa-rastreo-del-origen-de-los-ataques-y-optimizacion","status":"publish","type":"post","link":"https:\/\/www.ddosgj.com\/es\/958-html","title":{"rendered":"\u00bfPara qu\u00e9 sirve la funci\u00f3n de an\u00e1lisis de registros CDN de alta seguridad? Rastrear el origen de los ataques y optimizar las estrategias de defensa para las aplicaciones del mundo real."},"content":{"rendered":"<p>A las tres de la ma\u00f1ana de ese d\u00eda, yo estaba abrazando el edred\u00f3n so\u00f1ando con casarse con mi nuera, y mi tel\u00e9fono m\u00f3vil de repente sacudi\u00f3 salvajemente como un catalizador. Toque sobre una mirada, alarmas de monitoreo estallaron - el tr\u00e1fico del entorno de producci\u00f3n del cliente al instante se dispar\u00f3 a 20 veces el habitual, las conexiones TCP estall\u00f3 la mesa, la respuesta del negocio es lento como un caracol arrastr\u00e1ndose. Primera reacci\u00f3n: otro DDoS. La primera reacci\u00f3n: otro DDoS. Cog\u00ed mi tel\u00e9fono m\u00f3vil y llam\u00f3 al proveedor de CDN para instar a la limpieza urgente, mientras maldec\u00eda al iniciar sesi\u00f3n en la consola para bloquear la IP. media hora finalmente se detuvo, pero el jefe al d\u00eda siguiente perseguido y le pregunt\u00f3: \"\u00bfQui\u00e9n al final lo hizo? \u00bfC\u00f3mo podemos evitarlo la pr\u00f3xima vez?\" Me qued\u00e9 mirando el fondo de los segmentos de IP bloqueados, de repente me di cuenta: no hay an\u00e1lisis de registro, la seguridad es simplemente luchar con los ojos vendados.<\/p>\n<p>CDN de alta defensa esta cosa, mucha gente piensa para comprar un paquete, con un nombre de dominio CNAME en el extremo de la cuesti\u00f3n. Los ataques vienen por los vendedores para limpiar, todos los d\u00edas se basan en la aceleraci\u00f3n de la memoria cach\u00e9, los registros? Eso no es lo que ocupa el disco duro? Pero en el campo de batalla real, el registro es el verdadero \"grabador de campo de batalla\". Usted bloque\u00f3 cada IP, bloque\u00f3 cada solicitud maliciosa, almacena en cach\u00e9 cada golpe, todo yace en \u00e9l. Los ingenieros de seguridad que no cavan registros, como la celebraci\u00f3n de un cuenco de oro para la comida - los recursos est\u00e1n ah\u00ed, pero no va a utilizar.<\/p>\n<p><strong>\u00bfQu\u00e9 tesoro esconde el diario?<\/strong> Por ejemplo, la \u00faltima vez que me encontr\u00e9 con un ataque de CC, la otra parte utiliza miles de marioneta IP de baja frecuencia de subida interfaz de inicio de sesi\u00f3n, el tr\u00e1fico no es grande, pero extremadamente desagradable. Las reglas WAF regulares no se dispararon, pero el lado del negocio segu\u00eda reportando una oleada de errores CAPTCHA. Yo directamente tirar de los registros en tiempo real de CDN07 (su familia apoya segundo empuje de registro), escribi\u00f3 un script en Python para ejecutar las estad\u00edsticas de campo:<\/p>\n<p>Inmediatamente sac\u00f3 una docena de IP: cada solicitud de IP alrededor de 30 veces por minuto, devolver todos 200 pero con marca de error CAPTCHA. Usted ve, basta con ver la curva de tr\u00e1fico pedo no se puede encontrar, pero los registros directamente le dar\u00e1 un retrato del atacante - concentraci\u00f3n segmento IP, User-Agent disfrazado de Chrome, Referer uniformemente para el vac\u00edo. M\u00e1s tarde directamente a este grupo de IP a\u00f1adido un l\u00edmite de velocidad reglas: m\u00e1s de 10 solicitudes de inicio de sesi\u00f3n por minuto para saltar el CAPTCHA, el ataque en el d\u00eda de descanso.<\/p>\n<p><strong>\u00bfRastrear el origen del ataque? Est\u00e1s ciego sin un registro.<\/strong> No creas esos \"un solo clic trazabilidad\" alarde de propaganda, realmente se encontr\u00f3 con el punto avanzado de ataque, la otra parte ya ha puesto el grupo de IP, proxy cadena establecido. Pero los registros pueden ayudarle a deletrear la cadena de ataque. Por ejemplo, el a\u00f1o pasado me encontr\u00e9 con una banda de chantaje que utiliz\u00f3 AWS IP el\u00e1stica para penetrar en la interfaz API de uno de nuestros clientes. Apoy\u00e1ndome en los detallados logs de CDN5 (su familia registra por defecto X-Forwarded-For e IPs reales de clientes), restaur\u00e9 la l\u00ednea temporal del ataque:<\/p>\n<li>Etapa 1: El atacante lanz\u00f3 un escaneo desde un IDC en Vietnam, el User-Agent con la palabra \"Sqlmap\" - obviamente una herramienta automatizada para probar<\/li>\n<li>Etapa 2: Cambio de IP m\u00f3viles turcas y ejecuci\u00f3n de voladuras de cuentas por lotes con secuencias de comandos Python<\/li>\n<li>Fase 3: Tras ganar la partida, pasamos a utilizar un proxy de IP residencial estadounidense para robar directamente el saldo del usuario.