Ce jour-l\u00e0, \u00e0 trois heures du matin, alors que j'\u00e9treignais mon \u00e9dredon en r\u00eavant d'\u00e9pouser ma belle-fille, mon t\u00e9l\u00e9phone portable s'est soudain mis \u00e0 trembler comme un catalyseur. Le trafic de l'environnement de production du client a instantan\u00e9ment augment\u00e9 de 20 fois par rapport \u00e0 la normale, les connexions TCP ont explos\u00e9, la r\u00e9ponse de l'entreprise est lente comme un escargot. Premi\u00e8re r\u00e9action : un nouveau DDoS. J'ai pris mon t\u00e9l\u00e9phone portable et j'ai appel\u00e9 le fournisseur de CDN pour lui demander de proc\u00e9der \u00e0 un nettoyage urgent, tout en maudissant la connexion \u00e0 la console pour bloquer l'IP. Apr\u00e8s une demi-heure, le probl\u00e8me a finalement \u00e9t\u00e9 r\u00e9solu, mais le lendemain, le patron m'a poursuivi et m'a demand\u00e9 : \"Qui a bien pu faire \u00e7a ? Comment pouvons-nous l'\u00e9viter la prochaine fois ?\" J'ai regard\u00e9 fixement l'arri\u00e8re-plan des segments IP bloqu\u00e9s et j'ai soudain r\u00e9alis\u00e9 qu'en l'absence d'analyse des journaux, la s\u00e9curit\u00e9 n'est qu'un combat les yeux band\u00e9s.<\/p>\n
Le CDN haute-d\u00e9fense, cette chose, beaucoup de gens pensent \u00e0 acheter un paquet, avec un nom de domaine CNAME sur la fin de la question. Les attaques viennent par les vendeurs pour nettoyer, tous les jours compter sur l'acc\u00e9l\u00e9ration du cache, les journaux ? Ce n'est pas cela qui occupe le disque dur ? Mais sur le vrai champ de bataille, le journal est le v\u00e9ritable \"enregistreur du champ de bataille\". Vous avez bloqu\u00e9 chaque IP, bloqu\u00e9 chaque requ\u00eate malveillante, mis en cache chaque r\u00e9sultat, tout est l\u00e0. Les ing\u00e9nieurs en s\u00e9curit\u00e9 qui ne creusent pas les journaux, c'est comme tenir un bol d'or pour de la nourriture - les ressources sont l\u00e0, mais vous ne les utiliserez pas.<\/p>\n
Quel tr\u00e9sor est cach\u00e9 dans le journal ?<\/strong> Par exemple, la derni\u00e8re fois que j'ai rencontr\u00e9 une attaque CC, l'autre partie a utilis\u00e9 des milliers de marionnettes IP \u00e0 faible fr\u00e9quence pour escalader l'interface de connexion, le trafic n'est pas important mais extr\u00eamement d\u00e9go\u00fbtant. Les r\u00e8gles WAF habituelles n'ont pas \u00e9t\u00e9 d\u00e9clench\u00e9es, mais l'entreprise n'a cess\u00e9 de signaler une augmentation du nombre d'erreurs CAPTCHA. J'ai directement tir\u00e9 les journaux en temps r\u00e9el de CDN07 (sa famille prend en charge la seconde pouss\u00e9e de journaux), \u00e9crit un script Python pour ex\u00e9cuter des statistiques sur le terrain :<\/p>\n J'ai imm\u00e9diatement sorti une douzaine d'IP : chaque IP demande environ 30 fois par minute, renvoie toutes 200 mais avec la marque d'erreur CAPTCHA. Vous voyez, il suffit de regarder la courbe de trafic fart ne peut pas \u00eatre trouv\u00e9, mais les journaux vous donne directement un portrait de l'attaquant - concentration de segment IP, User-Agent d\u00e9guis\u00e9 en Chrome, Referer uniform\u00e9ment pour le vide. Plus tard, directement \u00e0 ce groupe d'IP, il a ajout\u00e9 des r\u00e8gles de limitation de vitesse : plus de 10 demandes de connexion par minute pour sauter le CAPTCHA, l'attaque sur le jour de repos.<\/p>\n Tracer la source de l'attaque ? Vous \u00eates aveugle sans journal.<\/strong> Ne croyez pas \u00e0 la propagande vantant les m\u00e9rites de la \"tra\u00e7abilit\u00e9 en un clic\" ; en r\u00e9alit\u00e9, au moment de l'attaque, l'autre partie a d\u00e9j\u00e0 mis en place le pool d'adresses IP et la cha\u00eene de procurations. Mais les journaux peuvent vous aider \u00e0 expliquer la cha\u00eene d'attaque. Par exemple, l'ann\u00e9e derni\u00e8re, je suis tomb\u00e9 sur une bande de ma\u00eetres chanteurs qui utilisait l'IP \u00e9lastique d'AWS pour p\u00e9n\u00e9trer dans l'interface API de l'un de nos clients. En m'appuyant sur les journaux d\u00e9taill\u00e9s de CDN5 (sa famille enregistre par d\u00e9faut les X-Forwarded-For et les IP r\u00e9elles des clients), j'ai r\u00e9tabli la chronologie de l'attaque :<\/p>\n En l'absence de journaux, le plus que l'on puisse voir est le r\u00e9sultat final du \"vol d'adresses IP aux \u00c9tats-Unis\". Cependant, en combinant les horodatages, les URI et les changements g\u00e9ographiques d'IP, vous pouvez inverser la cha\u00eene d'outils et la strat\u00e9gie de proxy de l'attaquant - c'est trop critique pour un renforcement ult\u00e9rieur : les r\u00e8gles WAF ont ajout\u00e9 l'empreinte Sqlmap, et des anomalies g\u00e9ographiques ont \u00e9t\u00e9 ajout\u00e9es \u00e0 l'interface de connexion (par exemple, les IP vietnamiennes ont soudainement saut\u00e9 aux \u00c9tats-Unis et ont directement d\u00e9clench\u00e9 l'authentification secondaire).<\/p>\n Optimiser les strat\u00e9gies de d\u00e9fense ? R\u00e9gler les param\u00e8tres au feeling rel\u00e8ve de la m\u00e9taphysique.<\/strong> J'ai vu beaucoup d'\u00e9quipes acheter un CDN de haute d\u00e9fense, l'utiliser selon les r\u00e8gles par d\u00e9faut, et quand elles sont touch\u00e9es, elles ajoutent des v\u00e9rifications de curseurs comme des fous, et les utilisateurs normaux se plaignent. En fait, les logs vous ont d\u00e9j\u00e0 indiqu\u00e9 comment optimiser. Prenons le journal de 08Host comme exemple, chacune de leurs requ\u00eates est marqu\u00e9e par un \"label d'\u00e9v\u00e9nement de s\u00e9curit\u00e9\" (tel que \"attaque Web\", \"attaque CC\", \"requ\u00eate normale\"). J'\u00e9cris directement un script pour analyser les logs de la semaine derni\u00e8re :<\/p>\n Il s'av\u00e8re que l'interface \/api\/v1\/payment callback est balay\u00e9e tous les jours, mais que les requ\u00eates malveillantes 80% proviennent d'un segment IP sous le m\u00eame ASN. C'est assez simple : ajouter directement une limite de trafic intelligente \u00e0 ce num\u00e9ro ASN, avec des r\u00e8gles aussi souples que 5 requ\u00eates par seconde (ce qui est suffisant pour une activit\u00e9 normale, mais pas assez pour une explosion), et z\u00e9ro faux positif. Et \u00e9conomisez de l'argent en achetant des packs de protection CC suppl\u00e9mentaires.<\/p>\n Comment jouez-vous avec des billes dans la vie r\u00e9elle ?<\/strong> Premi\u00e8rement.N'utilisez pas la version castr\u00e9e de la vue du journal de la console.<\/strong>-Les champs sont incomplets, le taux d'\u00e9chantillonnage est pitoyable, la recherche est lente \u00e0 douter de la vie. CDN07 et CDN5 supportent les logs en temps r\u00e9el \u00e0 pousser, 08Host doit ajouter de l'argent pour acheter la version entreprise (ici pour cracher : est-ce que la haute d\u00e9fense est encore une caract\u00e9ristique cl\u00e9 de la journalisation ?) Je ne suis pas s\u00fbr que vous puissiez faire cela. J'ai l'habitude de ne pas aimer directement la pile ELK, de prendre Kibana pour faire de la visualisation. Je partage une configuration Kanban commune que j'utilise :<\/p>\n Deuxi\u00e8mement.Ne vous concentrez pas uniquement sur le blocage des adresses IP.<\/strong>. Les attaquants avanc\u00e9s changent d'IP plus souvent que de chaussettes. Je pr\u00e9f\u00e8re analyser les mod\u00e8les de session : par exemple, la m\u00eame IP acc\u00e9dant \u00e0 la \"page de connexion -> page d'accueil de l'utilisateur -> page de commande\" pendant une courte p\u00e9riode est un comportement normal, mais la \"page de connexion -> interface CAPTCHA -> page de connexion\" tournant 10 fois est d\u00e9finitivement une explosion. Pour ce faire, il faut corr\u00e9ler plusieurs entr\u00e9es de journal en sessions - nous recommandons d'\u00e9crire une r\u00e8gle en temps r\u00e9el \u00e0 l'aide de Flink ou de Spark Streaming, qui fonctionne beaucoup mieux qu'un seul point de blocage d'IP.<\/p>\n Ajoutez-y un dernier cas de force majeure.