试图绕过CDN防护 - SANS互联网风暴中心

目前，为了提供基本的DDoS防护并过滤具有攻击性的机器人，采用某种形式的内容分发网络通常是保护Web应用程序最简单且最具成本效益的方式。在典型的设置中，会使用DNS将客户端指向CDN，然后CDN将请求转发到实际的Web服务器。有多家公司提供此类服务，云提供商通常也提供类似的解决方案。

然而，这种设置存在一个显著的弱点：如果攻击者能够识别出实际Web服务器的IP地址，他们通常能够绕过CDN直接访问Web服务器。有几种方法可以防止这种情况。根据所选的CDN，可能可以仅允许来自CDN IP地址空间的访问。但对于一些大型提供商而言，其地址列表可能非常庞大且动态变化。另一种选择是添加自定义HTTP头。一些CDN提供特殊的自定义头部，并附带随机值，用于标识经过CDN的请求。一个安全性较低（或更偷懒的？）的选择是查找任何能标识CDN的头部。应避免使用最后一种方法，因为攻击者可以轻易地包含此头部。

最近几天，我们的蜜罐检测到包含这些CDN相关头部的请求有所增加，这表明攻击者可能试图绕过这种保护。例如：

Cf-Warp-Tag-Id 这个头部从昨天开始出现，与Cloudflare的"Warp" VPN服务相关。扫描中包含看似随机的值，但可能寄希望于该值未被验证，或者请求实际上通过了Cloudflare Warp VPN以混淆其来源。

X-Fastly-Request-Id 顾名思义，此头部与Fastly CDN相关联。它于11月20日开始出现在我们的数据中。

X-Akamai-Transformed 由Akamai添加的头部。同样从11月20日开始出现（其余头部也是如此）

X-T0Ken-Inf0 不确定这个头部的用途（有任何想法？请告诉我）。它看起来可能包含某种形式的身份验证令牌，但其中的"l33t拼写"（即用数字或符号替代字母）很古怪。

x-sfdc-request-id x-sfdc-lds-endpoints 这些头部由Salesforce用于追踪请求。

大约在同一时间，我们也开始看到许多以字符串"Xiao9-“开头的头部，但我不知道它们的用途。如果有人知道，请告诉我：）

– Johannes B. Ullrich, Ph.D. , Dean of Research, SANS.edu