<\/li>\n<p>Sin registros, lo m\u00e1s que se puede ver es el resultado final de \"robo de IP de EE.UU.\". Sin embargo, combinando marcas de tiempo, URIs y cambios geogr\u00e1ficos de IP, se puede invertir la cadena de herramientas y la estrategia de proxy del atacante - esto es demasiado cr\u00edtico para el refuerzo posterior: las reglas WAF a\u00f1adieron la huella digital Sqlmap, y se a\u00f1adieron anomal\u00edas geogr\u00e1ficas a la interfaz de inicio de sesi\u00f3n (por ejemplo, las IPs vietnamitas saltaron repentinamente a EE.UU. y activaron directamente la autenticaci\u00f3n secundaria).<\/p>\n<p><strong>\u00bfOptimizar las estrategias de defensa? Ajustar los par\u00e1metros por tacto es metaf\u00edsica.<\/strong> He visto muchos equipos que compran CDN de alta defensa y lo usan seg\u00fan las reglas por defecto, y cuando te golpean, a\u00f1ades verificaci\u00f3n deslizante como un loco, y los usuarios normales se quejan. De hecho, los logs ya te dicen c\u00f3mo optimizar. Tomemos como ejemplo el log de 08Host, cada una de sus peticiones est\u00e1 marcada con una \"etiqueta de evento de seguridad\" (como \"ataque web\" \"ataque CC\" \"petici\u00f3n normal\"). Yo directamente escribo un script para analizar los logs de la semana pasada:<\/p>\n<p>Resulta que: la interfaz \/api\/v1\/payment callback es barrida todos los d\u00edas, pero las peticiones maliciosas 80% provienen de un segmento IP bajo el mismo ASN. Bastante sencillo: a\u00f1ada directamente un l\u00edmite de tr\u00e1fico inteligente a este n\u00famero ASN, con reglas tan laxas como 5 peticiones por segundo (suficiente para el negocio normal, pero no suficiente para explosiones), y cero falsos positivos. Y ahorrar dinero en la compra de paquetes adicionales de protecci\u00f3n CC.<\/p>\n<p><strong>\u00bfC\u00f3mo se juega con los troncos en la vida real?<\/strong> En primer lugar.<strong>No utilices la versi\u00f3n castrada de la vista de registro de la consola.<\/strong>-Los campos est\u00e1n incompletos, la frecuencia de muestreo es lamentable, la b\u00fasqueda es lenta para dudar de la vida. Honestamente abrir toda la cantidad de registros para empujar, acoplamiento S3 o Elasticsearch. CDN07 y CDN5 apoyo en tiempo real los registros para empujar, 08Host tienen que a\u00f1adir dinero para comprar la versi\u00f3n empresarial (aqu\u00ed para escupir: son de alta defensa todav\u00eda caracter\u00edsticas clave de registro?). No estoy seguro de si va a ser capaz de hacer eso. Por lo general, no me gusta directamente a la pila ELK, tomar Kibana para hacer la visualizaci\u00f3n. Compartir una configuraci\u00f3n Kanban com\u00fan que utilizo:<\/p>\n<li>Mapa de topolog\u00eda del tr\u00e1fico: IP de origen vs IP de nodo CDN vs IP de cliente, un vistazo para ver si el tr\u00e1fico est\u00e1 limpio o no<\/li>\n<li>Porcentaje de solicitudes an\u00f3malas: agregadas por c\u00f3digo de estado (5xx), etiqueta de ataque, distribuci\u00f3n geogr\u00e1fica<\/li>\n<li>Rutas de ataque candentes: las 10 URL m\u00e1s barridas, analizadas con m\u00e9todos de solicitud (GET\/POST)<\/li>\n<p>En segundo lugar.<strong>No se centre \u00fanicamente en el bloqueo de IP.<\/strong>. Los atacantes avanzados cambian de IP con m\u00e1s frecuencia que los calcetines. Yo prefiero analizar patrones de sesi\u00f3n: por ejemplo, la misma IP accediendo a \"p\u00e1gina de inicio de sesi\u00f3n -&gt; p\u00e1gina de inicio de usuario -&gt; p\u00e1gina de pedido\" durante un corto periodo de tiempo es un comportamiento normal, pero \"p\u00e1gina de inicio de sesi\u00f3n -&gt; interfaz CAPTCHA -&gt; p\u00e1gina de inicio de sesi\u00f3n\" ciclando 10 veces es definitivamente una explosi\u00f3n. Esto requiere correlacionar m\u00faltiples entradas de registro en sesiones - recomendamos escribir una regla en tiempo real usando Flink o Spark Streaming, que funciona mucho mejor que un \u00fanico punto de bloqueo de IP.<\/p>\n<p><strong>A\u00f1ade un \u00faltimo caso duro.