一、相關(guān)背景

目前，市面上的WAF產(chǎn)品通常采用”發(fā)現(xiàn)即阻斷“的策略，以防護(hù)針對業(yè)務(wù)系統(tǒng)的Web攻擊行為。雖然該策略可及時(shí)阻斷攻擊，但形式上過于簡單，并不能有效掌握攻擊者進(jìn)一步的攻擊意圖，也不能有效提高攻擊者的成本投入。本文借鑒蜜罐的思想，構(gòu)思一種融合欺騙技術(shù)的WAF系統(tǒng)，目的是為現(xiàn)有WAF提供一種設(shè)計(jì)思路。相對于傳統(tǒng)WAF，本文所述WAF不僅具有傳統(tǒng)WAF的功能，同時(shí)可識(shí)別并追蹤攻擊者。

如圖1所示，WAF系統(tǒng)以串聯(lián)方式部署在業(yè)務(wù)系統(tǒng)的前面，用于對來自互聯(lián)網(wǎng)的流量進(jìn)行檢測：當(dāng)發(fā)現(xiàn)客戶請求為正常流量時(shí)，則將其轉(zhuǎn)發(fā)給業(yè)務(wù)服務(wù)區(qū)部署的“真實(shí)業(yè)務(wù)系統(tǒng)”，從而為正常用戶提供所需的互聯(lián)網(wǎng)服務(wù)；當(dāng)發(fā)現(xiàn)客戶請求為惡意流量時(shí)，則會(huì)對攻擊源進(jìn)行唯一性標(biāo)記，并把該客戶端的流量通過NGINX集群牽引到鏡像服務(wù)區(qū)部署的“鏡像業(yè)務(wù)系統(tǒng)”。

圖1 WAF部署模式和運(yùn)行流程

1.業(yè)務(wù)服務(wù)區(qū)：部署有“真實(shí)業(yè)務(wù)系統(tǒng)”，用于處理正常用戶的訪問請求。如果“潛在攻擊者”不對系統(tǒng)發(fā)起攻擊，那么其訪問請求會(huì)被轉(zhuǎn)發(fā)到真實(shí)的業(yè)務(wù)服務(wù)區(qū)。只是一旦其發(fā)起攻擊行為，便會(huì)被WAF標(biāo)記為“攻擊源”，并進(jìn)行唯一性標(biāo)記，那么其當(dāng)前、及后續(xù)訪問請求都會(huì)被牽引到鏡像服務(wù)區(qū)。由于“鏡像業(yè)務(wù)系統(tǒng)”的前端展示和業(yè)務(wù)功能與“真實(shí)業(yè)務(wù)系統(tǒng)”沒有區(qū)別，所以整個(gè)牽引過程對攻擊者是無感的。

2.鏡像服務(wù)區(qū)：部署有“鏡像業(yè)務(wù)系統(tǒng)”，用于處理攻擊者的訪問請求。如前所述，該系統(tǒng)的前端展示和業(yè)務(wù)功能與“真實(shí)業(yè)務(wù)系統(tǒng)”沒有區(qū)別，在使用過程中很難區(qū)分，同時(shí)做了數(shù)據(jù)脫敏處理、偽造了一些常見漏洞點(diǎn)。此外，為了防止攻擊者在獲取鏡像服務(wù)區(qū)的機(jī)器權(quán)限后，以此為跳板，對業(yè)務(wù)服務(wù)區(qū)發(fā)起攻擊，部署時(shí)要求鏡像服務(wù)區(qū)與業(yè)務(wù)服務(wù)區(qū)需完全隔離，最好是物理層面的隔離。

3.欺騙服務(wù)區(qū)：部署有各種“欺騙性系統(tǒng)”，用于引誘黑客在內(nèi)網(wǎng)橫行滲透過程中的攻擊。“欺騙服務(wù)區(qū)”本質(zhì)是一個(gè)蜜網(wǎng)，其目的是為了更長時(shí)間的浪費(fèi)攻擊者的時(shí)間與精力，更多的掌握攻擊者的行為、手段、技能，更大程度上使攻擊者漏出馬腳、從而溯源其身份。比如：在數(shù)據(jù)庫中存儲(chǔ)一些偽造的、帶有標(biāo)記性特征的“高價(jià)值客戶數(shù)據(jù)”，一旦被攻擊者拿到并在網(wǎng)上售賣，則可對攻擊者做進(jìn)一步的溯源；在系統(tǒng)中放置一些偽造的、帶有木馬功能的“敏感文件”，一旦被攻擊者拖回并打開，則可反向控制攻擊者的客戶端。

