Recientemente, ayud\u00e9 a una empresa de juegos a solucionar el problema y descubr\u00ed que su servidor hab\u00eda sido penetrado de nuevo por DDoS. Cuando entr\u00e9 en la consola, la curva de tr\u00e1fico subi\u00f3 a 200 Gbps, y todo el negocio se paraliz\u00f3. El jefe estaba tan angustiado que se puso en pie de un salto: \u201c\u00bfNo hab\u00edamos comprado una CDN de alta defensa? \u00bfC\u00f3mo es que la IP de la estaci\u00f3n de origen sigue estropeada?\u201d. Suspir\u00e9: ya es el tercer caso este mes en el que \u201cla CDN llev\u00f3 el ataque, pero el sitio fuente fue copiado\u201d.<\/p>\n
El problema radica en el enlace \u201cocultar IP real\u201d. Mucha gente piensa que mientras el conjunto de CDN no se preocupe, de hecho, ocultar la IP de origen es un proyecto sistem\u00e1tico. He visto demasiados equipos dejan una puerta trasera en la configuraci\u00f3n de la CDN, y un atacante puede sentir la IP de origen con una sonda inversa al azar.<\/p>\n
\u00bfPor qu\u00e9 es tan dif\u00edcil ocultar tu IP real?<\/strong>En primer lugar, usted tiene que entender el pensamiento del atacante. Ellos simplemente no y CDN duro, pero con una variedad de trucos alrededor de la manera de robar a casa: como la comprobaci\u00f3n de la historia de los registros DNS, barriendo toda la red segmento IP para medir la latencia de respuesta, e incluso de su servidor de correo registros para cavar pistas. \u00a1El a\u00f1o pasado, un juego popular fue plantado en el sistema de servicio al cliente - el encabezado del correo electr\u00f3nico que env\u00eda el c\u00f3digo de verificaci\u00f3n en realidad lleva la IP de la estaci\u00f3n de origen!<\/p>\n La prueba real descubri\u00f3 que las fugas de IP de origen de 90% proced\u00edan todas de estos tres pozos:Registros de resoluci\u00f3n DNS antiguos sin descartar, servicios de terceros sin aislar y pol\u00edticas de back-origin defectuosas.<\/strong>A continuaci\u00f3n desglosar\u00e9 c\u00f3mo bloquear completamente estas vulnerabilidades. A continuaci\u00f3n voy a utilizar la experiencia del mundo real para desmontar c\u00f3mo sellar completamente estas vulnerabilidades.<\/p>\n Paso 1: Bloqueo a nivel de DNS<\/strong><\/p>\n No utilice nunca el mismo proveedor de DNS para gestionar todos los registros de resoluci\u00f3n. Los atacantes exportar\u00e1n por lotes los registros A hist\u00f3ricos bajo su nombre de dominio. Recomiendo utilizar el servicio de resoluci\u00f3n privado de CDN5 + la combinaci\u00f3n de cortafuegos DNS de 08Host: CDN5 se encarga de gestionar la resoluci\u00f3n CNAME p\u00fablica, y 08Host configura un mecanismo de listas blancas para permitir que solo las IP de los nodos CDN consulten el nombre de dominio de origen.<\/p>\n Ejemplo de configuraci\u00f3n (regla de cortafuegos DNS):<\/p>\n Paso 2: Aislamiento del enlace de origen<\/strong><\/p>\n Lo m\u00e1s mort\u00edfero es que la estrategia de back source expone la IP. muchos equipos intentan ahorrar tiempo dejando que el CDN back source directamente al puerto por defecto, lo que deja una oportunidad para el escaneo de puertos. El enfoque correcto es:<\/p>\n Ejemplo de configuraci\u00f3n del nivel intermedio (Nginx):<\/p>\n Paso 3: Trampas de servicios de terceros<\/strong><\/p>\n El sistema de servicio al cliente favorito del sitio de juegos, empuje de correo electr\u00f3nico, plug-ins del foro son zonas de desastre de fuga de IP. Hubo un caso: un juego oficial sitio web plugin de WordPress en el env\u00edo de correo electr\u00f3nico de restablecimiento de contrase\u00f1a, inserta autom\u00e1ticamente la IP de la intranet del servidor en el Encabezado\u00a1 La soluci\u00f3n es:<\/p>\n Paso 4: Convergencia de la superficie de ataque<\/strong><\/p>\n Oculte la interfaz de gesti\u00f3n con la tecnolog\u00eda Port Knocking. S\u00f3lo la activaci\u00f3n de los puertos preestablecidos en un orden espec\u00edfico