云抗D/云WAF没效果?警惕源IP暴露

互联网攻防之战已经持续了数十年,随着企业安全意识的提高、安全措施的完善,各类安全防护产品以及云安全厂商为企业业务架起了一面“安全之盾”,阻挡着网络空间中的危机风险。然而,近期时常发生令企业用户困惑的事情:明明已经接入了云抗D/云WAF等防护服务,但业务仍然会受到攻击影响,查看防御日志并未检测到攻击流量,难道防护服务是个“花架子”?

实则不然,近年来在运营商及安全厂商的共同努力下,攻防“硬碰硬”过程中吃亏的不再只有防守方,攻击者同样需要付出极大的攻击成本。“绕过云抗D/云WAF,直击‘安全之盾’背后真实源IP”的思路,无疑能够帮助攻击者实现最低成本的攻击,备受青睐。

                       因此企业在加强安全防护能力建设的同时,审查自身业务源IP是否暴露,很大程度上决定了"安全之盾"能否完全发挥防御效用。YUNDUN安全运营中心研究总结以下几个常见的源IP暴露自查方式:

【一】历史DNS解析记录法

很多网站在接入云前可能一直或曾有过源IP直接对外提供服务(即便曾一直接入云,也可能因为带宽跑满、服务故障等原因自动切回源)有过类似情形的网站,很大概率可以通过查询历史DNS解析记录而获取到真实源IP。

「自查措施」通过第三方工具网站,查询域名的历史解析记录。

【二】子域名风险

客户只对主站或者流量大的子站点做了云抗D或云WAF防护,而另外的个别或部分子站点未接入。此时就可以通过查询子站点域名对应的IP来辅助查找网站的真实IP(即存在多个子域名,其中有个别或部分子域名直接解析到源, 或者与源在同一个C段)。

「自查措施」1. 借助Sublist3r之类的子域名枚举工具;2. 利用Google hack查询(site:domain)使用"-"排除已知子域名。

                       

【三】警惕旁站网站

常见于托管式的网站,一台服务器上托管了多个不同客户的网站业务。此时客户业务将承担此台服务器上所有业务源IP暴露的风险。

「自查措施」谨慎选择网站托管服务。

【四】网站存在源信息展示页面或接口

● 网站自身存在敏感信息泄漏,其中含有源IP信息,如phpinfo页面、探针页面等

● 网站自身的管理后台也有可能会展示源IP信息(相对较少)

● 网站自身提供了一些接口可能包含源IP信息(相对较少)

「自查措施」定期执行代码审查,尤其是新项目上线后,确认phpinfo等测试页面的清理。

【五】邮件服务

如果客户业务提供发送邮件的功能,如RSS邮件订阅、注册时发送邮件等,并且该邮件系统是在其服务集群内部,没有经过CDN的解析,则一般会在邮件源码中包含服务器的真实 IP。

「自查措施」发送邮件到自己的邮箱,然后在邮箱中找到网站服务发送的邮件,查看"原始邮件内容"。

                       

【六】通过IP可以直接访问网站

这种情形主要的风险点为:攻击者利用批量的IP扫描探测攻击,直接访问IP的80或443端口,进而可获取到IP与网站服务内容的对应关系,例如:直接访问某个IP,通过其响应的HTML内容中的TITLE,便可知道其是百度。

「自查措施」若已接入云抗D/云WAF,则源服务器建议配置仅允许防护节点的访问。

【七】国外访问法

国内部分安全厂商因为各种原因只做了国内的线路,而针对国外的线路可能几乎没有,此时若通过国外的主机直接访问,就可能获取到真实源IP。

「自查措施」借助海外云主机,ping网站域名。

                       

以上仅仅是较为常见的源IP暴露途径,信息泄露、业务自身漏洞等同样会导致真实源IP的泄露。YUNDUN安全运营中心建议:企业客户上云前,需要对自身业务进行全方位资产盘点、立体化风险评估,并进行有效安全加固,排除因自身业务问题导致的源IP暴露可能。同时伴随着业务的增长,定期执行漏洞扫描、资产审查、代码审查。最终实现企业业务的稳定可用、安全运营、快速发展。


    本文作者:上海云盾 责任编辑:马亚蒙 本文来源:牛透社
声明:本文由入驻牛透社的作者撰写,观点仅代表作者本人,绝不代表牛透社赞同其观点或证实其描述。
  • 上海云盾
    上海云盾
    未认证
  • 4篇

    文章总数

    2.56万

    文章总浏览数

意见反馈
返回顶部