備注：鏡像服務(wù)區(qū)、欺騙服務(wù)區(qū)可部署在阿里云、騰訊云等公有云平臺(tái)上（或者其它隔離環(huán)境），本地IDC通過NGINX集群將識(shí)別到的攻擊流量轉(zhuǎn)發(fā)到這些區(qū)域。

二、系統(tǒng)設(shè)計(jì)

本文所述WAF的核心功能包括五個(gè)模塊，分別是：流量檢測模塊、終端標(biāo)記模塊、流量分發(fā)模塊、漏洞配置模塊、指紋采集模塊。（只是個(gè)人想法，可根據(jù)實(shí)際擴(kuò)展）

圖2 WAF概要設(shè)計(jì)和核心模塊

1.流量檢測模塊：不僅具備常規(guī)WAF的通用功能，如：SQL注入檢測、XSS漏洞檢測、代碼執(zhí)行檢測、文件上傳檢測等，同時(shí)還具備“攻擊源標(biāo)記查驗(yàn)”功能，目的是判斷請求流量中是否帶有“終端標(biāo)記模塊”下發(fā)的攻擊源標(biāo)記字段。如果請求流量中帶有攻擊源標(biāo)記字段, 表明該請求是“已被標(biāo)記為攻擊源”的客戶端發(fā)起的，則直接將該請求經(jīng)NGINX集群牽引至“鏡像業(yè)務(wù)系統(tǒng)”；如果請求流量中沒有攻擊源標(biāo)記，表明該請求是正常的客戶端發(fā)起的，則會(huì)繼續(xù)判斷是否帶有攻擊特征。

2.終端標(biāo)記模塊：用于對發(fā)起惡意請求的客戶端進(jìn)行標(biāo)記。當(dāng)流量檢測模塊發(fā)現(xiàn)當(dāng)前請求為惡意請求時(shí)，便會(huì)調(diào)用終端標(biāo)記模塊在HTTP響應(yīng)包中插入標(biāo)記字段，以對發(fā)起該請求的客戶端進(jìn)行唯一性標(biāo)記。其中，插入標(biāo)記字段的功能是通過set-cookie實(shí)現(xiàn)的，該特征字符串會(huì)反向到達(dá)、并存儲(chǔ)在攻擊者的瀏覽器中。由于該cookie值的過期時(shí)間設(shè)置為永久，因此只要不手動(dòng)清除，瀏覽器隨后訪問目標(biāo)網(wǎng)站的所有請求都會(huì)帶上該字段。（格式： trackid=32位隨機(jī)字符串，形如：trackid =92f4ac47-527b-11eb-ba1b-f45c89c42263）

3.流量分發(fā)模塊：用于根據(jù)“流量檢測模塊”的判定結(jié)果信息、以及WAF系統(tǒng)中配置的路由信息，將訪問請求分發(fā)到“真實(shí)業(yè)務(wù)系統(tǒng)”或“鏡像業(yè)務(wù)系統(tǒng)”。其中，如果是“已知攻擊源發(fā)起的請求”或“某客戶端初次發(fā)起的惡意請求”，則將其經(jīng)NGINX集群牽引到“鏡像業(yè)務(wù)系統(tǒng)”；如果是 “正?？蛻舳税l(fā)起的請求”，則將其牽引到“真實(shí)業(yè)務(wù)系統(tǒng)”。對客戶端而言，整個(gè)過程是完全透明的，且需要攻擊者通過瀏覽器發(fā)起請求。

4.漏洞配置模塊：用于在“鏡像業(yè)務(wù)系統(tǒng)中”中以“插件化”形式配置偽造的漏洞點(diǎn)，目的就是讓黑客發(fā)現(xiàn)并對其攻擊。其中，在部署漏洞前，可通過虛擬機(jī)鏡像手段將業(yè)務(wù)系統(tǒng)從“業(yè)務(wù)服務(wù)區(qū)”克隆到了“鏡像服務(wù)區(qū)”，并做好數(shù)據(jù)脫敏工作。在配置漏洞點(diǎn)的時(shí)候，漏洞配置模塊可將事先構(gòu)建好的漏洞文件下發(fā)到“鏡像業(yè)務(wù)系統(tǒng)”服務(wù)器。（該功能可作為WAF的一部分，或者獨(dú)立于WAF部署）

