unknown+unknown+unknown=>uncertain threat,通过这种架构,系统不再依赖于单一的静态防御,而是借助动态变化来让攻击者难以找到可利用的固定漏洞。系统通过持续改变自身的运行环境,包括操作系统、软件版本、网络协议甚至硬件架构等,增加了攻击的难度。每一个“unknown”代表系统中的不同维度的不确定性,通过多样性和随机性的引入,逐渐将未知风险控制在一定范围内,并最终将攻击成功的概率压缩至极低水平,这在打攻防的时候会有很大优处,有一定的概率渗透不进系统
在攻击过程中,攻击者既暴露了自己的行为,又逐渐显露出自己想要攻击的目标是什么,并且在攻击过程中,多个后端的不同回显会导致系统自动检测出不一致的行为,并进行报警,长亭的雷池社区waf就有类似的功能,这种机制不仅可以让攻击者的行为更加透明化,还通过逐步缩小攻击者成功的窗口,将威胁锁定在极低的概率区间
这里简单写了一份Nginx配置文件供大家参考
http {upstream test_backend {server test-server-1.icecliffs.cn;server test-fake-server-2.icecliffs.cn;server test-server-3.icecliffs.cn;server test-fake-server-2.icecliffs.cn;server test-server-3.icecliffs.cn;}server {listen 80;server_name www.icecliffs.cn;location / {proxy_pass http://test_backend;proxy_set_header Host $host;proxy_set_header X-Real-IP $remote_addr;proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;proxy_set_header X-Forwarded-Proto $scheme;add_header Cache-Control no-store;}}}
搭配雷池WAF食用更佳(大概,也许?可能?运用jumping不等式,主=6)同理我们还可以设想一个场图软件都是可被入侵在短时间内入软委派错误的导航成一通瘫痪
Reference
-
拟态安全主动防御技术简介 - https://www.zjsee.org/detailr/id-783.html
原文始发于微信公众号(Gh0xE9):击拟态美中的动态异构冗余架构与攻防实战应用
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论