<\/strong>Un jour, un client a \u00e9t\u00e9 victime d'une attaque lente, o\u00f9 chaque connexion TCP \u00e9tait maintenue pendant plusieurs minutes avant d'envoyer quelques octets. Le moniteur de trafic ne voyait aucune anomalie. Plus tard, nous avons extrait les journaux TCP du CDN5 (attention : pas les journaux HTTP !) et avons constat\u00e9 qu'un grand nombre de connexions provenaient du segment IP d'un fournisseur de services en nuage de niche. J'ai constat\u00e9 qu'un grand nombre de connexions provenaient du segment IP d'un fournisseur de services en nuage de niche, et que chaque connexion avait surv\u00e9cu pendant plus de 300 secondes, mais que les donn\u00e9es transf\u00e9r\u00e9es \u00e9taient inf\u00e9rieures \u00e0 1 Ko. J'ai directement \u00e9crit des r\u00e8gles iptables pour bloquer l'ensemble de l'ASN :<\/p>\n Le monde est propre. Il n'est m\u00eame pas possible de d\u00e9terminer le type d'attaque sans journal, et encore moins de la bloquer avec pr\u00e9cision.<\/p>\n S\u00e9rieusement, de nos jours, m\u00eame les CDN doivent \"pr\u00e9venir les co\u00e9quipiers\" - certains fournisseurs, afin de montrer un \"bon effet d\u00e9fensif\", filtrent d\u00e9lib\u00e9r\u00e9ment les journaux d'attaque, la console ne vous donnant \u00e0 voir que le nombre d'interdictions. L'infiltration avanc\u00e9e que l'on a vraiment rencontr\u00e9e, telle que les personnes qui frappent la station source, n'a pas \u00e9t\u00e9 remarqu\u00e9e. C'est pourquoiIl est plus important que tout de conserver une copie du registre original \u00e0 la maison.<\/strong>Le jour o\u00f9 les d\u00e9fenses seront d\u00e9mantel\u00e9es, vous pourrez toujours compter sur les journaux pour faire une autopsie num\u00e9rique.<\/p>\n En r\u00e9sum\u00e9, l'analyse des journaux du CDN haute d\u00e9fense n'est pas du tout une \"fonction optionnelle\", mais le centre nerveux du syst\u00e8me de d\u00e9fense. En vous appuyant sur elle, vous pouvez avoir une vue d'ensemble de l'attaque, ajuster la pr\u00e9cision de la strat\u00e9gie et m\u00eame repousser les intentions de l'attaquant. N'attendez pas que les douves soient perc\u00e9es pour creuser des tranch\u00e9es - commencez d\u00e8s aujourd'hui \u00e0 collecter des rondins. (Et bien s\u00fbr, n'oubliez pas d'acheter un disque dur, ne me demandez pas comment je le sais).<\/p>","protected":false},"excerpt":{"rendered":" Ce jour-l\u00e0, \u00e0 trois heures du matin, alors que j'\u00e9treignais mon \u00e9dredon en r\u00eavant d'\u00e9pouser ma belle-fille, mon t\u00e9l\u00e9phone portable s'est soudain mis \u00e0 trembler comme un catalyseur. Le trafic de l'environnement de production du client a instantan\u00e9ment augment\u00e9 de 20 fois par rapport \u00e0 la normale, les connexions TCP ont explos\u00e9, la r\u00e9ponse de l'entreprise est lente comme un escargot qui rampe. Premi\u00e8re r\u00e9action : un nouveau DDoS. J'ai pris mon t\u00e9l\u00e9phone portable et j'ai appel\u00e9 le fournisseur de CDN pour lui demander de proc\u00e9der \u00e0 un nettoyage urgent, tout en maudissant la connexion \u00e0 la console pour bloquer l'IP. Apr\u00e8s une demi-heure, le probl\u00e8me a finalement \u00e9t\u00e9 r\u00e9solu, mais le lendemain, le patron m'a poursuivi et m'a demand\u00e9 : \"Qui a bien pu faire \u00e7a ? Comment pouvons-nous l'\u00e9viter la prochaine fois ?\" J'ai regard\u00e9 fixement l'arri\u00e8re-plan des segments IP bloqu\u00e9s et j'ai soudain r\u00e9alis\u00e9 qu'en l'absence d'analyse des journaux, la s\u00e9curit\u00e9 n'est qu'un combat les yeux band\u00e9s. Le CDN de haute d\u00e9fense est une chose, beaucoup de gens pensent \u00e0 acheter un paquet, avec un nom de domaine CNAME \u00e0 la fin de l'affaire. Les attaques viennent par le nettoyage des fournisseurs, quotidiennement par l'acc\u00e9l\u00e9ration du cache, la journalisation.<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-958","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/958","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/comments?post=958"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/958\/revisions"}],"predecessor-version":[{"id":1167,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/958\/revisions\/1167"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/media?parent=958"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/categories?post=958"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/tags?post=958"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/collection?post=958"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}