全球最大成人網站安全做得很不錯……

寫在前面

2016年你應該聽說過幾起嚴重的DDoS攻擊事件，其中，有兩起讓人印象比較深刻。第一起是Brian Krebs受到620Gb/s的DDoS攻擊，第二期起是更受關注的Dyn（DNS服務提供商）事件，那次DDoS攻擊使得Twitter、亞馬遜以及其他美國東海岸的Dyn設備癱瘓。

經過深入調查以及縝密思考，我發現PornHub（國外最大的成人網站）在安全方面似乎比某些『安全』公司做的還要好一些。這篇文章的目的是分析這些公司做了什麼以及目前它在整個技術行業的水準。

我的分析

總體觀察

對於所有組織機構來說，這也許是一次lesson，PornHub這樣一個看上去無安全、無技術（這裡的無技術不包括編碼、影視產業方面）的公司逐漸成為安全行業里的專家。

如今它擁有一個健全的文件管理機制，並且在HackerOne上成立一個bug賞金項目。PornHub會支付50$（XSS漏洞）~150$（遠程Shell/命令執行）不等的獎勵給發現各種漏洞的白帽子。

針對DDoS攻擊的發現

當我在Twitter上看到美國東海岸地區Twitter和亞馬遜停運的根本原因是單點故障時，我終於按耐不住，決定做一點研究。

這是輸出「dig -t NS ____」的命令，在這個空里填入以下幾個網站

NSA.gov

上圖展示了NSA（美國國家安全局）使用6個不同的DNS伺服器，這些伺服器似乎都屬於Akamai。 Akamai是一個著名的、受人尊敬的內容分發網路（CDN）。

它通常提供了一些防DoS攻擊的保護。 由於NSA是一個有爭議的政府實體，它可能經常遭受DoS和其他攻擊嘗試。

注意，實際的NSA.gov網站不直接綁定到機密的系統，所以攻擊這個網站比泄露經過分類且敏感信息更具有政治、象徵意義。

從根本上說，NSA用這麼多DNS伺服器乃是一種冗餘策略。 他們確實有各種DNS伺服器，但都是來自Akamai。

雖然NSA.gov這個網站不影響NSA的運作，但這種做法

是不提倡的

註：這裡的亞特蘭大的PIN是錯的，這是我查詢的地址而UI沒有清除這個PIN。

這張圖顯示了NSA.gov的外部DNS伺服器的地理分布，這些地理分布只是根據IP地址，並沒有考慮集群或者負載均衡的問題。有幾台主機部署在瑞士，2台部署在法國，1台在堪薩斯。

諷刺的是，NSA作為美國政府的實體、典型的政策機構，居然違反了FISMA（美國聯邦信息安全管理法）所規定的『美國政府禁止使用境外計算機資產』。有些時候FVEY國家（美國，英國，加拿大，澳大利亞和紐西蘭）也有例外。

這種分散的地理分布對於災後恢復以及公司發展商業持續性是極好的。攻擊事件在以上所有地區同時發生的可能性很低，接近於0。

如果其中一台伺服器因為DoS或是DDoS攻擊而離線，其他伺服器可以接管它的任務。我聽說Akamai在Brian Krebs DDoS攻擊中吸取了經驗，那一次攻擊讓他們合理的改善了基礎設施和應對對策。

Facebook.com

Facebook管轄他們所有的外部伺服器，取代業務外包。這是和其他幾家網站不同的地方。

我起初只搜索了IPV4地址，但要注意的是Facebook的IPV6地址包括「face：booc」。從這個角度來說，如果Facebook並沒有使用集群，那麼這種方式並不能算完全健康。

讓我們進一步了解這些IP的地理位置。

註：這裡的亞特蘭大的PIN是錯的，這是我查詢的地址而UI沒有清除這個PIN。

我很震驚，他們只有在加利福尼亞的伺服器。距離總部洛杉磯有相當遠的距離。但是受到自然或人為災害影響時又不夠遠，比如說颶風、地震、內亂、恐怖襲擊等。當我再進行IPV6掃描時，發現了曼尼托巴是一個可以確定的位置。

我記得在我考CISSP-ISSMP的時候學到曼尼托巴這個地方是災難恢復之都，當地的天氣穩定到可謂「無聊」的地步。

當然，曼尼托巴離加利福尼亞州，紐約，德克薩斯州等地也夠遠。隨著我們工作的進展，將來你會看到更多的服務區設置在曼尼托巴。

Twitter.com

Twitter的某些用戶曾在Dyn DDoS攻擊中離線，雖然我是在Dyn DDoS之後對此進行分析，但圖片里的DNS記錄中可以看出他們現在同時存在各種DNS提供商。如果再次發生Dyn DDoS攻擊，這些措施應該能夠幫助減輕流量負擔。

讓我們看看他們的地理位置。

註：這裡的亞特蘭大的PIN是錯的，這是我查詢的地址而UI沒有清除這個PIN。

Twitter同樣將伺服器設在了曼尼托巴，我也同樣是在Dyn DDoS攻擊之後展開的分析，這表明Twitter在役的伺服器有西雅圖，新罕布希爾和馬尼托巴。如果其冗餘方案設置合理，那麼這種分布方式還是相當不錯的。

在DDoS攻擊期間，西海岸的用戶沒有受到影響，就是因為這台西雅圖伺服器。目前有多個新罕布希爾州的伺服器。 我在攻擊前不能說太多。

porn.com

PornHub如今已經證明了自己是一家更注重安全的互聯網公司，雖然它不是技術公司，但安全已經成為業務戰略中核心的支持原則。

當然這取決於編碼、用戶帳戶、上傳/提取操作的可用性。PornHub似乎想要牢牢抓住安全。除了我之前提到的bug賞金計劃之外，他們還有一組多樣化的IP、伺服器和提供商。

註：這裡的亞特蘭大的PIN是錯的，這是我查詢的地址而UI沒有清除這個PIN。

和Twitter、Facebook一樣，PornHub也在曼尼托巴部署了伺服器，不過它多加了兩台伺服器。雖然這種分布方式本身並不理想，但是有足夠的冗餘伺服器（理論上）提供必要的冗餘。

因此，我沒有在以上這些網站的具體流量統計信息，我可以提供我對在以上這些網站上執行DDOS攻擊的預測分析：

1.Facebook可能會因為有變態想要在DDoS攻擊成功後嘲諷Facebook而受到此類攻擊，最終導致社交系統癱瘓

2.在作為攻擊目標這一點上，Twitter和Facebook是半斤八兩的

3.NSA可以針對攻擊Facebook的那種變態，但最有可能是出於政治或黑客理性的原因。 這是特別的情況，因為（理論上）沒有分類信息駐留在該域。

4.Pornhub可能會因為類似的原因收穫與Facebook和Twitter相同的命運，也可能會是反色情道德運動的產物。

商業持續性和災難恢復的觀察

我提到的這些公司在性質上是彈性的，並且啟動了業務連續性和災難恢復計劃，以保持業務的在線和盈利。

這些案列BCP/DRP/應急計劃（CP）/操作連續性（COOP）如此重要的最好證明。

總之，關於這個話題我有很多的想法，出於它涉及到BCP/DRP/CP/COOP和彈性的考慮，我想寫一個單獨的博客文章來提供一個安全的視角。

*參考來源：

advanced

，FB小編bimeover編譯，轉載請註明來自Freebuf.COM