最近某大型网络安全活动又要开始了,我发现之前被大家诟病较多的是防守方封堵IP的行为,一有情况就封堵IP,更过分的是直接把服务断网下线。其实封堵IP看似粗暴,实则是个技术活,要做到有效确实不容易。
首先,我们来看看如何封堵密码暴力破解的IP,要解决这个问题其实很简单,暴力破解的密码身份认证,对于程序来说都会产生一次错误日志,所以相关的开源工具fail2ban等,原理是直接监控扫描各服务程序的auth日志,当某个IP的错误日志到达一定阀值,就联动iptables防火墙封堵ip,监控好各种服务程序的身份验证日志后,是可以把大部分暴力破解攻击搞定的。
然后,解决了暴力破解,再来解决端口扫描行为,一台服务器并不会开放所有的常用服务,我们可以把这些常用端口变成蜜罐端口。比如可以把ssh转移其他的端口,再把ssh端口用程序监听起来变成蜜罐端口,一旦监控发现有鬼鬼祟祟的访问,可以直接联动防火墙把IP封掉。每台服务器都针对常见服务来这么几个蜜罐端口,未经授权的扫描来一个封一个,就不用在无穷无尽的告警中迷失了。
还是针对扫描再来举例子,一般的web漏洞扫描都会有穷举类型的扫描行为,扫描过后web服务器会产生大量的404状态日志,监控web日志针对404状态建立一个监控阀值,直接就能毙掉一堆web漏洞扫描。如果有条件有开发能力,在保证web程序安全的情况下,防守方也可以在网页程序、前端脚本和数据库里埋假链接桩和假漏洞桩,漏洞扫描器爬到一个封一个,SQL注入、XSS漏洞触发一个封一个,会比传统的WAF来得更有效,目前一些知名的web程序也早就将埋假桩封IP的功能用于解决spam了。
再来更高级的玩法,当我们想对攻击方的行为进行捕获和更深入的分析时,完全可以让防火墙把触发各种封禁规则、各种假桩的IP流量都重定向到精心设计的蜜罐中,这也就是典型的攻击欺骗思路了。另外,封IP也还是有些坑的,比如使用反向代理要处理源IP,云主机封IP要走安全组或者主机API等,这些都是要注意的问题,就不再深谈了。
最后,我觉得防守方在解决好一些基础安全问题后,在未来如果能够转换角色变成主动的威胁狩猎者,防守方也会变得很有趣 :)
