目前负责管理位于 AWS ELB 后面的一个小型 varnish/nginx 网络服务器组。
最近对主域名的监控发现了大量对不存在的子域名地址的访问。
进一步检查 varnish 日志后,发现有少量 IP 运行着 python 代理,试图在没有单词列表的情况下逐步强行加载子域。
目前,它还没有超过 4 个字符,即 aaaa.primarydomain.com 及以上。它目前位于 fau9.primarydomain.com
404 的速度和服务造成了轻微的困扰,因此设置了在达到一定阈值后进行检测和阻止,并联系了滥用部门。到目前为止,大约有 10 个 IP 都来自 btcentralplus.com,随后被阻止。它似乎来自一个业余僵尸网络,对 IP 的探测揭示了与英国家庭和小型企业网络一致的情况。
但更重要的是动机,我对这种攻击的目的感到震惊。首先,通过这种方式实际上没有任何好处,即使有明显的好处,试图逐步暴力破解域名列表似乎太愚蠢了?这并不是说这是一种绝对的威慑。
我们唯一想到的可能是脚本小子失败了,一个奇怪的蠕虫试图试图知道什么,或者某种虚假流量生成?btcentralplus 是唯一的常见变量,似乎对处理滥用投诉毫无用处。如果他们试图在可能暴露的网络服务器日志中抽出他们的反向 DNS 条目?但即便如此,这似乎很奇怪。
答案1
他们正在做一些非常简单的信息收集工作。寻找您可能拥有的任何有趣的子域名,这些子域名可能可供使用,或者可能泄露有助于锁定您的主网站的信息。
因此,通常最好将内部或私有子域名放在防火墙或 VPN 后面,以便它们无法从外部访问和/或将它们放在单独的 TLD 上,以便临时扫描器无法找到它们并将它们与您的域名/公司关联起来。
例如,您可以使用 git.example.net 或 git.example-int.com,而不是使用 git.example.com。这只是作为第一层的基本安全保护,但它减少了像这样的简单扫描。
如果它是一个全新的或最近扩展的 ELB,那么他们可能根本不想扫描你,而是针对其他人,但缓存了 DNS 条目。你恰好继承了他们缓存的 IP。