全国最大成人网站

全国最大成人网站
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
全球最大成人网站安全做得很不错…… bimeover2017-01-05共1188857人围观，发现 16 个不明物体观点
写在前面
2016年你应该听说过几起严重的DDoS攻击事件，其中，有两起让人印象比较深刻。第一起是Brian Krebs受到620Gb/s的DDoS攻击，第二期起是更受关注的Dyn（DNS服务提供商）事件，那次DDoS攻击使得Twitter、亚马逊以及其他美国东海岸的Dyn设备瘫痪。

经过深入调查以及缜密思考，我发现PornHub（国外最大的成人网站）在安全方面似乎比某些‘安全’公司做的还要好一些。这篇文章的目的是分析这些公司做了什么以及目前它在整个技术行业的水准。

我的分析
总体观察
对于所有组织机构来说，这也许是一次lesson，PornHub这样一个看上去无安全、无技术（这里的无技术不包括编码、影视产业方面）的公司逐渐成为安全行业里的专家。如今它拥有一个健全的文件管理机制，并且在HackerOne上成立一个bug赏金项目。PornHub会支付50$（XSS漏洞）~150$（远程Shell/命令执行）不等的奖励给发现各种漏洞的白帽子。

针对DDoS攻击的发现
当我在Twitter上看到美国东海岸地区Twitter和亚马逊停运的根本原因是单点故障时，我终于按耐不住，决定做一点研究。

这是输出“dig -t NS ____”的命令，在这个空里填入以下几个网站

NSA.gov
NSA-Dig.png

上图展示了NSA（美国国家安全局）使用6个不同的DNS服务器，这些服务器似乎都属于Akamai。 Akamai是一个著名的、受人尊敬的内容分发网络（CDN）。它通常提供了一些防DoS攻击的保护。由于NSA是一个有争议的政府实体，它可能经常遭受DoS和其他攻击尝试。注意，实际的NSA.gov网站不直接绑定到机密的系统，所以攻击这个网站比泄露经过分类且敏感信息更具有政治、象征意义。

从根本上说，NSA用这么多DNS服务器乃是一种冗余策略。他们确实有各种DNS服务器，但都是来自Akamai。虽然NSA.gov这个网站不影响NSA的运作，但这种做法是不提倡的。假如NSA.gov是一家实体公司的网站，尤其是电子商务或社交媒体，这可能是灾难性的。

NSA-Geo.png

注：这里的亚特兰大的PIN是错的，这是我查询的地址而UI没有清除这个PIN。

这张图显示了NSA.gov的外部DNS服务器的地理分布，这些地理分布只是根据IP地址，并没有考虑集群或者负载均衡的问题。有几台主机部署在瑞士，2台部署在法国，1台在堪萨斯。讽刺的是，NSA作为美国政府的实体、典型的政策机构，居然违反了FISMA（美国联邦信息安全管理法）所规定的‘美国政府禁止使用境外计算机资产’。有些时候FVEY国家（美国，英国，加拿大，澳大利亚和新西兰）也有例外。

这种分散的地理分布对于灾后恢复以及公司发展商业持续性是极好的。攻击事件在以上所有地区同时发生的可能性很低，接近于0。如果其中一台服务器因为DoS或是DDoS攻击而离线，其他服务器可以接管它的任务。我听说Akamai在Brian Krebs DDoS攻击中吸取了经验，那一次攻击让他们合理的改善了基础设施和应对对策。

Facebook.com
Facebook-Dig.png

Facebook管辖他们所有的外部服务器，取代业务外包。这是和其他几家网站不同的地方。我起初只搜索了IPV4地址，但要注意的是Facebook的IPV6地址包括“face：booc”。从这个角度来说，如果Facebook并没有使用集群，那么这种方式并不能算完全健康。

让我们进一步了解这些IP的地理位置。

Facebook-Geo.png

注：这里的亚特兰大的PIN是错的，这是我查询的地址而UI没有清除这个PIN。

我很震惊，他们只有在加利福尼亚的服务器。距离总部洛杉矶有相当远的距离。但是受到自然或人为灾害影响时又不够远，比如说飓风、地震、内乱、恐怖袭击等。当我再进行IPV6扫描时，发现了曼尼托巴是一个可以确定的位置。

我记得在我考CISSP-ISSMP的时候学到曼尼托巴这个地方是灾难恢复之都，当地的天气稳定到可谓“无聊”的地步。当然，曼尼托巴离加利福尼亚州，纽约，德克萨斯州等地也够远。随着我们工作的进展，将来你会看到更多的服务区设置在曼尼托巴。

Twitter.com
Twitter-Dig.png

Twitter的某些用户曾在Dyn DDoS攻击中离线，虽然我是在Dyn DDoS之后对此进行分析，但图片里的DNS记录中可以看出他们现在同时存在各种DNS提供商。如果再次发生Dyn DDoS攻击，这些措施应该能够帮助减轻流量负担。让我们看看他们的地理位置。

Twitter-Geo.png

注：这里的亚特兰大的PIN是错的，这是我查询的地址而UI没有清除这个PIN。

Twitter同样将服务器设在了曼尼托巴，我也同样是在Dyn DDoS攻击之后展开的分析，这表明Twitter在役的服务器有西雅图，新罕布什尔和马尼托巴。如果其冗余方案设置合理，那么这种分布方式还是相当不错的。在DDoS攻击期间，西海岸的用户没有受到影响，就是因为这台西雅图服务器。目前有多个新罕布什尔州的服务器。我在攻击前不能说太多。

porn.com
Pornhub-Dig.png

PornHub如今已经证明了自己是一家更注重安全的互联网公司，虽然它不是技术公司，但安全已经成为业务战略中核心的支持原则。当然这取决于编码、用户帐户、上传/提取操作的可用性。PornHub似乎想要牢牢抓住安全。除了我之前提到的bug赏金计划之外，他们还有一组多样化的IP、服务器和提供商。

Pornhub-Geo.png

注：这里的亚特兰大的PIN是错的，这是我查询的地址而UI没有清除这个PIN。

和Twitter、Facebook一样，PornHub也在曼尼托巴部署了服务器，不过它多加了两台服务器。虽然这种分布方式本身并不理想，但是有足够的冗余服务器（理论上）提供必要的冗余。因此，我没有在以上这些网站的具体流量统计信息，我可以提供我对在以上这些网站上执行DDOS攻击的预测分析：

1.Facebook可能会因为有变态想要在DDoS攻击成功后嘲讽Facebook而受到此类攻击，最终导致社交系统瘫痪

2.在作为攻击目标这一点上，Twitter和Facebook是半斤八两的

3.NSA可以针对攻击Facebook的那种变态，但最有可能是出于政治或黑客理性的原因。这是特别的情况，因为（理论上）没有分类信息驻留在该域。

4.Pornhub可能会因为类似的原因收获与Facebook和Twitter相同的命运，也可能会是反色情道德运动的产物。

商业持续性和灾难恢复的观察
我提到的这些公司在性质上是弹性的，并且启动了业务连续性和灾难恢复计划，以保持业务的在线和盈利。这些案列BCP/DRP/应急计划（CP）/操作连续性（COOP）如此重要的最好证明。总之，关于这个话题我有很多的想法，出于它涉及到BCP/DRP/CP/COOP和弹性的考虑，我想写一个单独的博客文章来提供一个安全的视角。

*参考来源：advanced，FB小编bimeover编译，转载请注明来自Freebuf.COM

bimeover
bimeover
52 篇文章
等级： 6级
||
上一篇：2017年信息安全部门的工作会是什么样？下一篇：蜜罐揭秘真实的Mirai僵尸网络
这些评论亮了

YIZ 回复
呵呵,phub可是最早大规模部署websocket广告来绕过adblock插件的
)16(亮了

raistlin00 (5级)回复
又学习到了一个网址
)15(亮了
发表评论已有 16 条评论

放逐33 (4级) 别说我懒，我写了十个字。 2017-01-05回复 1楼
我来了

亮了(1)

raistlin00 (5级) 2017-01-05回复 2楼
又学习到了一个网址

亮了(15)

YIZ 2017-01-05回复 3楼
呵呵,phub可是最早大规模部署websocket广告来绕过adblock插件的

亮了(16)

HappyQQ 2017-01-05回复 4楼
老司机……

亮了(1)

95_cn 2017-01-05回复 5楼
还有暗网

亮了(0)

咸鱼干能做好吃的茄子煲 2017-01-05回复 6楼
前车之鉴的1024 （不过草榴比较惨直接台湾机房着火[二哈]）

亮了(0)

王宇_宇是宇宙的宇 2017-01-05回复 7楼
你是大胃王我知道的

亮了(0)

hjcsdc (1级) 2017-01-05回复 8楼
mark

亮了(2)

godog431 (1级) 2017-01-06回复 9楼
lao b？

亮了(0)

nbawrl (3级) 2017-01-06回复 10楼
我是通过freebuf才知道的这些网站，开卷有益啊

亮了(3)

sarski (2级) 2017-01-06回复 11楼
看到标题进来的，，，，，结果你特么就给我看这个？！！！！！！！好气哦！！！！！

亮了(0)

bimeover (6级) 膜导师学徒 2017-01-06回复
@ sarski 来Freebuf上车是不是哪里搞错了 :?:

亮了(0)

llopppp 认证作者(4级) FreeBuf认证萌物专业的卖萌不专业的前端Java 2017-01-06回复
@ bimeover 用着我老婆图做头像的你竟然是膜导师这个是不是有啥搞错了？

亮了(0)

bimeover (6级) 膜导师学徒 2017-01-06回复
@ llopppp 可怜的惠痴

亮了(2)

doubi多 (1级) 2017-01-06回复 12楼
fb开车指日可待

亮了(4)

north 2017-01-09回复 13楼
显示IP物理地址这个是什么网站。

亮了(0)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
bimeover
bimeover

膜导师学徒

52
文章数
19
评论数
最近文章
近期正热的Word 0day漏洞已经被用于恶意软件散播和国家攻击
2017.04.14

黑客利用Apache Struts 2漏洞在服务器上传递Cerberus勒索软件
2017.04.14

Word曝0day漏洞：无需启用宏，打开文档就自动安装恶意程序
2017.04.10

浏览更多
相关阅读
一个小白用户的愤怒：铁通广告奇遇记CloudFlare防护下的破绽：寻找真实IP的几条途径卡巴斯基关于勒索软件的总结：2017年勒索软件的故事Facebook事件后的思考：浅谈企业安全教育实践如何阻止下一次心脏出血漏洞
特别推荐

关注我们分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

全国最大成人网站

文章评论