Назад | Перейти на главную страницу

Инкрементальный брут-форсинг субдоменов?

В настоящее время присматривает за небольшой группой веб-серверов varnish / nginx, стоящей за AWS ELB.

Мониторинг основного домена недавно обнаружил огромное количество обращений к несуществующим адресам поддоменов.

При дальнейшей проверке журналов лакирования было обнаружено несколько запущенных IP-агентов python, которые пытались постепенно перебрать поддомены, не используя список слов.

Атм не перешагнул за 4 символа т.е. aaaa.primarydomain.com и выше. В настоящее время он находится по адресу fau9.primarydomain.com.

Скорость и обслуживание 404-х создавали незначительные неудобства, поэтому было настроено обнаружение после определенного порога и блокировка, а также обращение в отдел злоупотреблений. На данный момент появилось около 10 IP-адресов, все из которых через btcentralplus.com, которые впоследствии были заблокированы. Похоже, он исходит от любительского ботнета, и исследования IP-адресов показали, что согласуется с домашними сетями и сетями малого бизнеса в Великобритании.

Но что более важно, это мотив, я не понимаю, в чем суть такого нападения. Во-первых, от этого буквально нечего выиграть, и даже если бы это было очевидно, попытки поэтапного перебора списка доменов кажутся слишком глупыми? Не то чтобы это было абсолютным сдерживающим фактором.

Единственные предложения, которые мы придумали, - это сбой script-kiddy, странный червь, пытающийся бог знает что, или какой-то вид фальшивого трафика? btcentralplus - единственная общая переменная, которая кажется почти бесполезной для обработки жалоб на злоупотребления. Если бы они пытались выкачать свою обратную запись DNS в журналы веб-сервера, что могло бы быть показано, например? Но даже все это кажется странным.

Они занимаются очень простым сбором информации. Ищите любые интересные поддомены, которые могут быть у вас открыты для игры или которые могут выдавать информацию, которая поможет настроить таргетинг на ваш основной сайт.

По этой причине, как правило, рекомендуется размещать внутренние или частные судомены за брандмауэром или VPN, чтобы к ним нельзя было получить доступ извне, и / или помещать их в отдельный TLD, чтобы обычный сканер не мог их найти и связать с вашим доменом / компанией.

Например; Вместо использования git.example.com вы можете использовать git.example.net или git.example-int.com. Это всего лишь базовая защита от неизвестности в качестве первого уровня, но он сокращает количество простых сканирований, подобных этому.

Если это совершенно новый или недавно масштабированный ELB, возможно, они вообще не хотели сканировать вас и нацеливались на кого-то еще, а кэшировали запись DNS. Вы бы просто унаследовали кешированный IP-адрес.