{"id":980,"date":"2026-03-03T12:52:59","date_gmt":"2026-03-03T04:52:59","guid":{"rendered":"https:\/\/www.ddosgj.com\/?p=980"},"modified":"2026-03-03T12:52:59","modified_gmt":"2026-03-03T04:52:59","slug":"como-hacer-frente-a-los-ataques-de-suplantacion-de-ip-mediante-la-verificacion-de-la-ip-de-origen-y-la-toma-de-huellas-dactilares-en-cdn-de-alta-defensa","status":"publish","type":"post","link":"https:\/\/www.ddosgj.com\/es\/980-html","title":{"rendered":"C\u00f3mo contrarrestan las CDN de alta defensa los ataques de falsificaci\u00f3n de IP con la verificaci\u00f3n de la IP de origen y la huella digital"},"content":{"rendered":"<p>Recientemente se encontr\u00f3 con una cosa mala, la estaci\u00f3n de comercio electr\u00f3nico de un cliente, obviamente, colg\u00f3 un CDN de alta defensa, o se cepill\u00f3 m\u00e1s de 100.000 pedidos falsos. Compruebe el registro encontr\u00f3 que el atacante perfectamente falsificado la IP del nodo CDN, la solicitud directamente eludido el sistema de protecci\u00f3n. En estos d\u00edas, incluso el CDN tiene que \u201cevitar que los compa\u00f1eros de equipo\u201d - usted piensa que un escudo en la seguridad, pero no saben la verificaci\u00f3n de la estaci\u00f3n de origen no es bueno, de alta seguridad CDN se convertir\u00e1 en el trampol\u00edn para los atacantes.<\/p>\n<p>Los ataques de suplantaci\u00f3n de IP no son nada nuevo. Pero mucha gente piensa que en el CDN descansar\u00e1 f\u00e1cil, de hecho, un gran error. Los atacantes ahora primer paso escanear nodo CDN segmento IP, y luego forjado X-Forwarded-Para este tipo de cabecera, el tr\u00e1fico de basura empaquetado como \u201ctr\u00e1fico leg\u00edtimo CDN\u201d directamente a la estaci\u00f3n de origen. He probado tres principales proveedores de servicios CDN el a\u00f1o pasado, dos de la configuraci\u00f3n por defecto en realidad permite que cualquier declaraci\u00f3n de IP que son nodos CDN, este agujero de seguridad es simplemente m\u00e1s que una fuga de tamiz.<\/p>\n<p>La causa ra\u00edz es que muchas operaciones y mantenimiento conf\u00edan ciegamente en la lista de IPs proporcionada por el proveedor de servicios CDN. Pero las IP de los nodos CDN se actualizan \u00a1ah hermano! La lista de segmentos IP que se acaba de actualizar la semana pasada puede no ser v\u00e1lida esta semana. Por no hablar de los proveedores de CDN que utilizan servicios en la nube con IP el\u00e1stica, la IP de nodo cambia m\u00e1s r\u00e1pido que el libro. \u00bfEsperas mantener manualmente una lista blanca de IP? Es como enviar una invitaci\u00f3n a los atacantes.<\/p>\n<p>En primer lugar, la verificaci\u00f3n de la IP de origen. No utilice el \u201cCDN IP Segment Book\u201d descargado de Internet, que expira m\u00e1s r\u00e1pido que la vida \u00fatil de yogur. Yo ahora todos los proyectos han cambiado a utilizar mecanismo de autenticaci\u00f3n din\u00e1mica: en el panel de control CDN para generar un Token \u00fanico, y luego a trav\u00e9s de un encabezado personalizado pasado a la estaci\u00f3n de origen. La configuraci\u00f3n de Nginx sitio de origen directamente escribir muertos:<\/p>\n<p>Este truco es despiadado en qu\u00e9? Incluso si el atacante falsific\u00f3 la IP no puede obtener el Token. probado CDN5 y CDN07 dos, con la verificaci\u00f3n de encabezado personalizado, la tasa de interceptaci\u00f3n de solicitud ilegal directamente a 100%. Sin embargo, debemos prestar atenci\u00f3n a la Token debe ser rotado con regularidad, se recomienda utilizar el sistema de gesti\u00f3n de claves para actualizar autom\u00e1ticamente.<\/p>\n<p>El token por s\u00ed solo no es suficiente. El a\u00f1o pasado, nos encontramos con un caso, el atacante a trav\u00e9s de la ingenier\u00eda social para obtener el Token (un empleado lanz\u00f3 el archivo de configuraci\u00f3n en GitHub), esta vez necesitamos una segunda l\u00ednea de defensa - fingerprinting. El principio de esta tecnolog\u00eda es en realidad muy simple: a cada nodo CDN leg\u00edtimo con una marca de agua digital, al igual que los agentes emitidos insignias de identificaci\u00f3n.