Веб-сайтам и онлайн-сервисам все чаще приходится сталкиваться с актами киберпреступности, такими как атаки типа «распределенный отказ в обслуживании» (DDoS): сайт или сервис намеренно бомбардируются огромным количеством злонамеренных коммуникационных запросов с разных компьютеров, так что он разрушается.«Владельцы веб-сайтов могут защитить себя от кибератак, установив специальное оборудование», — говорит Томас Виссерс из отдела компьютерных наук и iMinds KU Leuven. «Тем не менее, это, как правило, слишком дорого и слишком сложно для большинства из них. Вот почему владельцы веб-сайтов часто полагаются на услуги, предлагаемые поставщиками облачной безопасности. Одна из стратегий, которые эти поставщики обычно используют для защиты веб-сайтов, включает перенаправление входящего веб-трафика через свои собственные инфраструктура, которая достаточно надежна для обнаружения и отражения кибератак.
Однако успех этой стратегии во многом зависит от того, насколько хорошо можно защитить исходный IP-адрес веб-сайта. Если этот IP-адрес можно получить, механизмы защиты можно легко обойти ».По мнению исследователей, это ахиллесова пята облачной безопасности. Поэтому они организовали первое крупномасштабное исследование в этой области и активно исследовали уязвимости в стратегии перенаправления DNS, которая используется многими поставщиками облачных служб безопасности для перехвата веб-трафика.
Около 18000 веб-сайтов, защищенных пятью различными провайдерами, были подвергнуты тестам на уязвимость перенаправления DNS. С этой целью исследователи создали инструмент CLOUDPIERCER, который автоматически пытается получить исходный IP-адрес веб-сайтов с помощью восьми различных методов, включая использование незащищенных поддоменов.«В предыдущих исследованиях уже был описан ряд стратегий, которые можно использовать для получения исходного IP-адреса веб-сайта. Мы придумали ряд дополнительных методов.
Мы также были первыми, кто измерил и проверил точное влияние этих стратегий на более крупный масштаб », — говорит Томас Виссерс.«Результаты были довольно противоречивыми: более чем в 70% случаев CLOUDPIERCER смог эффективно получить исходный IP-адрес веб-сайта, тем самым предоставив точную информацию, необходимую для запуска успешной кибератаки.
Это ясно показывает, что стратегия перенаправления DNS по-прежнему есть серьезные недостатки ".Исследователи уже поделились своими результатами с рассматриваемыми поставщиками облачной безопасности, что позволило им должным образом отреагировать на риски, которым все еще подвергаются их клиенты.Однако исследователи также хотят проинформировать широкую публику — и, в частности, владельцев веб-сайтов — о недостатках популярной стратегии перенаправления DNS. Вот почему они сделали CLOUDPIERCER доступным бесплатно.
«С помощью CLOUDPIERCER люди могут протестировать свой собственный веб-сайт с помощью восьми методов, которые мы использовали в нашем исследовании. CLOUDPIERCER сканирует веб-сайт и указывает, для какого метода обнаружения IP он наиболее уязвим», — заключает Томас Виссерс.
Когда веб-сайты используют перенаправление DNS в качестве механизма защиты от кибератак, можно предпринять две простые меры, чтобы предотвратить получение исходного IP-адреса. Один из вариантов — настроить параметры брандмауэра веб-сайта, чтобы разрешить веб-трафик только от облачного провайдера безопасности.
Кроме того, IP-адрес веб-сайта может быть изменен после заключения контракта с поставщиком облачной безопасности.