abrir\u00e1 temporalmente el acceso SSH. Aqu\u00ed est\u00e1 el script que he probado en acci\u00f3n:<\/p>\n Puntos de selecci\u00f3n de CDN de alta defensa<\/strong><\/p>\n \u00a1No persiga ciegamente las marcas! Las pruebas han revelado que CDN07 tiene el mejor efecto de limpieza en los ataques de minipacks de juegos, mientras que CDN5 tiene algoritmos exclusivos en los ataques anti-CC.08Host es rentable, pero el peque\u00f1o n\u00famero de nodos es adecuado para el nivel medio. Se recomienda utilizar una arquitectura h\u00edbrida:<\/p>\n Un \u00faltimo recordatorio de una operaci\u00f3n contraintuitiva:No active nunca la funci\u00f3n \u201cReal Client IP Back\u201d de la CDN.<\/strong> Esta caracter\u00edstica permitir\u00e1 que el encabezado X-Forwarded-For lleve la IP real del jugador directamente al sitio de origen, y el atacante podr\u00e1 pescar la IP de origen enga\u00f1ando al jugador para que haga clic en un enlace espec\u00edfico. es mejor utilizar la base de datos GeoIP en la capa intermedia para realizar el an\u00e1lisis del tr\u00e1fico.<\/p>\n La esencia de la IP oculta es crear un \u201cagujero negro digital\u201d - para que toda la detecci\u00f3n de tr\u00e1fico no tienen retorno. Despu\u00e9s de la configuraci\u00f3n anterior, incluso si el atacante golpe\u00f3 el CDN a la defensa completa, no puede sentir el pulso de su estaci\u00f3n de origen. Ahora tomo el proyecto est\u00e1n obligados a estaci\u00f3n de origen IP tiempo de supervivencia de no m\u00e1s de 72 horas, la migraci\u00f3n autom\u00e1tica semanal de un VPC, que es el verdadero \u201cblanco m\u00f3vil de defensa\u201d.<\/p>\n No hay una bala de plata para la seguridad, pero una capa m\u00e1s de protecci\u00f3n es un punto m\u00e1s de victoria. Despu\u00e9s de todo, hoy en d\u00eda, incluso las CDN tienen que \u201cprevenir a los compa\u00f1eros de equipo\u201d: \u00bfquiz\u00e1 un compa\u00f1ero de equipo publique la IP del servidor en la firma del foro?<\/p>","protected":false},"excerpt":{"rendered":" Recientemente, ayud\u00e9 a una empresa de juegos a solucionar el problema y descubr\u00ed que su servidor hab\u00eda sido penetrado de nuevo por DDoS. Cuando entr\u00e9 en la consola, la curva de tr\u00e1fico subi\u00f3 a 200 Gbps, y todo el negocio se paraliz\u00f3. El jefe estaba tan angustiado que se puso en pie de un salto: \u201c\u00bfNo hab\u00edamos comprado una CDN de alta defensa? \u00bfC\u00f3mo es que la IP de la estaci\u00f3n de origen sigue estropeada?\u201d. Suspir\u00e9: ya es el tercer caso este mes de \u201cCDN para llevar el ataque, pero el sitio de origen estaba copiado\u201d. El problema radica en la parte de \u201cocultar la IP real\u201d. Mucha gente piensa que mientras el conjunto de CDN descansar\u00e1 f\u00e1cil, de hecho, ocultar la IP de la estaci\u00f3n de origen es un proyecto sistem\u00e1tico. He visto demasiados equipos dejan una puerta trasera en la configuraci\u00f3n de la CDN, y un atacante puede averiguar la IP de origen con una sonda inversa al azar. \u00bfPor qu\u00e9 es tan dif\u00edcil ocultar la IP real? En primer lugar, hay que entender la forma de pensar del atacante. Simplemente no<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-991","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/991","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/comments?post=991"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/991\/revisions"}],"predecessor-version":[{"id":1134,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/posts\/991\/revisions\/1134"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/media?parent=991"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/categories?post=991"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/tags?post=991"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/es\/wp-json\/wp\/v2\/collection?post=991"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}