<\/p>\n<p>He probado esto en el nodo de 08Host: inyectar un fragmento de c\u00f3digo JS espec\u00edfico en la configuraci\u00f3n de la CDN, y el sitio de origen confirma la identidad mediante la detecci\u00f3n de esta huella digital. Por ejemplo, que el nodo CDN lo a\u00f1ada autom\u00e1ticamente cuando devuelva una respuesta:<\/p>\n<p>Cuando la estaci\u00f3n de origen recibe la solicitud, utiliza el mismo algoritmo para comprobar la firma, y rechaza la solicitud si la desviaci\u00f3n de la marca de tiempo es superior a 5 segundos. Lo m\u00e1s chabacano de este esquema es que aunque el atacante consiga la clave, es in\u00fatil porque la marca de tiempo y el ID de nodo cambian din\u00e1micamente. La implementaci\u00f3n espec\u00edfica se puede incrustar en OpenResty usando scripts Lua:<\/p>\n<p>Ahora, hablemos de la sobrecarga de rendimiento. Muchas personas escuchan \u201cautenticaci\u00f3n criptogr\u00e1fica\u201d en la cabeza, piensan que afectar\u00e1 el rendimiento. De hecho, la prueba real, el aumento de retardo de verificaci\u00f3n de una sola solicitud de menos de 2 ms. En comparaci\u00f3n con el costo de ser paralizado por DDoS, esta sobrecarga es casi insignificante. Pero preste atenci\u00f3n a la elecci\u00f3n de los algoritmos de clave, no sea tonto al utilizar RSA como arma pesada, ECDSA o HMAC-SHA256 es completamente suficiente.<\/p>\n<p>Recientemente para ayudar a una plataforma financiera para hacer pruebas de penetraci\u00f3n, encontr\u00f3 un ataque m\u00e1s insidioso: el atacante primero leg\u00edtimo acceso al nodo CDN, capturar las caracter\u00edsticas de la huella digital de la cabecera de respuesta, y luego tratar de reproducir el ataque. En este momento, s\u00f3lo confiar en la comprobaci\u00f3n de firma est\u00e1tica no es suficiente, hay que a\u00f1adir un mecanismo de n\u00famero aleatorio de un solo uso (Nonce). He visto en los antecedentes de gesti\u00f3n de CDN07 que la \u00faltima versi\u00f3n de su generador Nonce ha sido apoyada, refrescando autom\u00e1ticamente el valor de la semilla una vez cada 10 minutos.<\/p>\n<p>De hecho, la soluci\u00f3n m\u00e1s rentable es utilizar directamente el SDK del proveedor. como el m\u00f3dulo Edge Auth de CDN5 encapsula un conjunto completo de l\u00f3gica de autenticaci\u00f3n, la estaci\u00f3n de origen s\u00f3lo necesita ajustar una API para verificar la autenticidad. Pero no conf\u00edes totalmente en soluciones de caja negra: he visto una vulnerabilidad en la que el SDK de un proveedor estaba expuesto a claves de c\u00f3digo duro. Ahora mi enfoque es utilizar la autenticaci\u00f3n h\u00edbrida: utilizo el SDK del proveedor para hacer el filtrado inicial, y tambi\u00e9n implemento un conjunto alternativo de l\u00f3gica de verificaci\u00f3n de firmas.<\/p>\n<p>Hablando de configuraciones espec\u00edficas, pongamos un ejemplo de Nginx en acci\u00f3n. La siguiente configuraci\u00f3n implementa la triple protecci\u00f3n de listas blancas de IP, verificaci\u00f3n de token y firma de huella digital al mismo tiempo:<\/p>\n<p>Por \u00faltimo, algunos peque\u00f1os proveedores de servicios CDN con el fin de ahorrar costes, incluso los controles b\u00e1sicos de seguridad son demasiado perezosos para hacer. La \u00faltima vez que prob\u00e9 un CDN llamado \u201cinteligente de alta defensa\u201d, encontr\u00f3 que en realidad ponen la l\u00f3gica de verificaci\u00f3n en el cliente JS ejecuci\u00f3n - esto no es obvio para decirle al atacante \u201cr\u00e1pidamente para eludirme? \u201d Este es un mensaje claro a los atacantes. Por lo tanto, al seleccionar el tipo de equipo t\u00e9cnico debe ser programa de protecci\u00f3n de prueba de campo, no se limite a mirar el proyecto de promoci\u00f3n vol\u00f3 por los aires.