RSS
Твиттер
G+
Недавно на хабре опубликовали пост DDoS в обход Куратора: простые действия для спокойной жизни.
Основная идея — при использовании сервисов фильтрации и очистки трафика (WAF) для эффективной защиты необходимо максимально спрятать реальные ip сервисов.
Если пройтись по тезисам поста, то получаем следующие векторы атаки/защиты на целевую систему:
1) Публичный whois и другие базы типа Ripe DB.
Autonomous System (AS) Number Assignment Policies.
Данные базы позволяют найти очень много «полезной» информации для проведения атаки, в том числе вычислить реальные блоки IP-адресов.
2) Обратный resolve. Обезличенные PTR.
Типичный пример — почты. Все публичные PTR необходимо анонимизировать.
3) Подбор адресов, сканирование портов и служб.
Дефолтные ответы web серверов, сертификаты (если не wildcard), ошибки 403 и т.д. — все это позволяет получать информацию о вашей инфраструктуре.
curl -H "host: example.com" https://INET_ADDR/
4) Почтовики.
Отдача в «helo» технического домена, а заголовках «Received:» цепочки технических доменов, в том числе передача их при использовании внешних релеев.
5) DNS.
Держим ДНС у надежного поставщика или на серверах все своих блоков IP. Публикуем только Secondary, Primary NS максимально скрываем.
А вот что в статье не описали:
1) История изменения IP и DNS записей.
Для просмотра истории изменения IP есть несколько сервисов:
http://viewdns.info/iphistory/ и http://ptrarchive.com/
Тоже самое, но уже для DNS:
DNS Trails, DNS History и WhoISrequest. WhoisHistory
Комплексные решения:
Censys и Shodan
2) Поддомены.
Не забываем про A записи поддоменов, в особенности технических.
Утилита: Sublist3r от Aboul-Ela + словарь, далее простой скрипт на баше и на выходе получаем нужный список ip.
3) Отправка почты напрямую с локальных серверов.
На проксируемом сайте есть форма регистрации? Не забываем прописать отправку почты через транзит, иначе получим результат как в пункте 4 выше.
При серьезном подходе и наличии средств — лучше заказать «пентесты», т.к. все равно где-нибудь засветились или что-то не учли, но в целом для определенной категории категории злоумышленников методы описанные выше позволят создать проблемы или отбить желание экспериментировать.
Категория: 
