最大成人网站的安全做得比某些安全公司还要好!
这篇文章旨在向读者介绍 2016 年下半年发生的 DDoS 攻击事件以及从中得到的教训。以下均是我的个人观点。尽管我已经力争涵盖到各个方面,但是难免有很多疏漏之处,或是出于范围、时间、篇幅及适用性等考量而省略的内容。如果你对本文或其他任何话题有疑问的话,请给我发邮件。
无论在过去,现在或是将来,本文观点均不代表我雇主的看法。尽管我是个安全专家,但并非你的私人安全顾问。本篇文章所引用的数据都是来自于当前行业的数据,或许并不适用于你。
引言
2016 年 10 月左右发生过几起 DDoS 攻击事件。第一起是 Brian Krebs 遭受的 620 Gbps 的 DDoS 攻击。第二起则是更为引人关注的 Dyn(一家 DNS 服务供应商)事件,这次攻击使得 Twitter、Amazon 以及其他东海岸 Dyn 客户的基础设施均受到了不同程度的影响。通过链接可以看到 Dyn 针对此次事件的声明。
通过深入研究和缜密思考,我由表象发现,P***Hub(我才没有它的链接~)似乎在信息安全方面比一些所谓的“安全”公司做得更好。本文目的就是分析成人网站采取的措施,及它们在整个科技行业中的水平。
我的分析
总体看法
这对所有组织/公司来说,都是一个教训。P***Hub 作为一个既非安全领域又非科技领域(除了编码和视频输出)的公司,却展现了其在安全领域的专业性。说得更详细一点,它们在 HackerOne 网站上有一套文档完善、响应及时的 Bug 悬赏计划。根据 HackerOne 有关政策,P***Hub 会支付给那些发现并报告漏洞的志愿者 $50(非核心的跨站脚本漏洞)至 $15,000(核心的远程脚本及命令执行漏洞)不等的现金奖励。
针对 DDoS 的看法
在找寻引发美国东海岸及周边地区的 Twitter 及 Amazon 瘫痪的根源时,我们最终发现其背后的元凶貌似是单点故障。当我看到Twitter上的一些评论后,最终按耐不住,决定做一点研究。记得 DDos 攻击事件大概发生于两周前。运行命令行“dig -t NS _____”,空格里对应以下几个网站:
NSA.gov
上图显示了 NSA(美国国家安全局)使用了六台不同的 DNS 服务器,它们均属于 Akamai。Akamai 是一家享有盛誉的内容分发网络(CDN)供应商。它提供了一些保护层来避免 DoS 攻击。由于 NSA 是一个极具争议的政府部门,它可能经常遭受 DoS 及其他手段的攻击。值得注意的是NSA.gov实际上并未与机密系统直接绑定,因此这些攻击本质上更多的是一种政治和象征意义,而非泄漏机密和敏感信息。
从根本上讲,这种策略有点冗余。NSA 确实拥有很多不同的 DNS 服务器,但是话说回来,它们均来自 Akamai。虽然这个网站对 NSA 的运行来说不是那么关键,但这种做法不宜提倡。如果换作一家电商或是社交媒体,这种做法可能带来灾难性的后果。
注:亚特兰大的 pin 是错误的,这是我查询得到的地址而 UI 没有删除那个 pin。
上图显示了依据 IP 地址定位的 NSA.gov 外部 DNS 服务器分布。这仅仅是依据 IP 地址而未考虑诸如集群及负载均衡等设计方法的定位结果。其中几台主机部署在瑞士,有两台部署在法国,还有一台部署在堪萨斯州。具有讽刺意味的是,NSA 作为一个美国政府部门竟然违反了 FISMA 中禁止美国政府使用境外计算机设备的典型政策条款。有时 FVEY(五眼联盟:美国、英国、加拿大、澳大利亚和新西兰)也会有例外情况。
这种分布式部署对于故障恢复以及业务的持续发展很有好处。在上述地区同时发生一起足以扰乱整个网络正常运行的攻击事件,其概率极小甚至近乎于 0。(完全披露:我不是统计学家,所以请不要过分执着于数据的准确性)如果一台服务器因为 DoS 或 DDoS 攻击而瘫痪,那其他服务器可以马上接替它。尽管 Akamai 在 Brian Krebs 受 DDoS 攻击事件中遇到了麻烦,但我听说这促使他们重新检查自己的基础设施及应对策略,并作出必要的改变。
