互聯網攻防之戰已經持續了數十年,隨着企業安全意識的提高、安全措施的完善,各類安全防護產品以及雲安全廠商爲企業業務架起了一面“安全之盾”,阻擋着網絡空間中的危機風險。然而,近期時常發生令企業用戶困惑的事情:明明已經接入了雲抗D/雲WAF等防護服務,但業務仍然會受到攻擊影響,查看防禦日誌並未檢測到攻擊流量,難道防護是個“花架子”?
實則不然,近年來在運營商及安全廠商的共同努力下,攻防“硬碰硬”過程中喫虧的不再只有防守方,攻擊者同樣需要付出極大的攻擊成本。“繞過雲抗D/雲WAF,直擊‘安全之盾’背後真實源IP”的思路,無疑能夠幫助攻擊者實現最低成本的攻擊,備受青睞。
因此企業在加強安全防護能力建設的同時,審查自身業務源IP是否暴露,很大程度上決定了"安全之盾"能否完全發揮防禦效用。YUNDUN安全運營中心研究總結以下幾個常見的源IP暴露自查方式:
【一】歷史DNS解析記錄法
很多網站在接入雲前可能一直或曾有過源IP直接對外提供服務(即便曾一直接入雲,也可能因爲帶寬跑滿、服務故障等原因自動切回源)有過類似情形的網站,很大概率可以通過查詢歷史DNS解析記錄而獲取到真實源IP。
「自查措施」通過第三方工具網站,查詢域名的歷史解析記錄。
【二】子域名風險
客戶只對主站或者流量大的子站點做了雲抗D或雲WAF防護,而另外的個別或部分子站點未接入。此時就可以通過查詢子站點域名對應的IP來輔助查找網站的真實IP(即存在多個子域名,其中有個別或部分子域名直接解析到源, 或者與源在同一個C段)。
「自查措施」1. 藉助Sublist3r之類的子域名枚舉工具;2. 利用Google hack查詢(site:domain)使用"-"排除已知子域名。
【三】警惕旁站網站
常見於託管式的網站,一臺服務器上託管了多個不同客戶的網站業務。此時客戶業務將承擔此臺服務器上所有業務源IP暴露的風險。
「自查措施」謹慎選擇網站託管服務。
【四】網站自身源信息展示頁面或接口
● 網站自身存在敏感信息泄漏,其中含有源IP信息,如phpinfo頁面、探針頁面等
● 網站自身的管理後臺也有可能會展示源IP信息(相對較少)
● 網站自身提供了一些接口可能包含源IP信息(相對較少)
「自查措施」定期執行代碼審查,尤其是新項目上線後,確認phpinfo等測試頁面的清理。
【五】郵件服務
如果客戶業務提供發送郵件的功能,如RSS郵件訂閱、註冊時發送郵件等,並且該郵件系統是在其服務集羣內部,沒有經過CDN的解析,則一般會在郵件源碼中包含服務器的真實 IP。
「自查措施」發送郵件到自己的郵箱,然後在郵箱中找到網站服務發送的郵件,查看"原始郵件內容"。
【六】通過IP可以直接訪問網站
這種情形主要的風險點爲:攻擊者利用批量的IP掃描探測攻擊,直接訪問IP的80或443端口,進而可獲取到IP與網站服務內容的對應關係,例如:直接訪問某個IP,通過其響應的HTML內容中的TITLE,便可知道其是百度。
「自查措施」若已接入雲抗D/雲WAF,則源服務器建議配置僅允許防護節點的訪問。
【七】國外訪問法
國內部分安全廠商因爲各種原因只做了國內的線路,而針對國外的線路可能幾乎沒有,此時若通過國外的主機直接訪問,就可能獲取到真實源IP。
「自查措施」藉助海外雲主機,ping網站域名。
以上僅僅是較爲常見的源IP暴露途徑,信息泄露、業務自身漏洞等同樣會導致真實源IP的泄露。YUNDUN安全運營中心建議:企業客戶上雲前,需要對自身業務進行全方位資產盤點、立體化風險評估,並進行有效安全加固,排除因自身業務問題導致的源IP暴露可能。同時伴隨着業務的增長,定期執行漏洞掃描、資產審查、代碼審查。最終實現企業業務的穩定可用、安全運營、快速發展。
