CDN的全称是ContentDelivery Network,即内容分发网络。通过在网络各处放置节点服务器构成智能虚拟网络,其目的是使用户可就近取得所需内容,解决 Internet网络拥挤的状况,提高用户访问网站的响应速度。然而,我们也发现黑产链条与本来非常实用的CDN服务有着千丝万缕的联系。例如本公众号同期推送的文章《CDN校验漏洞催生海量网络投毒》,就介绍了通过CDN网络从事大面积网络投毒活动的案例。本篇就将介绍下CDN的基本原理和其使用过程,以期对各位提供一些技术基础。
CDN是什么?
CDN系统能够实时地根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向离用户最近的服务节点上。
通过下面这个图我们可以直观的看到,不同地区ping同一个域名,IP不一样,也就是说,这个CDN服务商有很多节点,可以给用户分配最佳的位置节点。
通过域名访问网站的一般过程为:
1)、用户向浏览器提供要访问的域名;
2)、浏览器调用域名解析库对域名进行解析,得到服务器实际IP地址
3)、浏览器在得到实际的IP地址以后,向服务器发出访问请求;
4)、服务器返回请求数据;
5)、客户端浏览器显示结果。
使用了CDN缓存后的网站的访问过程变为:
1)、用户向浏览器提供要访问的域名;
2)、浏览器调用域名解析库对域名进行解析,由于CDN对域名解析过程进行了调整,为了得到实际IP地址,浏览器需要再次对CDN设置的解析信息得到实际的IP地址;在此过程中,使用的全局负载均衡DNS解析用cdn绕过域名备案,如根据地理位置信息解析对应的IP地址,使得用户能就近访问。
3)、此次解析得到CDN缓存服务器的IP地址,浏览器在得到实际的IP地址以后,向缓存服务器发出访问请求;
4)、缓存服务器根据浏览器提供的要访问的域名,通过Cache内部专用DNS解析得到此域名的实际IP地址,再由缓存服务器向此实际IP地址提交访问请求;
5)、缓存服务器从实际IP地址得得到内容以后,一方面在本地进行保存,以备以后使用,另一方面把获取的数据返回给客户端,完成数据服务过程;
6)、客户端得到由缓存服务器返回的数据以后显示出来并完成整个浏览的数据请求过程。
总结下CDN的优点确实很多,对网站的用户来说CDN是透明的,能大大提高访问的速度,对网站站长们来说,只需要把域名解释权交给CDN运营商,其他方面不需要进行任何的修改,不需要购置昂贵的高性能服务器。还有一个福利是CDN隐藏了网站的真实 IP,很多CDN还同时提供抗DDOS的服务,安全性也提高了。
但从网络犯罪防范打击的角度来看,CDN也成了一些人违法犯罪的隐蔽安乐窝。因此,相关部门要求,域名一定要备案,才能使用CDN业务。但是正如我们在烽火台安全威胁情报联盟的分析文章所述,很多CDN的备案审批机制十分容易绕过。
国内CDN的服务商非常多,比如BAT三家,七牛,加速乐等等,都提供CDN服务,随便搜索一下就是一堆,而且价格相当便宜,还有一些免费服务,那么我们就来实验下吧。
域名注册
现在域名注册实在太方便了,价格低廉。为了实验,我们找一个已经备案好的域名。搜索域名交易平台,有的会提醒马上过期的域名,有的就能直接交易已备案好的域名。
选了一个价格便宜的“精品域名”试试,果然已经备案好了。13元搞定。。。看看备案信息,完美!
现在我们有备案好的域名了,配置一下。我们现在配置下A记录,A (Address) 记录是用来指定主机名(或域名)对应的IP地址记录,其他的参数配置我们在下篇再说。
OK,域名这里就准备好了。
CDN的使用配置
下面我们找个CDN服务商试试。我们找到一个业内颇有名气的CDN服务商,能提供免费服务的。注册以后,就可以添加域名了。我测试了两个域名,一个是备案的,一个是没有备案的,发现还是可以顺利识别出来是否备案的。刚才购买的备案后的域名就很顺利的通过了。
根据CDN服务商的向导用cdn绕过域名备案,我们再回到域名设置的界面,修改域名DNS,改为CDN服务商提供的域名NS服务器地址,在本例中就是ns1.j***.net ns2.j****.net。
出现成功提示后,设置就完成了!不过要注意的是,缓存生效的时间可能在7-24小时,所以还需要等待才能看到效果。
CDN还支持二级域名的解析,这也是上篇威胁情报文章中提到的,用Excel自动生成二级域名,然后导入CDN平台,同时经常变换一级域名,就是我们看到很多恶意链接规避安全检测的重要手段。
那么我们如何判断CDN有无生效呢?查下其WHOIS信息,从NameServer这里就可以判断了。还有就是通过不同地区的Ping检测来判断,也可以用站长工具网站的ping检测工具来自动测试,就像文章开始那张测试图。
总结一下,黑产利用域名交易监管的缺失,通过购买临近过期或者已经完成备案的域名,同时使用CDN来进行真实IP的隐藏,快速生成恶意url,达到隐蔽自身,逃避安全检测的目的。百度也发现仍有大量不符合管理规定的CDN服务商。
那么遇到这种使用了CDN的网站,该如何进行调查?还请大家一起来总结下吧!
本文内容来源于互联网,若引用不当或侵权,请联系我们修正或删除。
需要购买idc产品,请添加客户QQ群:244650446
有IDC资源的同行,请添加QQ3078488322备注idc同行,拉您进IDC同行交流群。