Facebook.com
Facebook 的部署策略很独特。Facebook 摒弃了外包业务而是靠自己来管理他们的外部服务器(很可能采取了一种集群配置)。我起初只搜索了 IPv4 地址。但要注意 IPv6 地址中包含字符串“face:booc”,从这个角度来讲,倘若他们没有采用集群,那这套机制是不够健全的。让我们来进一步观察下它们的位置分布。
注意:亚特兰大的 pin 是错误的,这是我查询得到的地址而 UI 没有删除那个 pin。
他们的所有服务器均在加州,这让我非常吃惊。就算洛杉矶同湾区(Facebook 总部所在地)有很长的距离,但依旧不能保证其免受火山、地震、骚乱以及恐怖袭击等不确定事件的影响。当我把 IPv6 加入扫描之后,又确定了曼尼托巴这个地点。
我想起在 CISSP-ISSMP 训练营时曾学过曼尼托巴是世界上的灾害重建之都。那里的天气稳定且令人厌倦。当然它离加州、纽约、德州等都很远。随着进一步研究,你会在曼尼托巴发现更多的服务器。
Twitter.com
Twitter 曾在 Dyn DDoS 攻击事件中受到影响,导致部分用户下线。我在 Dyn DDoS 攻击事件后进行了调查分析,结果表明他们现在拥有多家 DNS 服务供应商。倘若再次发生攻击事件,这应该能够在一定程度上缓解流量负担。让我们通过 IP 地址再来看下它们的位置分布。
注意:亚特兰大的 pin 是错误的,这是我查询得到的地址而 UI 没有删除那个 pin。
可以看到,Twitter 同样在曼尼托巴部署了服务器。我在 Dyn DDoS 攻击事件后进行了调查分析,结果表明 Twitter 目前正在使用的服务器分布于西雅图,新罕布什尔和曼尼巴托。倘若其冗余方案分配合理,那这种分布还是很棒的。在DDoS 攻击事件发生期间,西海岸的用户未受到任何影响。这源于部署在西雅图的服务器。如今在新罕布什尔也部署有多台服务器,我在攻击之前不能讲太多。
P***Hub
P***Hub 如今正在证明自己是一家更具安全意识的互联网公司。尽管他们并不是严格意义上的科技公司,但安全意识已经成为其经营策略中的核心一环。这涉及到可用性、解码、用户帐号及上传/获取等操作。P***Hub 似乎想保证其绝对安全,除了我在上文提到的bug有奖征集项目,他们还拥有一套多样化的 IP、服务器及供应商体系。
注意:亚特兰大的 pin 是错误的,这是我查询得到的地址而 UI 没有删除那个 pin。
和 Twitter 及 Facebook 一样,P***Hub 在曼尼托巴以及其他几个地方部署了服务器。尽管这种分布本身并不理想,但是有足够多的服务器(理论上)来提供必要的冗余。
因此,我并未对这些网站做流量统计,但我可以预测出对以上这些网站上实施 DDoS 攻击的可能结果:
1.Facebook 可能会因攻击者喜好而遭受攻击,从而使其社交功能瘫痪。
2.Twitter 极有可能会得到和 Facebook 一样的下场。
3.NSA 可能会因攻击者喜好而遭受攻击,但最有可能的情况是出于政治或黑客的原因。尤其是考虑到在该领域没有机密信息(理论上)。
4.P***Hub 可能由于相似的原因而经历和 Facebook 及 Twitter 相同的命运,或是反色情道德运动的副产品。
有关业务持续性及灾后重建的思考
我上面提到的部分公司本质上是有弹性的,他们启动了业务持续性及故障恢复的有关计划,以保持业务在线以及盈利。因此,这是一个证明 BCP/DRP/CP/COOP 重要性的极端案例。
总的来讲,我对这个话题有很多想法,但我把这些从供应链安全的角度整理成一篇单独的博文,就像从 BCP/DRP/CP/COOP 和弹性角度考虑一样。