基于追蹤標(biāo)記的WAF設(shè)計(jì)思路
一、相關(guān)背景
目前,市面上的WAF產(chǎn)品通常采用”發(fā)現(xiàn)即阻斷“的策略,以防護(hù)針對(duì)業(yè)務(wù)系統(tǒng)的Web攻擊行為。雖然該策略可及時(shí)阻斷攻擊,但形式上過(guò)于簡(jiǎn)單,并不能有效掌握攻擊者進(jìn)一步的攻擊意圖,也不能有效提高攻擊者的成本投入。本文借鑒蜜罐的思想,構(gòu)思一種融合欺騙技術(shù)的WAF系統(tǒng),目的是為現(xiàn)有WAF提供一種設(shè)計(jì)思路。相對(duì)于傳統(tǒng)WAF,本文所述WAF不僅具有傳統(tǒng)WAF的功能,同時(shí)可識(shí)別并追蹤攻擊者。
如圖1所示,WAF系統(tǒng)以串聯(lián)方式部署在業(yè)務(wù)系統(tǒng)的前面,用于對(duì)來(lái)自互聯(lián)網(wǎng)的流量進(jìn)行檢測(cè):當(dāng)發(fā)現(xiàn)客戶請(qǐng)求為正常流量時(shí),則將其轉(zhuǎn)發(fā)給業(yè)務(wù)服務(wù)區(qū)部署的“真實(shí)業(yè)務(wù)系統(tǒng)”,從而為正常用戶提供所需的互聯(lián)網(wǎng)服務(wù);當(dāng)發(fā)現(xiàn)客戶請(qǐng)求為惡意流量時(shí),則會(huì)對(duì)攻擊源進(jìn)行唯一性標(biāo)記,并把該客戶端的流量通過(guò)NGINX集群牽引到鏡像服務(wù)區(qū)部署的“鏡像業(yè)務(wù)系統(tǒng)”。
圖1 WAF部署模式和運(yùn)行流程
1.業(yè)務(wù)服務(wù)區(qū):部署有“真實(shí)業(yè)務(wù)系統(tǒng)”,用于處理正常用戶的訪問(wèn)請(qǐng)求。如果“潛在攻擊者”不對(duì)系統(tǒng)發(fā)起攻擊,那么其訪問(wèn)請(qǐng)求會(huì)被轉(zhuǎn)發(fā)到真實(shí)的業(yè)務(wù)服務(wù)區(qū)。只是一旦其發(fā)起攻擊行為,便會(huì)被WAF標(biāo)記為“攻擊源”,并進(jìn)行唯一性標(biāo)記,那么其當(dāng)前、及后續(xù)訪問(wèn)請(qǐng)求都會(huì)被牽引到鏡像服務(wù)區(qū)。由于“鏡像業(yè)務(wù)系統(tǒng)”的前端展示和業(yè)務(wù)功能與“真實(shí)業(yè)務(wù)系統(tǒng)”沒(méi)有區(qū)別,所以整個(gè)牽引過(guò)程對(duì)攻擊者是無(wú)感的。
2.鏡像服務(wù)區(qū):部署有“鏡像業(yè)務(wù)系統(tǒng)”,用于處理攻擊者的訪問(wèn)請(qǐng)求。如前所述,該系統(tǒng)的前端展示和業(yè)務(wù)功能與“真實(shí)業(yè)務(wù)系統(tǒng)”沒(méi)有區(qū)別,在使用過(guò)程中很難區(qū)分,同時(shí)做了數(shù)據(jù)脫敏處理、偽造了一些常見(jiàn)漏洞點(diǎn)。此外,為了防止攻擊者在獲取鏡像服務(wù)區(qū)的機(jī)器權(quán)限后,以此為跳板,對(duì)業(yè)務(wù)服務(wù)區(qū)發(fā)起攻擊,部署時(shí)要求鏡像服務(wù)區(qū)與業(yè)務(wù)服務(wù)區(qū)需完全隔離,最好是物理層面的隔離。
3.欺騙服務(wù)區(qū):部署有各種“欺騙性系統(tǒng)”,用于引誘黑客在內(nèi)網(wǎng)橫行滲透過(guò)程中的攻擊。“欺騙服務(wù)區(qū)”本質(zhì)是一個(gè)蜜網(wǎng),其目的是為了更長(zhǎng)時(shí)間的浪費(fèi)攻擊者的時(shí)間與精力,更多的掌握攻擊者的行為、手段、技能,更大程度上使攻擊者漏出馬腳、從而溯源其身份。比如:在數(shù)據(jù)庫(kù)中存儲(chǔ)一些偽造的、帶有標(biāo)記性特征的“高價(jià)值客戶數(shù)據(jù)”,一旦被攻擊者拿到并在網(wǎng)上售賣,則可對(duì)攻擊者做進(jìn)一步的溯源;在系統(tǒng)中放置一些偽造的、帶有木馬功能的“敏感文件”,一旦被攻擊者拖回并打開(kāi),則可反向控制攻擊者的客戶端。
