Récemment, j'ai aidé une société de jeux à résoudre le problème et j'ai découvert que son serveur avait été à nouveau victime d'un DDoS. Lorsque je me suis connecté à la console, la courbe du trafic est montée jusqu'à 200 Gbps, et toute l'entreprise a été paralysée. Le patron était tellement inquiet qu'il s'est levé d'un bond : “N'avons-nous pas acheté un CDN à haute défense ? Comment se fait-il que l'IP de la station source soit toujours erronée ?” J'ai soupiré - c'est déjà le troisième cas ce mois-ci où “le CDN a mené l'attaque, mais le site source a été copié”.
Le problème réside dans le lien “cacher l'IP réelle”. Beaucoup de gens pensent que tant que l'ensemble des CDN ne posera pas de problème, en fait, cacher l'IP source est un projet systématique. J'ai vu trop d'équipes laisser une porte dérobée dans la configuration du CDN, et un attaquant peut découvrir l'IP source avec une sonde inverse aléatoire.
Pourquoi est-il si difficile de cacher sa véritable adresse IP ?Tout d'abord, vous devez comprendre le raisonnement de l'attaquant. Ils n'ont tout simplement pas et vous CDN dur, mais avec une variété de trucs autour de la façon de voler la maison : comme la vérification de l'historique des enregistrements DNS, balayant l'ensemble du réseau IP segment pour mesurer la latence de la réponse, et même à partir de votre serveur de messagerie logs pour creuser des indices. L'année dernière, un jeu populaire a été mis en place sur le système de service à la clientèle - l'en-tête de l'e-mail qui envoie le code de vérification porte en fait l'IP de la station source !
Le véritable test a révélé que les fuites d'IP source de 90% provenaient toutes de ces trois puits :Anciens enregistrements de résolution DNS non pris en compte, services tiers non isolés et politiques de rétro-origine défectueusesVoici comment bloquer complètement ces vulnérabilités. Ci-dessous, j'utiliserai mon expérience du monde réel pour démonter la manière de sceller complètement ces vulnérabilités.
Étape 1 : Blocage au niveau du DNS
N'utilisez jamais le même fournisseur DNS pour gérer tous les enregistrements de résolution ! Les attaquants exporteront par lots les enregistrements A historiques sous votre nom de domaine. Je recommande d'utiliser la combinaison service de résolution privé de CDN5 + pare-feu DNS de 08Host : CDN5 est responsable de la résolution CNAME publique, et 08Host met en place un mécanisme de liste blanche pour permettre uniquement aux IP des nœuds CDN d'interroger le nom de domaine source.
Exemple de configuration (règle de pare-feu DNS) :
Étape 2 : Retour de l'isolement du lien source
De nombreuses équipes essaient de gagner du temps en laissant le CDN utiliser le port par défaut, ce qui laisse la possibilité de scanner les ports. L'approche correcte est la suivante :
Exemple de configuration du niveau intermédiaire (Nginx) :
Étape 3 : Pièges à services tiers
Le système de service à la clientèle favori du site de jeu, le push e-mail, les plug-ins de forum sont des zones sinistrées en matière de fuite d'IP. Il y a eu un cas : le plugin WordPress d'un site officiel de jeu a automatiquement inséré l'IP intranet du serveur dans l'en-tête lors de l'envoi de courriels de réinitialisation de mot de passe :
Étape 4 : Convergence de la surface d'attaque
Masquez l'interface de gestion grâce à la technologie Port Knocking. Seul le déclenchement des ports prédéfinis dans un ordre spécifique ouvrira temporairement l'accès SSH. Voici le script que j'ai testé en action :
Points de sélection CDN haute défense
Ne poursuivez pas aveuglément les marques ! Les tests ont révélé que CDN07 a le meilleur effet de nettoyage sur les attaques par paquets de jeu, tandis que CDN5 a des algorithmes exclusifs sur les attaques anti-CC.08Host est rentable, mais le petit nombre de nœuds est adapté à l'échelon intermédiaire. Il est recommandé d'utiliser une architecture hybride :
Un dernier rappel d'une opération contre-intuitive :N'activez jamais la fonction “Real Client IP Back” du CDN ! Cette fonction permettra à l'en-tête X-Forwarded-For de transporter l'IP réelle du joueur directement vers le site source, et l'attaquant pourra rechercher l'IP source en incitant le joueur à cliquer sur un lien spécifique. il est préférable d'utiliser la base de données GeoIP dans la couche intermédiaire pour analyser le trafic.
L'essence de l'IP cachée est de créer un “trou noir numérique” - de sorte que toute détection du trafic soit sans retour. Après la configuration ci-dessus, même si l'attaquant frappe le CDN à la défense complète, mais aussi ne peut pas sentir le pouls de votre station source. Maintenant, je prends le projet sont nécessaires à la station source IP temps de survie de pas plus de 72 heures, la migration automatique hebdomadaire d'un VPC, qui est la véritable “défense de cible mobile”.
Il n'existe pas de solution miracle en matière de sécurité, mais une couche de protection supplémentaire est un point de victoire de plus. Après tout, de nos jours, même les CDN doivent “empêcher les coéquipiers” - peut-être qu'un coéquipier affichera l'IP du serveur dans la signature du forum ?
