没问题,CS 服务器检测到我的虚拟机上线了。
最后,感谢一下「风起」的文章。虽然域前置,某 B 公有云云函数隐藏这些攻击方法我们都已经掌握了,但是参照仍然让我们少走了一些弯路(虽然有的坑也没避掉)。
通过域前置,某 B 公有云云函数隐藏等这些虽然给溯源增加了一层难度,但也不是完全不可能,如果得到有关方面的协助还是有办法找到攻击机的。
比如,某 C 公有云云的域前置,只要找到上线时连接的 Host 在某 C 云内部的 DNS 对应的 IP,就可以拿到其对应的攻击 IP了。
某 B 公有云云函数这种方法呢,就更简单了,反正每个触发器对应的 API 地址就一个,发现了封了就行了,自己也没法改,因为 CS 马的上线地址填的这个。另外在请求 API 截止的时候会函数名,如果起的有特色一点,也不是完全没有溯源的可能。
攻防双方永远在博弈中共同进步,最近爆出来的域前置攻击,某 B 公有云云函数转发, 还有我们最新发现的微软子域名劫持, 其实都是 RT 在应对各种防守工具想出来的比较好的方法,我们也在不断提升对这种攻击的检测的能力。
攻防双方应该像两条藤蔓一样互相攀爬着向上。从攻击方最开始不停地开扫描器扫描,企业封堵 IP;到攻击方发送无数个钓鱼邮件,企业进行样本分析溯源;最终转变为更高手段的攻防博弈。攻防水平不断提升,双方过招之后应该是直呼“有点东西”,而不是“几天不见,怎么这么拉了”。
如果大家看完能有些收获,我们整整一个周末研究这个方法就没有浪费。