備注:鏡像服務(wù)區(qū)、欺騙服務(wù)區(qū)可部署在阿里云、騰訊云等公有云平臺(tái)上(或者其它隔離環(huán)境),本地IDC通過(guò)NGINX集群將識(shí)別到的攻擊流量轉(zhuǎn)發(fā)到這些區(qū)域。
二、系統(tǒng)設(shè)計(jì)
本文所述WAF的核心功能包括五個(gè)模塊,分別是:流量檢測(cè)模塊、終端標(biāo)記模塊、流量分發(fā)模塊、漏洞配置模塊、指紋采集模塊。(只是個(gè)人想法,可根據(jù)實(shí)際擴(kuò)展)
圖2 WAF概要設(shè)計(jì)和核心模塊
1.流量檢測(cè)模塊:不僅具備常規(guī)WAF的通用功能,如:SQL注入檢測(cè)、XSS漏洞檢測(cè)、代碼執(zhí)行檢測(cè)、文件上傳檢測(cè)等,同時(shí)還具備“攻擊源標(biāo)記查驗(yàn)”功能,目的是判斷請(qǐng)求流量中是否帶有“終端標(biāo)記模塊”下發(fā)的攻擊源標(biāo)記字段。如果請(qǐng)求流量中帶有攻擊源標(biāo)記字段, 表明該請(qǐng)求是“已被標(biāo)記為攻擊源”的客戶端發(fā)起的,則直接將該請(qǐng)求經(jīng)NGINX集群牽引至“鏡像業(yè)務(wù)系統(tǒng)”;如果請(qǐng)求流量中沒(méi)有攻擊源標(biāo)記,表明該請(qǐng)求是正常的客戶端發(fā)起的,則會(huì)繼續(xù)判斷是否帶有攻擊特征。
2.終端標(biāo)記模塊:用于對(duì)發(fā)起惡意請(qǐng)求的客戶端進(jìn)行標(biāo)記。當(dāng)流量檢測(cè)模塊發(fā)現(xiàn)當(dāng)前請(qǐng)求為惡意請(qǐng)求時(shí),便會(huì)調(diào)用終端標(biāo)記模塊在HTTP響應(yīng)包中插入標(biāo)記字段,以對(duì)發(fā)起該請(qǐng)求的客戶端進(jìn)行唯一性標(biāo)記。其中,插入標(biāo)記字段的功能是通過(guò)set-cookie實(shí)現(xiàn)的,該特征字符串會(huì)反向到達(dá)、并存儲(chǔ)在攻擊者的瀏覽器中。由于該cookie值的過(guò)期時(shí)間設(shè)置為永久,因此只要不手動(dòng)清除,瀏覽器隨后訪問(wèn)目標(biāo)網(wǎng)站的所有請(qǐng)求都會(huì)帶上該字段。(格式: trackid=32位隨機(jī)字符串,形如:trackid =92f4ac47-527b-11eb-ba1b-f45c89c42263)
3.流量分發(fā)模塊:用于根據(jù)“流量檢測(cè)模塊”的判定結(jié)果信息、以及WAF系統(tǒng)中配置的路由信息,將訪問(wèn)請(qǐng)求分發(fā)到“真實(shí)業(yè)務(wù)系統(tǒng)”或“鏡像業(yè)務(wù)系統(tǒng)”。其中,如果是“已知攻擊源發(fā)起的請(qǐng)求”或“某客戶端初次發(fā)起的惡意請(qǐng)求”,則將其經(jīng)NGINX集群牽引到“鏡像業(yè)務(wù)系統(tǒng)”;如果是 “正常客戶端發(fā)起的請(qǐng)求”,則將其牽引到“真實(shí)業(yè)務(wù)系統(tǒng)”。對(duì)客戶端而言,整個(gè)過(guò)程是完全透明的,且需要攻擊者通過(guò)瀏覽器發(fā)起請(qǐng)求。
4.漏洞配置模塊:用于在“鏡像業(yè)務(wù)系統(tǒng)中”中以“插件化”形式配置偽造的漏洞點(diǎn),目的就是讓黑客發(fā)現(xiàn)并對(duì)其攻擊。其中,在部署漏洞前,可通過(guò)虛擬機(jī)鏡像手段將業(yè)務(wù)系統(tǒng)從“業(yè)務(wù)服務(wù)區(qū)”克隆到了“鏡像服務(wù)區(qū)”,并做好數(shù)據(jù)脫敏工作。在配置漏洞點(diǎn)的時(shí)候,漏洞配置模塊可將事先構(gòu)建好的漏洞文件下發(fā)到“鏡像業(yè)務(wù)系統(tǒng)”服務(wù)器。(該功能可作為WAF的一部分,或者獨(dú)立于WAF部署)
