案例研究：绕过CDN/云平台被直击源IP

伴随着众多企业网络安全意识的提高，数字业务上云趋势所向，CDN 与安全厂商为企业构筑起了一面 " 安全之盾 "，将源 IP 隐藏于盾牌之后，代替企业直面黑灰产攻击者，极大地增加了 DDoS 攻击的成本。例如，腾讯云产品“SCDN”与“大禹DDOS防护”等优秀产品都保障了我们的业务正常运行。因此，部分攻击者开始尝试绕过 CDN 与云平台，直接针对源 IP 发起 DDoS 攻击。

在我们所碰到的一个案例中，某客户执行安全演练时，由于其源站 IP 暴露，遭受到了持续的 DDoS 攻击；

尤为特殊的是，客户尝试更换源 IP 并且更换服务器后，仍立即遭受到了 DDoS 攻击。

下面给出受攻击排查解决流程，可供大家参考：

·Step.1：第一时间进行已有信息的整理及分析，由于源 IP 一经更换便立即受到 DDoS 攻击，因此排除由于历史 DNS 解析导致的源 IP 泄漏；并推测很大几率是受业务本身逻辑导致（如某些子域名解析、自身特殊服务主动对外建联、网站自身敏感信息泄漏、存在 Webshell 等）

·Step.2：排查子域名关联 IP 查询，无异常

·Step.3：排查网站 Webshell，并且排查木马植入等风险；无异常

·Step.4：排查敏感文件泄露；确认由于 phpinfo 测试页面暴露，导致服务器源 IP 被攻击者跟踪查询；

本次事件，主要由于用户建站完成后，没有将敏感测试页面进行删除，导致网站自身存在源信息展示页面或接口。而这只是源 IP泄露方式的冰山一角，历史 DNS 解析记录查询、子域名查询、证书信息查询、邮箱 MX 记录查询、漏洞利用等方式，均可能导致源 IP 的泄露，并最终导致企业业务直接暴露与危机四伏的互联网之上。

在此也建议大家：企业客户上云前，建议对自身业务进行全方位资产盘点、立体化风险评估，并进行有效安全加固， 排除因自身业务问题导致的源 IP 暴露可能。最终保证 " 安全之盾 " 的稳固有效，实现企业业务的稳定可用、安全运营。