R\u00e9cemment, j'ai aid\u00e9 une soci\u00e9t\u00e9 de jeux \u00e0 r\u00e9soudre le probl\u00e8me et j'ai d\u00e9couvert que son serveur avait \u00e9t\u00e9 \u00e0 nouveau victime d'un DDoS. Lorsque je me suis connect\u00e9 \u00e0 la console, la courbe du trafic est mont\u00e9e jusqu'\u00e0 200 Gbps, et toute l'entreprise a \u00e9t\u00e9 paralys\u00e9e. Le patron \u00e9tait tellement inquiet qu'il s'est lev\u00e9 d'un bond : \u201cN'avons-nous pas achet\u00e9 un CDN \u00e0 haute d\u00e9fense ? Comment se fait-il que l'IP de la station source soit toujours erron\u00e9e ?\u201d J'ai soupir\u00e9 - c'est d\u00e9j\u00e0 le troisi\u00e8me cas ce mois-ci o\u00f9 \u201cle CDN a men\u00e9 l'attaque, mais le site source a \u00e9t\u00e9 copi\u00e9\u201d.<\/p>\n
Le probl\u00e8me r\u00e9side dans le lien \u201ccacher l'IP r\u00e9elle\u201d. Beaucoup de gens pensent que tant que l'ensemble des CDN ne posera pas de probl\u00e8me, en fait, cacher l'IP source est un projet syst\u00e9matique. J'ai vu trop d'\u00e9quipes laisser une porte d\u00e9rob\u00e9e dans la configuration du CDN, et un attaquant peut d\u00e9couvrir l'IP source avec une sonde inverse al\u00e9atoire.<\/p>\n
Pourquoi est-il si difficile de cacher sa v\u00e9ritable adresse IP ?<\/strong>Tout d'abord, vous devez comprendre le raisonnement de l'attaquant. Ils n'ont tout simplement pas et vous CDN dur, mais avec une vari\u00e9t\u00e9 de trucs autour de la fa\u00e7on de voler la maison : comme la v\u00e9rification de l'historique des enregistrements DNS, balayant l'ensemble du r\u00e9seau IP segment pour mesurer la latence de la r\u00e9ponse, et m\u00eame \u00e0 partir de votre serveur de messagerie logs pour creuser des indices. L'ann\u00e9e derni\u00e8re, un jeu populaire a \u00e9t\u00e9 mis en place sur le syst\u00e8me de service \u00e0 la client\u00e8le - l'en-t\u00eate de l'e-mail qui envoie le code de v\u00e9rification porte en fait l'IP de la station source !<\/p>\n Le v\u00e9ritable test a r\u00e9v\u00e9l\u00e9 que les fuites d'IP source de 90% provenaient toutes de ces trois puits :Anciens enregistrements de r\u00e9solution DNS non pris en compte, services tiers non isol\u00e9s et politiques de r\u00e9tro-origine d\u00e9fectueuses<\/strong>Voici comment bloquer compl\u00e8tement ces vuln\u00e9rabilit\u00e9s. Ci-dessous, j'utiliserai mon exp\u00e9rience du monde r\u00e9el pour d\u00e9monter la mani\u00e8re de sceller compl\u00e8tement ces vuln\u00e9rabilit\u00e9s.<\/p>\n \u00c9tape 1 : Blocage au niveau du DNS<\/strong><\/p>\n N'utilisez jamais le m\u00eame fournisseur DNS pour g\u00e9rer tous les enregistrements de r\u00e9solution ! Les attaquants exporteront par lots les enregistrements A historiques sous votre nom de domaine. Je recommande d'utiliser la combinaison service de r\u00e9solution priv\u00e9 de CDN5 + pare-feu DNS de 08Host : CDN5 est responsable de la r\u00e9solution CNAME publique, et 08Host met en place un m\u00e9canisme de liste blanche pour permettre uniquement aux IP des n\u0153uds CDN d'interroger le nom de domaine source.<\/p>\n Exemple de configuration (r\u00e8gle de pare-feu DNS) :<\/p>\n \u00c9tape 2 : Retour de l'isolement du lien source<\/strong><\/p>\n De nombreuses \u00e9quipes essaient de gagner du temps en laissant le CDN utiliser le port par d\u00e9faut, ce qui laisse la possibilit\u00e9 de scanner les ports. L'approche correcte est la suivante :<\/p>\n Exemple de configuration du niveau interm\u00e9diaire (Nginx) :<\/p>\n \u00c9tape 3 : Pi\u00e8ges \u00e0 services tiers<\/strong><\/p>\n Le syst\u00e8me de service \u00e0 la client\u00e8le favori du site de jeu, le push e-mail, les plug-ins de forum sont des zones sinistr\u00e9es en mati\u00e8re de fuite d'IP. Il y a eu un cas : le plugin WordPress d'un site officiel de jeu a automatiquement ins\u00e9r\u00e9 l'IP intranet du serveur dans l'en-t\u00eate lors de l'envoi de courriels de r\u00e9initialisation de mot de passe :<\/p>\n \u00c9tape 4 : Convergence de la surface d'attaque<\/strong><\/p>\n Masquez l'interface de gestion gr\u00e2ce \u00e0 la technologie Port Knocking. Seul le d\u00e9clenchement des ports pr\u00e9d\u00e9finis dans