最大成人网站的安全做得比某些安全公司还要好!

这篇文章旨在向读者介绍 2016 年下半年发生的 DDoS 攻击事件以及从中得到的教训。以下均是我的个人观点。尽管我已经力争涵盖到各个方面,但是难免有很多疏漏之处,或是出于范围、时间、篇幅及适用性等考量而省略的内容。如果你对本文或其他任何话题有疑问的话,请给我发邮件

无论在过去,现在或是将来,本文观点均不代表我雇主的看法。尽管我是个安全专家,但并非你的私人安全顾问。本篇文章所引用的数据都是来自于当前行业的数据,或许并不适用于你。

引言

2016 年 10 月左右发生过几起 DDoS 攻击事件。第一起是 Brian Krebs 遭受的 620 Gbps 的 DDoS 攻击。第二起则是更为引人关注的 Dyn(一家 DNS 服务供应商)事件,这次攻击使得 Twitter、Amazon 以及其他东海岸 Dyn 客户的基础设施均受到了不同程度的影响。通过链接可以看到 Dyn 针对此次事件的声明。

通过深入研究和缜密思考,我由表象发现,P***Hub(我才没有它的链接~)似乎在信息安全方面比一些所谓的“安全”公司做得更好。本文目的就是分析成人网站采取的措施,及它们在整个科技行业中的水平。

我的分析

总体看法

这对所有组织/公司来说,都是一个教训。P***Hub 作为一个既非安全领域又非科技领域(除了编码和视频输出)的公司,却展现了其在安全领域的专业性。说得更详细一点,它们在 HackerOne 网站上有一套文档完善、响应及时的 Bug 悬赏计划。根据 HackerOne 有关政策,P***Hub 会支付给那些发现并报告漏洞的志愿者 $50(非核心的跨站脚本漏洞)至 $15,000(核心的远程脚本及命令执行漏洞)不等的现金奖励。

针对 DDoS 的看法

在找寻引发美国东海岸及周边地区的 Twitter 及 Amazon 瘫痪的根源时,我们最终发现其背后的元凶貌似是单点故障。当我看到Twitter上的一些评论后,最终按耐不住,决定做一点研究。记得 DDos 攻击事件大概发生于两周前。运行命令行“dig -t NS _____”,空格里对应以下几个网站:

NSA.gov

This is the output of running dig on NSA.gov
这是在 NSA.gov 上执行 dig 操作后的输出结果

上图显示了 NSA(美国国家安全局)使用了六台不同的 DNS 服务器,它们均属于 Akamai。Akamai 是一家享有盛誉的内容分发网络(CDN)供应商。它提供了一些保护层来避免 DoS 攻击。由于 NSA 是一个极具争议的政府部门,它可能经常遭受 DoS 及其他手段的攻击。值得注意的是NSA.gov实际上并未与机密系统直接绑定,因此这些攻击本质上更多的是一种政治和象征意义,而非泄漏机密和敏感信息。

从根本上讲,这种策略有点冗余。NSA 确实拥有很多不同的 DNS 服务器,但是话说回来,它们均来自 Akamai。虽然这个网站对 NSA 的运行来说不是那么关键,但这种做法不宜提倡。如果换作一家电商或是社交媒体,这种做法可能带来灾难性的后果。

NSA.gov Geolocation based on IP
NSA.gov 基于 IP 的定位

注:亚特兰大的 pin 是错误的,这是我查询得到的地址而 UI 没有删除那个 pin。

上图显示了依据 IP 地址定位的 NSA.gov 外部 DNS 服务器分布。这仅仅是依据 IP 地址而未考虑诸如集群及负载均衡等设计方法的定位结果。其中几台主机部署在瑞士,有两台部署在法国,还有一台部署在堪萨斯州。具有讽刺意味的是,NSA 作为一个美国政府部门竟然违反了 FISMA 中禁止美国政府使用境外计算机设备的典型政策条款。有时 FVEY(五眼联盟:美国、英国、加拿大、澳大利亚和新西兰)也会有例外情况。

这种分布式部署对于故障恢复以及业务的持续发展很有好处。在上述地区同时发生一起足以扰乱整个网络正常运行的攻击事件,其概率极小甚至近乎于 0。(完全披露:我不是统计学家,所以请不要过分执着于数据的准确性)如果一台服务器因为 DoS 或 DDoS 攻击而瘫痪,那其他服务器可以马上接替它。尽管 Akamai 在 Brian Krebs 受 DDoS 攻击事件中遇到了麻烦,但我听说这促使他们重新检查自己的基础设施及应对策略,并作出必要的改变。

