如何利用開源風控系統 TH-Nubula(星云)防止撞庫���?
“撞庫”是非常常見的一種黑產***事件��。在常見的安全防護中����,安全團隊通常會在登陸接口設置安全策略來應對***�?���?墒?�,一旦黑產更換***規則�����,就會導致策略失效����。
在這樣的情況下�����,我們需要的就不僅僅的表層的“防火墻”�,而是一套完整的業務風控系統�����,它可以有效的規避風險���,降低損失����。
在這篇文章中����,我們將介紹如何利用開源風控系統TH-Nebule(星云)防止“撞庫”***�。
文章會從“撞庫”的介紹逐漸深入到對TH-Nebula的使用���,包括:如何部署���、如何使用���、和為什么需要風控系統等�。闡述為什么需要一套“系統”去解決業務安全問題���,接著手把手教你部署本系統����,以及如何利用咱們這套風控來阻斷風險�����,并提供模擬測試demo���。
TH-Nebula是由威脅獵人開源的風控系統����,目前源碼已放在Github和Gitee上�,完全開放所有源代碼��,文檔�����,以及安裝包����。
地址:
0x00 如何防止撞庫
1.什么是撞庫�����?
說到撞庫�,先得從”社工庫”說起���,社工庫是社會工程學數據庫的簡稱�,這個數據庫里找包含了每個人的各種行為記錄(在不同網站上的賬號���、密碼��、分享的照片�、信用卡記錄����、通話記錄�、短信記錄��、開房記錄等等)�����。
所以當***想嘗試登錄某個網站或者app時����,就會用”社工庫”里的信息去挨個嘗試登錄���,”撞”出一個個正確賬號����。
2. 如何防止撞庫�?
首先從企業的web服務視角來看�,如果發現以下幾種情況��,基本可以判定是在撞庫:
一個賬號在某個較短的時間內����,有多次密碼嘗試�。
一定時間內相同密碼的出現頻次非常高
同一個IP或同一個設備�����,在短時間內使用不同賬號密碼多次嘗試登錄
在這種情況下�,最簡單粗暴的方法就是直接在登陸接口加安全策略�。
如���,
針對a情況����,就限制一天之內密碼錯誤次數�。
針對b情況�����,就針對頻率特別高的密碼禁止登錄(或者校驗手機短信/密保問題之后才能登錄)���。
針對c情況�,就對IP或者設備唯一id進行閾值限制���,如限制1分鐘內訪問登錄接口次數<50次
看起來簡單粗暴的方法是可以起到防護作用�,但實際上�,道高一尺魔高一丈���,業務安全就沒有一勞永逸的方案��。只要有利可圖的前提下����,黑灰產就會不斷的變換自己的規則����,來“攻破”業務的防護�����。
比如����,業務限制的是1分鐘訪問限制<50次����,那黑產很容易就可以改成40次就能繞過你的策略�����,這對于他來說只是改了一行代碼���。
再比如���,現在互聯網社會里���,IP資源可以說是相當廉價����,簡單就從IP角度去判定可以說非常容易被繞過��。
所以業務安全的防護不是簡單做一層“防火墻”就可以了���,是需要有一套完整的能跟黑產持續對抗的“系統”��。
這套系統除了可以自定義策略�,從各個維度在網絡流量中發現風險以外�,還得具備
對業務訪問流量的分析����、統計 ?— 方便安全人員發現新的***行為從而制定新的策略
策略的效果反饋的展示報表 ? — 方便安全人員根據策略有效性實時調整
提供除了業務本身流量外的安全情報����,如IP的代理標簽����、秒撥標簽等 ?— 直接識別高危的流量來源
TH-Nebula(星云)就是這樣一套系統���。它能夠讓企業有能力主動發現業務風險�,并快速的實施***對抗�。星云采用旁路流量的方式進行數據采集���,無需在業務邏輯上做數據埋點或侵入�����,同時支持本地私有化部署和Docker鏡像云端部署��,大大降低了使用門檻�����。
系統分為兩塊服務
1)Nebula服務:包括風控配置分析系統��,流量的接收和分析���,策略引擎���,風控web控制中心等模塊
2)Sniffer服務:流量的抓取服務
其中�����,流量的抓取服務這塊為了做到不對業務系統本身做代碼修改�����,提供了多種配置方式���。用戶可以直接在web服務機器部署�����,采用旁路流量的方式獲取流量���;也可以通過標準化nginx或其他http服務的輸出日志�,采取抓取日志的方式獲取流量
下面就以防止撞庫為例子��,一步步教你把TH-Nebula風控系統跑起來
0x01 部署TH-Nebula開源項目
如上所述Nebula開源項目分為Sniffer流量抓取服務���、Nebula服務兩塊���,建議直接采用docker方式部署���,部署參考如下github文檔:
1.Nebula服務
參考github教程部署完之后��,運行./ctrl.sh status可查看Nebula服務的運行狀態�����,如下圖則代表部署成功���,默認配置下Nebula的web控制中心是通過9001端口訪問:
Name?Command?State?Ports
--------------------------------------------------------------------------------------------------
nebula?/entrypoint.sh?/usr/bin/su?...?Up?0.0.0.0:9001->9001/tcp
nebula-aerospike?/entrypoint.sh?asd?--foreg?...?Up?3000/tcp,?3001/tcp,?3002/tcp,?3003/tcp
nebula-db?docker-entrypoint.sh?mysqld?Up?3306/tcp
nebula-redis?docker-entrypoint.sh?redis?...?Up?0.0.0.0:16379->6379/tcp
cron?RUNNING?pid?27,?uptime?4?days,?22:23:47
java_web?RUNNING?pid?33,?uptime?4?days,?22:23:47
labrador?RUNNING?pid?10286,?uptime?2?days,?21:26:41
