案例研究:绕过CDN/云平台被直击源IP

伴随着众多企业网络安全意识的提高,数字业务上云趋势所向,CDN 与安全厂商为企业构筑起了一面 " 安全之盾 ",将源 IP 隐藏于盾牌之后,代替企业直面黑灰产攻击者,极大地增加了 DDoS 攻击的成本。例如,腾讯云产品“SCDN”与“大禹DDOS防护”等优秀产品都保障了我们的业务正常运行。因此,部分攻击者开始尝试绕过 CDN 与云平台,直接针对源 IP 发起 DDoS 攻击。

在我们所碰到的一个案例中,某客户执行安全演练时,由于其源站 IP 暴露,遭受到了持续的 DDoS 攻击;

尤为特殊的是,客户尝试更换源 IP 并且更换服务器后,仍立即遭受到了 DDoS 攻击。

下面给出受攻击排查解决流程,可供大家参考:

·Step.1:第一时间进行已有信息的整理及分析,由于源 IP 一经更换便立即受到 DDoS 攻击,因此排除由于历史 DNS 解析导致的源 IP 泄漏;并推测很大几率是受业务本身逻辑导致(如某些子域名解析、自身特殊服务主动对外建联、网站自身敏感信息泄漏、存在 Webshell 等)

·Step.2:排查子域名关联 IP 查询,无异常

·Step.3:排查网站 Webshell,并且排查木马植入等风险;无异常

·Step.4:排查敏感文件泄露;确认由于 phpinfo 测试页面暴露,导致服务器源 IP 被攻击者跟踪查询;

本次事件,主要由于用户建站完成后,没有将敏感测试页面进行删除,导致网站自身存在源信息展示页面或接口。而这只是源 IP泄露方式的冰山一角,历史 DNS 解析记录查询、子域名查询、证书信息查询、邮箱 MX 记录查询、漏洞利用等方式,均可能导致源 IP 的泄露,并最终导致企业业务直接暴露与危机四伏的互联网之上。

在此也建议大家:企业客户上云前,建议对自身业务进行全方位资产盘点、立体化风险评估,并进行有效安全加固, 排除因自身业务问题导致的源 IP 暴露可能。最终保证 " 安全之盾 " 的稳固有效,实现企业业务的稳定可用、安全运营。