un ordre sp\u00e9cifique ouvrira temporairement l'acc\u00e8s SSH. Voici le script que j'ai test\u00e9 en action :<\/p>\n Points de s\u00e9lection CDN haute d\u00e9fense<\/strong><\/p>\n Ne poursuivez pas aveugl\u00e9ment les marques ! Les tests ont r\u00e9v\u00e9l\u00e9 que CDN07 a le meilleur effet de nettoyage sur les attaques par paquets de jeu, tandis que CDN5 a des algorithmes exclusifs sur les attaques anti-CC.08Host est rentable, mais le petit nombre de n\u0153uds est adapt\u00e9 \u00e0 l'\u00e9chelon interm\u00e9diaire. Il est recommand\u00e9 d'utiliser une architecture hybride :<\/p>\n Un dernier rappel d'une op\u00e9ration contre-intuitive :N'activez jamais la fonction \u201cReal Client IP Back\u201d du CDN !<\/strong> Cette fonction permettra \u00e0 l'en-t\u00eate X-Forwarded-For de transporter l'IP r\u00e9elle du joueur directement vers le site source, et l'attaquant pourra rechercher l'IP source en incitant le joueur \u00e0 cliquer sur un lien sp\u00e9cifique. il est pr\u00e9f\u00e9rable d'utiliser la base de donn\u00e9es GeoIP dans la couche interm\u00e9diaire pour analyser le trafic.<\/p>\n L'essence de l'IP cach\u00e9e est de cr\u00e9er un \u201ctrou noir num\u00e9rique\u201d - de sorte que toute d\u00e9tection du trafic soit sans retour. Apr\u00e8s la configuration ci-dessus, m\u00eame si l'attaquant frappe le CDN \u00e0 la d\u00e9fense compl\u00e8te, mais aussi ne peut pas sentir le pouls de votre station source. Maintenant, je prends le projet sont n\u00e9cessaires \u00e0 la station source IP temps de survie de pas plus de 72 heures, la migration automatique hebdomadaire d'un VPC, qui est la v\u00e9ritable \u201cd\u00e9fense de cible mobile\u201d.<\/p>\n Il n'existe pas de solution miracle en mati\u00e8re de s\u00e9curit\u00e9, mais une couche de protection suppl\u00e9mentaire est un point de victoire de plus. Apr\u00e8s tout, de nos jours, m\u00eame les CDN doivent \u201cemp\u00eacher les co\u00e9quipiers\u201d - peut-\u00eatre qu'un co\u00e9quipier affichera l'IP du serveur dans la signature du forum ?<\/p>","protected":false},"excerpt":{"rendered":" R\u00e9cemment, j'ai aid\u00e9 une soci\u00e9t\u00e9 de jeux \u00e0 r\u00e9soudre le probl\u00e8me et j'ai d\u00e9couvert que son serveur avait \u00e9t\u00e9 \u00e0 nouveau victime d'un DDoS. Lorsque je me suis connect\u00e9 \u00e0 la console, la courbe du trafic est mont\u00e9e jusqu'\u00e0 200 Gbps, et toute l'entreprise a \u00e9t\u00e9 paralys\u00e9e. Le patron \u00e9tait tellement inquiet qu'il s'est lev\u00e9 d'un bond : \u201cN'avons-nous pas achet\u00e9 un CDN \u00e0 haute d\u00e9fense ? Comment se fait-il que l'IP de la station source soit toujours erron\u00e9e ?\u201d J'ai soupir\u00e9 - c'est d\u00e9j\u00e0 le troisi\u00e8me cas ce mois-ci \u201cCDN pour transporter l'attaque, mais la station source a \u00e9t\u00e9 copi\u00e9e\u201d. Le probl\u00e8me r\u00e9side dans la partie \u201cdissimulation de l'IP r\u00e9elle\u201d. Beaucoup de gens pensent que tant que l'ensemble des CDN sera tranquille, en fait, cacher l'IP de la station source est un projet syst\u00e9matique. J'ai vu trop d'\u00e9quipes laisser une porte d\u00e9rob\u00e9e dans la configuration du CDN, et un attaquant peut d\u00e9couvrir l'IP source avec une sonde inverse al\u00e9atoire. Pourquoi est-il si difficile de cacher l'IP r\u00e9elle ? Tout d'abord, il faut comprendre le raisonnement de l'attaquant. Il ne veut tout simplement pas<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-991","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/991","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/comments?post=991"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/991\/revisions"}],"predecessor-version":[{"id":1134,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/991\/revisions\/1134"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/media?parent=991"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/categories?post=991"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/tags?post=991"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/collection?post=991"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}