Facebook.com

This is the output of running dig on Facebook.com

这是在 Facebook.com 上执行 dig 操作后的输出结果

Facebook 的部署策略很独特。Facebook 摒弃了外包业务而是靠自己来管理他们的外部服务器(很可能采取了一种集群配置)。我起初只搜索了 IPv4 地址。但要注意 IPv6 地址中包含字符串“face:booc”,从这个角度来讲,倘若他们没有采用集群,那这套机制是不够健全的。让我们来进一步观察下它们的位置分布。

Facebook.com Geolocation based on IP

Facebook.com  基于 IP 的定位

注意:亚特兰大的 pin 是错误的,这是我查询得到的地址而 UI 没有删除那个 pin。

他们的所有服务器均在加州,这让我非常吃惊。就算洛杉矶同湾区(Facebook 总部所在地)有很长的距离,但依旧不能保证其免受火山、地震、骚乱以及恐怖袭击等不确定事件的影响。当我把 IPv6 加入扫描之后,又确定了曼尼托巴这个地点。

我想起在 CISSP-ISSMP 训练营时曾学过曼尼托巴是世界上的灾害重建之都。那里的天气稳定且令人厌倦。当然它离加州、纽约、德州等都很远。随着进一步研究,你会在曼尼托巴发现更多的服务器。

Twitter.com

This is the output of running dig on Twitter.com

这是在 Twitter.com 上执行 dig 操作 后的输出结果

Twitter 曾在 Dyn DDoS 攻击事件中受到影响,导致部分用户下线。我在 Dyn DDoS 攻击事件后进行了调查分析,结果表明他们现在拥有多家 DNS 服务供应商。倘若再次发生攻击事件,这应该能够在一定程度上缓解流量负担。让我们通过 IP 地址再来看下它们的位置分布。

Tiwtter.com Geolocation based on IP

Tiwtter.com  基于 IP 的定位

注意:亚特兰大的 pin 是错误的,这是我查询得到的地址而 UI 没有删除那个 pin。

可以看到,Twitter 同样在曼尼托巴部署了服务器。我在 Dyn DDoS 攻击事件后进行了调查分析,结果表明 Twitter 目前正在使用的服务器分布于西雅图,新罕布什尔和曼尼巴托。倘若其冗余方案分配合理,那这种分布还是很棒的。在DDoS 攻击事件发生期间,西海岸的用户未受到任何影响。这源于部署在西雅图的服务器。如今在新罕布什尔也部署有多台服务器,我在攻击之前不能讲太多。

P***Hub

This is the output of running dig on Pornhub.com

这是在 P***Hub 上执行 dig 操作后的输出结果

P***Hub 如今正在证明自己是一家更具安全意识的互联网公司。尽管他们并不是严格意义上的科技公司,但安全意识已经成为其经营策略中的核心一环。这涉及到可用性、解码、用户帐号及上传/获取等操作。P***Hub 似乎想保证其绝对安全,除了我在上文提到的bug有奖征集项目,他们还拥有一套多样化的 IP、服务器及供应商体系。

Pornhub.com Geolocation based on IP

P***Hub 基于 IP 的定位

注意:亚特兰大的 pin 是错误的,这是我查询得到的地址而 UI 没有删除那个 pin。

和 Twitter 及 Facebook 一样,P***Hub 在曼尼托巴以及其他几个地方部署了服务器。尽管这种分布本身并不理想,但是有足够多的服务器(理论上)来提供必要的冗余。

因此,我并未对这些网站做流量统计,但我可以预测出对以上这些网站上实施 DDoS 攻击的可能结果:

1.Facebook 可能会因攻击者喜好而遭受攻击,从而使其社交功能瘫痪。

2.Twitter 极有可能会得到和 Facebook 一样的下场。

3.NSA 可能会因攻击者喜好而遭受攻击,但最有可能的情况是出于政治或黑客的原因。尤其是考虑到在该领域没有机密信息(理论上)。

4.P***Hub 可能由于相似的原因而经历和 Facebook 及 Twitter 相同的命运,或是反色情道德运动的副产品。

有关业务持续性及灾后重建的思考

我上面提到的部分公司本质上是有弹性的,他们启动了业务持续性及故障恢复的有关计划,以保持业务在线以及盈利。因此,这是一个证明 BCP/DRP/CP/COOP 重要性的极端案例。

总的来讲,我对这个话题有很多想法,但我把这些从供应链安全的角度整理成一篇单独的博文,就像从 BCP/DRP/CP/COOP 和弹性角度考虑一样。

最大成人网站的安全做得比某些安全公司还要好!,首发于文章 – 伯乐在线