全球最大成人网站安全做得很不错……

来自：FreeBuf（微信号：freebuf）

链接：www.freebuf.com/articles/neopoints/124503.html

*参考来源：advanced，FB小编bimeover编译

写在前面

2016年你应该听说过几起严重的DDoS攻击事件，其中，有两起让人印象比较深刻。第一起是Brian Krebs受到620Gb/s的DDoS攻击，第二期起是更受关注的Dyn（DNS服务提供商）事件，那次DDoS攻击使得Twitter、亚马逊以及其他美国东海岸的Dyn设备瘫痪。

经过深入调查以及缜密思考，我发现PornHub（国外最大的成人网站）在安全方面似乎比某些‘安全’公司做的还要好一些。这篇文章的目的是分析这些公司做了什么以及目前它在整个技术行业的水准。

我的分析

总体观察

对于所有组织机构来说，这也许是一次lesson，PornHub这样一个看上去无安全、无技术（这里的无技术不包括编码、影视产业方面）的公司逐渐成为安全行业里的专家。

如今它拥有一个健全的文件管理机制，并且在HackerOne上成立一个bug赏金项目。PornHub会支付50$（XSS漏洞）~150$（远程Shell/命令执行）不等的奖励给发现各种漏洞的白帽子。

针对DDoS攻击的发现

当我在Twitter上看到美国东海岸地区Twitter和亚马逊停运的根本原因是单点故障时，我终于按耐不住，决定做一点研究。

这是输出“dig -t NS ____”的命令，在这个空里填入以下几个网站

NSA.gov

上图展示了NSA（美国国家安全局）使用6个不同的DNS服务器，这些服务器似乎都属于Akamai。 Akamai是一个著名的、受人尊敬的内容分发网络（CDN）。

它通常提供了一些防DoS攻击的保护。 由于NSA是一个有争议的政府实体，它可能经常遭受DoS和其他攻击尝试。

注意，实际的NSA.gov网站不直接绑定到机密的系统，所以攻击这个网站比泄露经过分类且敏感信息更具有政治、象征意义。

从根本上说，NSA用这么多DNS服务器乃是一种冗余策略。 他们确实有各种DNS服务器，但都是来自Akamai。

虽然NSA.gov这个网站不影响NSA的运作，但这种做法 是不提倡的 。 假如NSA.gov是一家实体公司的网站，尤其是电子商务或社交媒体，这可能是灾难性的。

注：这里的亚特兰大的PIN是错的，这是我查询的地址而UI没有清除这个PIN。

这张图显示了NSA.gov的外部DNS服务器的地理分布，这些地理分布只是根据IP地址，并没有考虑集群或者负载均衡的问题。有几台主机部署在瑞士，2台部署在法国，1台在堪萨斯。

讽刺的是，NSA作为美国政府的实体、典型的政策机构，居然违反了FISMA（美国联邦信息安全管理法）所规定的‘美国政府禁止使用境外计算机资产’。有些时候FVEY国家（美国，英国，加拿大，澳大利亚和新西兰）也有例外。

这种分散的地理分布对于灾后恢复以及公司发展商业持续性是极好的。攻击事件在以上所有地区同时发生的可能性很低，接近于0。

如果其中一台服务器因为DoS或是DDoS攻击而离线，其他服务器可以接管它的任务。我听说Akamai在Brian Krebs DDoS攻击中吸取了经验，那一次攻击让他们合理的改善了基础设施和应对对策。

Facebook.com

Facebook管辖他们所有的外部服务器，取代业务外包。这是和其他几家网站不同的地方。

我起初只搜索了IPV4地址，但要注意的是Facebook的IPV6地址包括“face：booc”。从这个角度来说，如果Facebook并没有使用集群，那么这种方式并不能算完全健康。

让我们进一步了解这些IP的地理位置。

注：这里的亚特兰大的PIN是错的，这是我查询的地址而UI没有清除这个PIN。

我很震惊，他们只有在加利福尼亚的服务器。距离总部洛杉矶有相当远的距离。但是受到自然或人为灾害影响时又不够远，比如说飓风、地震、内乱、恐怖袭击等。当我再进行IPV6扫描时，发现了曼尼托巴是一个可以确定的位置。

我记得在我考CISSP-ISSMP的时候学到曼尼托巴这个地方是灾难恢复之都，当地的天气稳定到可谓“无聊”的地步。

当然，曼尼托巴离加利福尼亚州，纽约，德克萨斯州等地也够远。随着我们工作的进展，将来你会看到更多的服务区设置在曼尼托巴。

Twitter.com

Twitter的某些用户曾在Dyn DDoS攻击中离线，虽然我是在Dyn DDoS之后对此进行分析，但图片里的DNS记录中可以看出他们现在同时存在各种DNS提供商。如果再次发生Dyn DDoS攻击，这些措施应该能够帮助减轻流量负担。

让我们看看他们的地理位置。

注：这里的亚特兰大的PIN是错的，这是我查询的地址而UI没有清除这个PIN。

Twitter同样将服务器设在了曼尼托巴，我也同样是在Dyn DDoS攻击之后展开的分析，这表明Twitter在役的服务器有西雅图，新罕布什尔和马尼托巴。如果其冗余方案设置合理，那么这种分布方式还是相当不错的。

在DDoS攻击期间，西海岸的用户没有受到影响，就是因为这台西雅图服务器。目前有多个新罕布什尔州的服务器。 我在攻击前不能说太多。