<\/p>\n<p>Un sistema de protecci\u00f3n verdaderamente fiable debe ser multicapa y din\u00e1mico. La verificaci\u00f3n de la IP de origen es s\u00f3lo la base, la huella digital es la barra de refuerzo, y tiene que ir unida a una serie de medidas como el an\u00e1lisis del comportamiento del tr\u00e1fico (para detectar patrones de petici\u00f3n anormales) y la limitaci\u00f3n de la velocidad (para evitar ataques CC). Ahora despliego soluciones a todos los clientes, les exigir\u00e9 al menos una vez al mes que realicen una prueba de simulaci\u00f3n de bypass - seguridad esta cosa, no hay un programa de una vez por todas.<\/p>\n<p>A decir verdad, en los \u00faltimos tres a\u00f1os, el volumen de ataques de falsificaci\u00f3n de IP se ha multiplicado por m\u00e1s de diez. Las herramientas de ataque han empezado a integrar el fingerprinting de CDN, y cualquier herramienta de c\u00f3digo abierto puede identificar autom\u00e1ticamente a los proveedores de CDN y capturar las caracter\u00edsticas de los nodos. Si la defensa sigue estancada en la \u201cconfiguraci\u00f3n de una lista blanca a nivel de pensamiento\u201d, la brecha es realmente s\u00f3lo cuesti\u00f3n de tiempo.<\/p>\n<p>Por \u00faltimo, me gustar\u00eda compartir una lecci\u00f3n aprendida de mis l\u00e1grimas: \u00a1nunca filtres detalles de validaci\u00f3n en el registro de errores! He visto un sistema que devuelve \u201cFirma caducada\u201d y \u201cToken no v\u00e1lido\u201d cuando falla la verificaci\u00f3n, \u00bfno es eso como entregar un cuchillo a un atacante? Lo correcto es devolver \u201c404 Not Found\u201d, para que el atacante ni siquiera pueda tocar el motivo del fallo.<\/p>\n<p>Protegerse contra los ataques de falsificaci\u00f3n de IP es como jugar al gato y al rat\u00f3n; no existe una soluci\u00f3n milagrosa. La clave est\u00e1 en establecer un sistema de defensa en continua evoluci\u00f3n, despu\u00e9s de todo, los medios del atacante tambi\u00e9n se actualizan constantemente. Al menos desde mi experiencia pr\u00e1ctica, la combinaci\u00f3n de Token din\u00e1mico y esquema de firma criptogr\u00e1fica, tambi\u00e9n puede ser 90% ataques de falsificaci\u00f3n en la fuente de la muerte.<\/p>","protected":false},"excerpt":{"rendered":"<p>Recientemente se encontr\u00f3 con una cosa mala, la estaci\u00f3n de comercio electr\u00f3nico de un cliente, obviamente, colg\u00f3 un CDN de alta defensa, o se cepill\u00f3 m\u00e1s de 100.000 pedidos falsos. Compruebe el registro encontr\u00f3 que el atacante perfectamente falsificado la IP del nodo CDN, la solicitud directamente eludido el sistema de protecci\u00f3n. En estos d\u00edas, incluso el CDN tiene que \u201cevitar que los compa\u00f1eros de equipo\u201d - usted piensa que un escudo en la seguridad, pero no saben la estaci\u00f3n de origen de verificaci\u00f3n no es bueno, de alta seguridad CDN se convertir\u00e1 en el trampol\u00edn para los atacantes. Ataques de falsificaci\u00f3n de IP han sido durante mucho tiempo nada nuevo. Pero mucha gente piensa que en la CDN en la paz de la mente, de hecho, un gran error. Los atacantes ahora primer paso escanear nodo CDN segmento IP, y luego falsificado X-Forwarded-Para este tipo de cabecera, el tr\u00e1fico de basura empaquetado como \u201ctr\u00e1fico leg\u00edtimo CDN\u201d directamente a la estaci\u00f3n de origen. Prob\u00e9 tres grandes proveedores de servicios CDN el a\u00f1o pasado, incluyendo<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-980","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/980","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/comments?post=980"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/980\/revisions"}],"predecessor-version":[{"id":1145,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/980\/revisions\/1145"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/media?parent=980"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/categories?post=980"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/tags?post=980"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/collection?post=980"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}