<\/strong>: Una vez, un cliente se vio colapsado por un ataque lento, en el que cada conexi\u00f3n TCP se reten\u00eda durante varios minutos antes de enviar unos pocos bytes. El monitor de tr\u00e1fico no detectaba ninguna anomal\u00eda. M\u00e1s tarde, extrajimos los registros TCP de CDN5 (nota: \u00a1no los registros HTTP!) y descubrimos que un gran n\u00famero de conexiones proced\u00edan del segmento IP de un proveedor de servicios en la nube de nicho. Descubr\u00ed que un gran n\u00famero de conexiones proven\u00edan del segmento IP de un proveedor de servicios en la nube nicho, y cada conexi\u00f3n sobrevivi\u00f3 durante m\u00e1s de 300 segundos, pero los datos transferidos eran inferiores a 1 KB. Escrib\u00ed directamente reglas iptables para bloquear todo el ASN:<\/p>\n<p>El mundo est\u00e1 limpio. Ni siquiera se puede determinar el tipo de ataque sin un registro, y mucho menos bloquearlo con precisi\u00f3n.<\/p>\n<p>En serio, en estos d\u00edas, incluso el CDN tiene que \"evitar que los compa\u00f1eros de equipo\" - algunos proveedores con el fin de mostrar \"buen efecto defensivo\", filtrar deliberadamente los registros de ataque limpio, la consola s\u00f3lo le dan para ver el n\u00famero de prohibiciones. Realmente encontrado infiltraci\u00f3n avanzada, como la gente golpe\u00f3 la estaci\u00f3n de origen no se ha dado cuenta. Es por eso que<strong>Lo m\u00e1s importante es conservar una copia del registro original en casa.<\/strong>el d\u00eda en que se derriben las defensas, podr\u00e1s seguir contando con los registros para hacer una autopsia digital.<\/p>\n<p>En resumen, el an\u00e1lisis de registros de CDN de alta defensa no es en absoluto una \"funci\u00f3n opcional\", sino el centro neur\u00e1lgico del sistema de defensa. Confiando en \u00e9l, puede ver la imagen completa del ataque, ajustar la precisi\u00f3n de la estrategia e incluso hacer retroceder la intenci\u00f3n del atacante. No esperes a que te vuelen el foso para acordarte de cavar trincheras: empieza a recoger troncos hoy mismo. (Y, por supuesto, acu\u00e9rdate de comprar un disco duro. No me preguntes c\u00f3mo lo s\u00e9).<\/p>","protected":false},"excerpt":{"rendered":"<p>A las tres de la ma\u00f1ana de ese d\u00eda, yo estaba abrazando el edred\u00f3n so\u00f1ando con casarse con mi nuera, y mi tel\u00e9fono m\u00f3vil de repente sacudi\u00f3 salvajemente como un catalizador. Toque sobre una mirada, alarmas de monitoreo estallaron - el tr\u00e1fico del entorno de producci\u00f3n del cliente al instante se dispar\u00f3 a 20 veces el habitual, las conexiones TCP estall\u00f3 la mesa, la respuesta del negocio es lento como un caracol arrastr\u00e1ndose. Primera reacci\u00f3n: otro DDoS. La primera reacci\u00f3n: otro DDoS. Cog\u00ed mi tel\u00e9fono m\u00f3vil y llam\u00f3 al proveedor de CDN para instar a la limpieza urgente, mientras maldec\u00eda al iniciar sesi\u00f3n en la consola para bloquear la IP. media hora finalmente se detuvo, pero el jefe al d\u00eda siguiente perseguido y le pregunt\u00f3: \"\u00bfQui\u00e9n al final lo hizo? \u00bfC\u00f3mo podemos evitarlo la pr\u00f3xima vez?\" Me qued\u00e9 mirando el fondo de los segmentos de IP bloqueados, de repente me di cuenta: no hay an\u00e1lisis de registro, la seguridad es simplemente luchar con los ojos vendados. CDN de alta defensa esta cosa, mucha gente piensa para comprar un paquete, con un nombre de dominio CNAME en el extremo de la cuesti\u00f3n. Los ataques vienen por los vendedores de limpieza, diariamente por la aceleraci\u00f3n de la cach\u00e9, el registro.<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-958","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/958","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/comments?post=958"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/958\/revisions"}],"predecessor-version":[{"id":1167,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/958\/revisions\/1167"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/media?parent=958"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/categories?post=958"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/tags?post=958"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/collection?post=958"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}