5.指紋采集模塊：用于采集攻擊者的客戶端設(shè)備指紋信息，攻擊者的第三方平臺(tái)賬號(hào)、鍵盤記錄、訪問過的網(wǎng)站等信息。其中，整個(gè)過程是通過在“鏡像業(yè)務(wù)系統(tǒng)”的返回頁面中插入溯源腳步（JavaScript代碼）實(shí)現(xiàn)的。當(dāng)溯源腳本反向到達(dá)攻擊源客戶端、并被瀏覽器解析執(zhí)行后，便會(huì)將相關(guān)的指紋信息回送給WAF系統(tǒng)。其中，采集信息的豐富度一定程度上依賴于攻擊者的操作。

三、運(yùn)行流程

WAF在對互聯(lián)網(wǎng)邊界流量處理的過程，其主要流程如圖3所示，具體步驟如下：

圖3 WAF對網(wǎng)絡(luò)流量處理流程

1.基于“流量檢測模塊”查驗(yàn)流量中是否帶有“攻擊源標(biāo)記”。如果沒有，則進(jìn)入步驟2；如果有，則表明當(dāng)前請求是已被標(biāo)記為攻擊源的客戶端發(fā)起的，則跳轉(zhuǎn)到步驟4。

2.基于“流量檢測模塊”檢測流量中是否帶有攻擊行為特征。如果沒有，則表明當(dāng)前請求是正常用戶發(fā)起的，則跳轉(zhuǎn)至步驟5；如果有，則進(jìn)入步驟3。

3.基于“終端標(biāo)記模塊”對當(dāng)前網(wǎng)絡(luò)請求進(jìn)行標(biāo)記，并在對應(yīng)的響應(yīng)報(bào)文中通過set-cookie的方式插入攻擊源標(biāo)記字符串。

4.基于“流量分發(fā)模塊”模塊將網(wǎng)絡(luò)流量轉(zhuǎn)發(fā)至“鏡像業(yè)務(wù)系統(tǒng)”。其中，該步驟處理的流量為“已知攻擊源”與“新的攻擊源”發(fā)起的網(wǎng)絡(luò)請求。

5.基于“流量分發(fā)模塊”模塊將網(wǎng)絡(luò)流量轉(zhuǎn)發(fā)至“真實(shí)業(yè)務(wù)系統(tǒng)”。其中，該步驟處理的流量為正常用戶使用的客戶端發(fā)起的網(wǎng)絡(luò)請求。備注：對于攻擊源而言，一旦被WAF標(biāo)記，其當(dāng)前請求以及后續(xù)發(fā)起的網(wǎng)絡(luò)請求，無論是否帶有惡意特征，都會(huì)被轉(zhuǎn)發(fā)到“鏡像業(yè)務(wù)系統(tǒng)”。

四、總結(jié)歸納

整體而言，本文所述WAF從“潛在攻擊識(shí)別、溯源取證分析"等方面彌補(bǔ)了傳統(tǒng)WAF的不足，即保護(hù)了業(yè)務(wù)系統(tǒng)的安全性，又具備一定的溯源取證的能力。其優(yōu)點(diǎn)在于：

1.可以避免攻擊者對業(yè)務(wù)系統(tǒng)的潛在攻擊：當(dāng)識(shí)別到攻擊流量后，WAF可基于“終端標(biāo)記模塊”對攻擊源進(jìn)行唯一性標(biāo)記，進(jìn)而將同一攻擊源的當(dāng)前流量、以及后續(xù)流量牽引到“鏡像業(yè)務(wù)系統(tǒng)”，從而避免攻擊者對真實(shí)業(yè)務(wù)系統(tǒng)的潛在攻擊行為。

2.可消耗攻擊者的時(shí)間以及攻擊者的精力：無論何種目的、何種手段，所有的攻擊行為都是需要投入時(shí)間和精力的。由于攻擊行為被識(shí)別、牽引到了“鏡像業(yè)務(wù)系統(tǒng)”，使得攻擊者將時(shí)間、精力消耗在對“鏡像業(yè)務(wù)系統(tǒng)”的攻擊上，因此整個(gè)攻擊過程對真實(shí)的業(yè)務(wù)系統(tǒng)是無效的，相對降低了黑客的有效攻擊成果。

備注：本文所描述的思路需要一定的先驗(yàn)條件，即：攻擊者使用瀏覽器（或配合Burp）對目標(biāo)系統(tǒng)進(jìn)行測試（目的是在Cookie中設(shè)置追蹤ID）。除了基于追蹤ID來判斷請求是否由攻擊者發(fā)起之外，也可基于“時(shí)間、源IP、目標(biāo)IP”的方式進(jìn)行判斷，這樣就不用考慮是否使用瀏覽器的問題了，只是有一定的誤報(bào)。當(dāng)然，沒有一種技術(shù)是完美的，本文只是描述一種Web防護(hù)的思路。