代备案使用CDN的一种技巧

新的时代来了,各种各样的cdn加速和防火墙出现在站长们面前,使网站主能够在无任何安全知识的情况下就能防住黑客的攻击。cdn网络具有的ip隐藏和热补丁的两大主要功能,让大大小小的黑客都比较头疼。ip隐藏不用我细说了,旁注扫描一下,出来一大堆cdn服务器的ip,黑客们没办法实施旁站和c段攻击,让攻击手段直接变少。热补丁功能则是针对0day的攻击exp的特征数据进行云端的安全防御,它的原理是cdn拦截最新的exp的特性码或者特殊的攻击的数据提交,用这种针对exp的数据提前进行阻止这些数据达到真实服务器的一种防御手段,可以快速的拦截使用cdn防火墙产品的攻击,而不用客户自己更新服务器代码,减少损失。这么好的功能却碰到了小小的限制,这些cdn产品需要域名备案。但是,这个限制却可以被巧妙地绕过。我们来看一组用某免费CDN做的实验。我们抓取http访问 http://www.cdn.com/1.asp?id=1  的返回信息可以看到http头部返回了404信息http://www.cdn.com/1.asp?id=1 and select * from admin  我们再试试这个注入语句,看看返回的数据有什么不同。返回了attack的信息提示,这就是cdn防御软件的一个构架上的一个疏漏,因为cdn的防御基于cdn这一层先拦截数据,如果不是攻击数据,才传到后台真正的服务器去运行,我们如果把所有提交到服务器的http访问先转发到加速乐,如果加速乐返回了攻击提示,我们就拦截这次访问,否则就放过。所以,在搬砖之余我开发了这个防火墙。他的原理异常的简单,所有GET提交的数据进行重新的定向,转发到CDN的上,cdn网络防火墙因为是前置拦截的,先判断你数据是否有攻击行为,没有攻击行为,才往真实服务器转发,我们如果把数据先发到CDN上,如果CDN提示有攻击行为,就会返回 attack request 这个http头数据。我们就直接拦截。这样各种服务器都能用上热补丁功能了。软件思路有了,源代码公开,大家可以自己改。post数据因为数据量太大,不建议你转发。安装这个软件很简单,在IIS的网站上,右击网站,点击属性,选择isapi筛选器的选项卡,点击添加,名字随便取,文件选择bduns.dll文件就可以了。


本文出自快速备案,转载时请注明出处及相应链接。

本文永久链接: https://www.xiaosb.com/beian/4155/