5.指紋采集模塊:用于采集攻擊者的客戶端設(shè)備指紋信息,攻擊者的第三方平臺(tái)賬號(hào)、鍵盤(pán)記錄、訪問(wèn)過(guò)的網(wǎng)站等信息。其中,整個(gè)過(guò)程是通過(guò)在“鏡像業(yè)務(wù)系統(tǒng)”的返回頁(yè)面中插入溯源腳步(JavaScript代碼)實(shí)現(xiàn)的。當(dāng)溯源腳本反向到達(dá)攻擊源客戶端、并被瀏覽器解析執(zhí)行后,便會(huì)將相關(guān)的指紋信息回送給WAF系統(tǒng)。其中,采集信息的豐富度一定程度上依賴于攻擊者的操作。
三、運(yùn)行流程
WAF在對(duì)互聯(lián)網(wǎng)邊界流量處理的過(guò)程,其主要流程如圖3所示,具體步驟如下:
圖3 WAF對(duì)網(wǎng)絡(luò)流量處理流程
1.基于“流量檢測(cè)模塊”查驗(yàn)流量中是否帶有“攻擊源標(biāo)記”。如果沒(méi)有,則進(jìn)入步驟2;如果有,則表明當(dāng)前請(qǐng)求是已被標(biāo)記為攻擊源的客戶端發(fā)起的,則跳轉(zhuǎn)到步驟4。
2.基于“流量檢測(cè)模塊”檢測(cè)流量中是否帶有攻擊行為特征。如果沒(méi)有,則表明當(dāng)前請(qǐng)求是正常用戶發(fā)起的,則跳轉(zhuǎn)至步驟5;如果有,則進(jìn)入步驟3。
3.基于“終端標(biāo)記模塊”對(duì)當(dāng)前網(wǎng)絡(luò)請(qǐng)求進(jìn)行標(biāo)記,并在對(duì)應(yīng)的響應(yīng)報(bào)文中通過(guò)set-cookie的方式插入攻擊源標(biāo)記字符串。
4.基于“流量分發(fā)模塊”模塊將網(wǎng)絡(luò)流量轉(zhuǎn)發(fā)至“鏡像業(yè)務(wù)系統(tǒng)”。其中,該步驟處理的流量為“已知攻擊源”與“新的攻擊源”發(fā)起的網(wǎng)絡(luò)請(qǐng)求。
5.基于“流量分發(fā)模塊”模塊將網(wǎng)絡(luò)流量轉(zhuǎn)發(fā)至“真實(shí)業(yè)務(wù)系統(tǒng)”。其中,該步驟處理的流量為正常用戶使用的客戶端發(fā)起的網(wǎng)絡(luò)請(qǐng)求。備注:對(duì)于攻擊源而言,一旦被WAF標(biāo)記,其當(dāng)前請(qǐng)求以及后續(xù)發(fā)起的網(wǎng)絡(luò)請(qǐng)求,無(wú)論是否帶有惡意特征,都會(huì)被轉(zhuǎn)發(fā)到“鏡像業(yè)務(wù)系統(tǒng)”。
四、總結(jié)歸納
整體而言,本文所述WAF從“潛在攻擊識(shí)別、溯源取證分析"等方面彌補(bǔ)了傳統(tǒng)WAF的不足,即保護(hù)了業(yè)務(wù)系統(tǒng)的安全性,又具備一定的溯源取證的能力。其優(yōu)點(diǎn)在于:
1.可以避免攻擊者對(duì)業(yè)務(wù)系統(tǒng)的潛在攻擊:當(dāng)識(shí)別到攻擊流量后,WAF可基于“終端標(biāo)記模塊”對(duì)攻擊源進(jìn)行唯一性標(biāo)記,進(jìn)而將同一攻擊源的當(dāng)前流量、以及后續(xù)流量牽引到“鏡像業(yè)務(wù)系統(tǒng)”,從而避免攻擊者對(duì)真實(shí)業(yè)務(wù)系統(tǒng)的潛在攻擊行為。
2.可消耗攻擊者的時(shí)間以及攻擊者的精力:無(wú)論何種目的、何種手段,所有的攻擊行為都是需要投入時(shí)間和精力的。由于攻擊行為被識(shí)別、牽引到了“鏡像業(yè)務(wù)系統(tǒng)”,使得攻擊者將時(shí)間、精力消耗在對(duì)“鏡像業(yè)務(wù)系統(tǒng)”的攻擊上,因此整個(gè)攻擊過(guò)程對(duì)真實(shí)的業(yè)務(wù)系統(tǒng)是無(wú)效的,相對(duì)降低了黑客的有效攻擊成果。
備注:本文所描述的思路需要一定的先驗(yàn)條件,即:攻擊者使用瀏覽器(或配合Burp)對(duì)目標(biāo)系統(tǒng)進(jìn)行測(cè)試(目的是在Cookie中設(shè)置追蹤ID)。除了基于追蹤ID來(lái)判斷請(qǐng)求是否由攻擊者發(fā)起之外,也可基于“時(shí)間、源IP、目標(biāo)IP”的方式進(jìn)行判斷,這樣就不用考慮是否使用瀏覽器的問(wèn)題了,只是有一定的誤報(bào)。當(dāng)然,沒(méi)有一種技術(shù)是完美的,本文只是描述一種Web防護(hù)的思路。
