DDoS攻击瞄准网站原始IP绕过缓解措施
2019-02-12 11:10:54 【

最近发布的一份研究报告显示,多数基于云的安全提供商(CBSP)在保护网站免受DDoS攻击方面徒劳无功,主要原因是他们无法完全隐藏原始的网站IP地址。

多数基于云的安全解决方案会更改DNS设置,从而导致自己位于攻击者和目标网站之间。问题在于此类DDoS缓解措施可被轻易绕过,如果攻击者知道网站的原始IP地址,这样攻击者就能将DDoS流量直接发送到这个IP地址从而绕过缓解服务。

攻击者可通过8种方式获取原始IP地址

正如8位研究人员所言,绕过这些缓解服务的方法有八种。其中有四种已经在2013年黑帽大会上进行了演示,不过他们又找到了四种新方法。

这些新方法依靠黑客在历史网络流量数据库、DNS记录、直接返回主域的子域、以及网站自己的源代码搜索网站的原始IP地址。最重要的是,研究人员发现,当网站触发了外部链接时也会暴露原始IP地址。研究人员在6个月中扫描了17,877个网站后发现,71.5%的站点暴露了原始的IP地址,且大多数情况下是通过FTP子域暴露的。

自动原始IP检测系统CloudPiercer

为了帮助网站管理员识别出网站中的问题,研究人员开发出一种名为CloudPiercer的工具(https://cloudpiercer.org/paper/CloudPiercer.pdf),可对比从真实IP地址获得的网站版本和从云缓解服务获取的网站版本。

研究人员指出,“要做到对原始IP暴露的完全缓解很难,因为网站管理员必须完全理解潜在风险并综合解决所有的漏洞以便完全阻止攻击者规避CBSP。然而,CBSP可部署一种与CloudPiercer类似的工具主动扫描客户端域名,发现被暴露的原始IP,帮助网络管理员解决具体的漏洞问题。”

】【打印关闭】 【返回顶部
上一篇道琼斯称其公司系统遭黑客入侵 35.. 下一篇企业网站如何防护CC攻击