nebula:incident_babel_db_writer?RUNNING?pid?19,?uptime?4?days,?22:23:47
nebula:nebula_db_query_web?RUNNING?pid?12,?uptime?4?days,?22:23:47
nebula:nebula_offline?RUNNING?pid?14,?uptime?4?days,?22:23:47
nebula:nebula_online?RUNNING?pid?19720,?uptime?0:29:22
nebula:nebula_query_web?RUNNING?pid?15,?uptime?4?days,?22:23:47
nebula:nebula_web?RUNNING?pid?11,?uptime?4?days,?22:23:47
nebula:notice_babel_db_writer?RUNNING?pid?13,?uptime?4?days,?22:23:47
nginx?RUNNING?pid?29,?uptime?4?days,?22:23:47
2.Sniffer服務
這里為了方便后面模擬測試�����,建議就直接采用最簡單旁路流量方式(bro驅動)啟動Sniffer服務�,即git上默認配置:
....
-?SOURCES=default
#default?driver
-?DRIVER_INTERFACE=eth0
-?DRIVER_PORT=80,8080,9001
....
說明:
把Nebula和Sniffer兩塊服務正常啟動起來���,則可通過?http://IP:9001端口的方式訪問 TH-Nebula界面了���,如圖:
2.配置防止撞庫規則
部署完Nebula服務之后�,在策略管理tag中可以看到����, Nebula系統針對賬號風險規則�,已經默認配置了基本的防撞庫策略�����。如下圖:
用戶也可以自定義新規則或者修改默認規則���,參考如下github文檔:
0x02 模擬撞庫測試
部署并配置好規則之后����,接下來就是通過模擬撞庫的過程���,校驗系統的風險檢測邏輯��。
模擬腳本原理就是針對Sniffer模塊監聽的9001端口連續發起1000次登錄請求(這里為了方便測試沒有在服務端實現login接口�,但風控系統對于404的訪問也同樣會捕獲到)����。具體python代碼如下:
#!/usr/bin/env?python
#?-*-?coding:?utf-8?-*-
from?requests?import?get
from?requests?import?put
from?requests?import?post
from?requests?import?delete
port?=?9001
class?NewRequestsData(object):
def?__init__(self,?url,?data,?cookies,?method='get'):
self.data?=?data
self.url?=?url
self.cookies?=?cookies
self.method?=?method
def?request(self):
m?=?dict(
get=get,
put=put,
post=post,
delete=delete,
)
method?=?m[self.method]
text?=?'默認模式'
code?=?'None'
header?=?{
"connection":?"close",
"content-type":?'application/json',
}
try:
if?self.method?in?['get',?'delete']:
response?=?method(self.url,?params=self.data,?cookies=self.cookies,?timeout=10,
headers=header)
elif?self.method?in?['post',?'put']:
data?=?dumps(self.data,?ensure_ascii=False).encode('utf8')
response?=?method(self.url,?data=data,?timeout=8,?headers=header,?cookies=self.cookies)
else:
raise?ValueError
text?=?response.text
code?=?response.status_code
except?Exception?as?e:
print("error",?e)
finally:
return?(text,?code)
def?attack_login():
data?=?dict(
username="threathunter@threathunter.cn"
)
r?=?NewRequestsData('http://127.0.0.1:{}/login'.format(port),?data,?{})
code,?text?=?r.request()
if?__name__?==?'__main__':
i?=?0
for?i?in?range(1000):
attack_login()
print('總訪問次數:',?i)
捕獲流量的截圖:
0x03 使用TH-Nebula阻斷發現的風險
由于 TH-Nebula?屬于旁路分析模式��,所以無法主動攔截風險事件����,需要與企業端應用進行集成后實現自動阻斷的功能��。
針對業務系統拉黑阻斷����,系統提供以下兩種風險數據獲取方法:
主動推送:TH-Nebula?可以將分析發現的風險推送至攔截節點進行自動的風險阻斷���。
被動調用:TH-Nebula?可以將分析發現的風險名單以接口方式提供給攔截節點調用判斷風險����。
詳細請參考文檔:
以上就是通過部署TH-Nebula開源風控系統�,配置防撞庫策略的整套流程�����。
在系統使用過程中���,如遇任何疑問����,可在Github進行反饋:
