写在前面

　　2016年你应该听说过几起严重的DDoS攻击事件，其中，有两起让人印象比较深刻。第一起是Brian Krebs受到620Gb/s的DDoS攻击，第二期起是更受关注的Dyn(DNS服务提供商)事件，那次DDoS攻击使得Twitter、亚马逊以及其他美国东海岸的Dyn设备瘫痪。

　　经过深入调查以及缜密思考，我发现PornHub(国外最大的成人网站)在安全方面似乎比某些‘安全’公司做的还要好一些。这篇文章的目的是分析这些公司做了什么以及目前它在整个技术行业的水准。

　　我的分析

　　总体观察

　　对于所有组织机构来说，这也许是一次lesson，PornHub这样一个看上去无安全、无技术(这里的无技术不包括编码、影视产业方面)的公司逐渐成为安全行业里的专家。如今它拥有一个健全的文件管理机制，并且在HackerOne上成立一个bug赏金项目。PornHub会支付50$(XSS漏洞)~150$(远程Shell/命令执行)不等的奖励给发现各种漏洞的白帽子。

　　针对DDoS攻击的发现

　　当我在Twitter上看到美国东海岸地区Twitter和亚马逊停运的根本原因是单点故障时，我终于按耐不住，决定做一点研究。

　　这是输出“dig -t NS ____”的命令，在这个空里填入以下几个网站

　　NSA.gov
 

　　上图展示了NSA(美国国家安全局)使用6个不同的DNS服务器，这些服务器似乎都属于Akamai。 Akamai是一个著名的、受人尊敬的内容分发网络(CDN)。 它通常提供了一些防DoS攻击的保护。 由于NSA是一个有争议的政府实体，它可能经常遭受DoS和其他攻击尝试。注意，实际的NSA.gov网站不直接绑定到机密的系统，所以攻击这个网站比泄露经过分类且敏感信息更具有政治、象征意义。

　　从根本上说，NSA用这么多DNS服务器乃是一种冗余策略。 他们确实有各种DNS服务器，但都是来自Akamai。 虽然NSA.gov这个网站不影响NSA的运作，但这种做法是不提倡的。 假如NSA.gov是一家实体公司的网站，尤其是电子商务或社交媒体，这可能是灾难性的。
 

　　注：这里的亚特兰大的PIN是错的，这是我查询的地址而UI没有清除这个PIN。

　　这张图显示了NSA.gov的外部DNS服务器的地理分布，这些地理分布只是根据IP地址，并没有考虑集群或者负载均衡的问题。有几台主机部署在瑞士，2台部署在法国，1台在堪萨斯。讽刺的是，NSA作为美国政府的实体、典型的政策机构，居然违反了FISMA(美国联邦信息安全管理法)所规定的‘美国政府禁止使用境外计算机资产’。有些时候FVEY国家(美国，英国，加拿大，澳大利亚和新西兰)也有例外。

　　这种分散的地理分布对于灾后恢复以及公司发展商业持续性是极好的。攻击事件在以上所有地区同时发生的可能性很低，接近于0。如果其中一台服务器因为DoS或是DDoS攻击而离线，其他服务器可以接管它的任务。我听说Akamai在Brian Krebs DDoS攻击中吸取了经验，那一次攻击让他们合理的改善了基础设施和应对对策。

　　Facebook.com
 

　　Facebook管辖他们所有的外部服务器，取代业务外包。这是和其他几家网站不同的地方。我起初只搜索了IPV4地址，但要注意的是Facebook的IPV6地址包括“face：booc”。从这个角度来说，如果Facebook并没有使用集群，那么这种方式并不能算完全健康。

　　让我们进一步了解这些IP的地理位置。
 

　　注：这里的亚特兰大的PIN是错的，这是我查询的地址而UI没有清除这个PIN。

　　我很震惊，他们只有在加利福尼亚的服务器。距离总部洛杉矶有相当远的距离。但是受到自然或人为灾害影响时又不够远，比如说飓风、地震、内乱、恐怖袭击等。当我再进行IPV6扫描时，发现了曼尼托巴是一个可以确定的位置。

　　我记得在我考CISSP-ISSMP的时候学到曼尼托巴这个地方是灾难恢复之都，当地的天气稳定到可谓“无聊”的地步。当然，曼尼托巴离加利福尼亚州，纽约，德克萨斯州等地也够远。随着我们工作的进展，将来你会看到更多的服务区设置在曼尼托巴。

　　Twitter.com
 

　　Twitter的某些用户曾在Dyn DDoS攻击中离线，虽然我是在Dyn DDoS之后对此进行分析，但图片里的DNS记录中可以看出他们现在同时存在各种DNS提供商。如果再次发生Dyn DDoS攻击，这些措施应该能够帮助减轻流量负担。 让我们看看他们的地理位置。
 

　　注：这里的亚特兰大的PIN是错的，这是我查询的地址而UI没有清除这个PIN。

　　Twitter同样将服务器设在了曼尼托巴，我也同样是在Dyn DDoS攻击之后展开的分析，这表明Twitter在役的服务器有西雅图，新罕布什尔和马尼托巴。如果其冗余方案设置合理，那么这种分布方式还是相当不错的。在DDoS攻击期间，西海岸的用户没有受到影响，就是因为这台西雅图服务器。目前有多个新罕布什尔州的服务器。 我在攻击前不能说太多。

　　porn.com
 

　　PornHub如今已经证明了自己是一家更注重安全的互联网公司，虽然它不是技术公司，但安全已经成为业务战略中核心的支持原则。当然这取决于编码、用户帐户、上传/提取操作的可用性。PornHub似乎想要牢牢抓住安全。除了我之前提到的bug赏金计划之外，他们还有一组多样化的IP、服务器和提供商。
 

　　注：这里的亚特兰大的PIN是错的，这是我查询的地址而UI没有清除这个PIN。

　　和Twitter、Facebook一样，PornHub也在曼尼托巴部署了服务器，不过它多加了两台服务器。虽然这种分布方式本身并不理想，但是有足够的冗余服务器(理论上)提供必要的冗余。因此，我没有在以上这些网站的具体流量统计信息，我可以提供我对在以上这些网站上执行DDOS攻击的预测分析：

　　1.Facebook可能会因为有变态想要在DDoS攻击成功后嘲讽Facebook而受到此类攻击，最终导致社交系统瘫痪

　　2.在作为攻击目标这一点上，Twitter和Facebook是半斤八两的

　　3.NSA可以针对攻击Facebook的那种变态，但最有可能是出于政治或黑客理性的原因。 这是特别的情况，因为(理论上)没有分类信息驻留在该域。

　　4.Pornhub可能会因为类似的原因收获与Facebook和Twitter相同的命运，也可能会是反色情道德运动的产物。

　　商业持续性和灾难恢复的观察

　　我提到的这些公司在性质上是弹性的，并且启动了业务连续性和灾难恢复计划，以保持业务的在线和盈利。这些案列BCP/DRP/应急计划(CP)/操作连续性(COOP)如此重要的最好证明。总之，关于这个话题我有很多的想法，出于它涉及到BCP/DRP/CP/COOP和弹性的考虑，我想写一个单独的博客文章来提供一个安全的视角。

(责任编辑：宋编辑)