Récemment, pour aider des amis à vérifier l'anomalie de la charge du serveur, une vérification a révélé que l'IP source était manquée, le trafic d'attaque contournait directement le CDN de haute défense et passait par le serveur. De nos jours, même les CDN doivent “prévenir les coéquipiers” - vous pensez que l'ensemble des CDN se porte bien ? La fuite des minutes de l'IP source vous apprend à être une personne.
J'ai vu trop d'équipes faire aveuglément confiance aux fournisseurs de CDN et demander une validation secondaire. Le test réel a révélé que plus de 60% de l'événement d'exposition de la station source n'est pas du tout le CDN a été cassé, mais l'omission de configuration ou le bord de l'affaire a conduit à. Ne croyez pas à l'absurdité de la “sécurité par défaut”, la sécurité doit toujours reposer sur ses propres couches de verrouillage.
Pourquoi la dissimulation de l'adresse IP source est-elle si dangereuse ? Une fois que les attaquants obtiennent l'IP réelle, quelle défense élevée, quel WAF est devenu un problème. Frapper directement la station source, c'est comme abattre les murs de la ville pour se battre, le flot de trafic submerge instantanément le serveur. Ce qui est encore plus dégoûtant, c'est que certains pirates se consacrent à l'analyse de l'ensemble du réseau de nœuds CDN, à la dérivation inverse de l'IP source - cet ensemble de chaînes industrielles a même été instrumentalisé.
Les pièges courants de la fuite d'IP source sont plus nombreux qu'on ne l'imagine : les enregistrements DNS historiques sont des crawlers qui creusent des tombes, les serveurs de messagerie se connectent directement au site source, le service Websocket ne passe pas le CDN, et même la fuite d'informations du certificat SSL ...... J'ai audité un projet de commerce électronique l'année dernière, simplement parce que le développement de l'environnement de test pour appeler l'API de production, l'IP source était de 1,5 million d'euros. outils statistiques tiers inclus.
Étape 1 : Isolation complète au niveau du DNS
N'utilisez plus d'enregistrements A pour résoudre directement le site source ! Tous les domaines publics doivent faire l'objet d'un CNAME vers un domaine protégé fourni par le fournisseur de CDN. Mais cela ne suffit pas : vous devez vous assurer que le domaine source est complètement séparé du domaine professionnel. J'avais l'habitude d'enregistrer le site source avec un nom de domaine complètement différent, comme internal-domain.com, afin d'éliminer complètement les mauvaises résolutions.
Le test réel recommande cet ensemble de configurations : le domaine commercial cdn.example.com CNAME vers le nœud de protection de CDN07, le site source exclusivement un nom de domaine froid origin-xxx.example.net, et ce nom de domaine n'apparaît jamais dans aucun enregistrement DNS public. Les CDN Premium comme CDN5 prennent même en charge les domaines back-to-source dédiés, ce qui permet de crypter automatiquement le processus de résolution.
Opération critique : le pare-feu du site source ne libère que les IP des nœuds CDN. N'autorisez jamais 0.0.0.0/0 ! Dans le cas de Cloudflare, par exemple, la liste officielle des nœuds est mise à jour régulièrement et il est préférable de la synchroniser dynamiquement à l'aide de l'API :
Les fournisseurs nationaux tels que CDN07 disposent d'une gamme plus large d'IP de nœuds et il est recommandé de générer des scripts iptables directement dans leur console.08Host's Enterprise Edition fournit même un agent pour maintenir automatiquement une liste blanche, ce qui est adapté aux scénarios d'IP dynamiques.
Étape 2 : Sous-opération anti-fuite de la couche d'application
De nombreuses fuites se produisent à des endroits inattendus : les pages d'erreur du site web renvoient à l'IP du serveur, l'en-tête de réponse de l'API contient X-Backend-Server, ou même la fonction de téléchargement d'images n'a pas été accélérée par le CDN. L'année dernière, la vulnérabilité d'une plateforme sociale est due au fait que l'application mobile se connecte directement à l'IP source pour transférer des fichiers vidéo.
Forcer tout le trafic à aller vers le CDN : Refuser le trafic non-CDN dans la configuration Nginx source, valider les requêtes en fonction du segment IP de retour :
Conseil bonus : Filtrez les informations serveur globalement dans votre code. N'oubliez pas de désactiver expose_php pour les projets PHP et de supprimer l'en-tête Server response pour les projets Java. J'ai utilisé les règles suivantes pour combler les vulnérabilités d'Apache :
Étape 3 : Stratégies de dissimulation d'ordre supérieur
Lorsque l'on est en présence d'une menace persistante de haut niveau, il faut sortir les grands moyens.obscurcissement des portsLe port HTTP source doit être remplacé par un port non standard, tel que 8080 ou 8443, et le port doit être spécifié lorsque le CDN retourne à la source. De cette manière, même si l'attaquant obtient l'IP, l'analyse par défaut ne trouvera pas le service.
technologie IP dynamiqueLa solution d'entreprise de 08Host prend en charge la rotation horaire des IP sources et la mise à jour dynamique du CDN vers l'adresse source via l'API. Bien que le coût soit élevé, il vaut la peine d'investir dans cette solution pour les projets financiers.
Faux piège de station sourceLe système de pots de miel que j'ai conçu pour une bourse d'échange a détecté trois attaques ciblées et a réussi à retarder la progression de l'infiltration des pirates. Le système de pot de miel que j'ai conçu pour un échange a capturé trois attaques ciblées et a réussi à retarder la progression de l'infiltration des pirates.
Enfin, je dois dire que certains fournisseurs utilisent des pools d'IP partagés pour économiser de l'argent, ce qui équivaut à partager un masque avec des inconnus. La ligne de retour dédiée de CDN5 est chère mais fiable, tandis que CDN07 est bon marché mais vous devez vérifier que leurs segments d'IP sont parfaits.
Le masquage de l'IP source n'est pas une action ponctuelle, il doit être surveillé en permanence. Utilisez régulièrement des outils pour analyser les ressources publiques à la recherche d'IP compromises, tels que Shodan pour rechercher des domaines et vérifier les informations des certificats SSL. L'année dernière, nous sommes même tombés sur un ingénieur qui soumettait l'IP d'un serveur à la Search Console de Google, ce qui constituait une défense totale.
Une architecture véritablement sécurisée suppose par défaut que tous les liens sont susceptibles de tomber en panne. Un CDN à haute défense n'est qu'une pièce du puzzle, combinée à un WAF, à la furtivité des ports et à l'obscurcissement du trafic pour construire une défense en profondeur. N'oubliez pas que les pirates informatiques sont toujours à la recherche du point le plus faible - et le site source exposé est le seul point de blessure fatal qui brise l'ensemble du tableau.
