【2015阿里安全峰会】安全狗黄登：所有不给予业务的安全都是耍流氓

7月9日—7月10日，由阿里巴巴集团和蚂蚁金服集团共同发起的2015阿里安全峰会“天下无贼”在北京召开，安全狗资深网络安全专家黄登代表安全狗参加了此次会议，并在7月10日下午在白帽子与安全技术分论坛发表了名为《天罗地网—WAF漏洞挖掘及安全架构》的主题演讲。

演讲中，黄登通过对案例的具体分析，针对性的提出了当前WAF防御所面临的的困境，展示了安全狗提出的WAF模糊测试框架，并且通过对业务与安全之间平衡的陈述，分析了安全防御今后的发展方向并讲述了安全狗在这一方面做出的努力。

演讲实录

CVE-2015-4024由LiuShusheng于2015-04-03提交至PHP TEAM，该漏洞可通过提交特定规则的POST上传数据包，触发服务器PHP容器的资源过度消耗，最终造成DDOS攻击。

在该漏洞提交的一周之内各大安全厂商相继推出新规则、新补丁，以示“天下太平”。一切看起来似乎恢复到了往日的平静。

然而真相却是——这一切并没有什么X用。

该漏洞的核心修补思路是：用\r\n\r\n将form-data的body part分成header和body，header再用\n分割，如果数量大于10的话就直接拦截下来，返回447错误。通过这样的方式，临时抵御这次的DOS漏洞。

但这样做却会导致两个问题：

1、影响正常业务：10行太少,遇到论坛之类的多文件上传的环境就影响正常使用了。

2、RULES DDOS：随着匹配行数的增加, 匹配函数的复杂度以及正则表达式的复杂度都会成倍增长。 最终导致过滤器本身占用系统资源过多(ReDoS)。

从这个案例，黄登为我们清晰的展现了当前WAF防御存在的主要问题：

1、PHP-DDOS CVE-2015-4024 这个漏洞将一直存在，而类似的问题很普遍。

2、架构、策略以及规则复杂度之间存在着必然联系，当架构无法弥补的情况下，规则越复杂就陷的越深。

3、安全性与业务量之间的平衡同样是需要考量的。

在WAF测试中常见FUZZ策略主要有以下两点：

策略1: BLIND FUZZ(传统的基于结果的FUZZ)

策略2: SLICE FUZZ(基于容器特性的FUZZ+组合)

依据此，安全狗提出了WAF模糊测试框架，黄登对其具体框架进行了描述：

基于功能分块：

分块FUZZ:

实现难点：　

　1.容器AGENT必须足够精确（不能用扩展，只能强插）

　2.生成器必须足够灵活，（推荐试用date as code的语言，这里使用new LISP）

　3.分析器采用模板式加载．（一套模板对应一种环境，模板本身就是个CONTEXT）

监控点：　

1.各容器之间的传入和传出数据．（每一个agnet监控点独立负责自己的配置模板）

2.执行时间（性能的波动有可能代表了隐藏的漏洞或者是Dos）

3.容器返回的错误数据．

4.定时保存测试数据样本，以便还原。

分析器：

1.记录有效数据．（根据特征码和模板）

2.分析异常标识，推送给生成器脏字队列．（此过程需可人工切换，验证标识准确性）

黄登透露，安全狗目前正针对这一框架进行相应的研究和开发。

在谈到业务与安全之间的关系时，黄登表示：所有不给予业务的安全都是耍流氓。

他提到，云盾的防御与封杀规则是，明确识别一个IP有攻击行为（10次以内），就封锁此此IP至少一个小时．无论IP大小。那么这就会造成一系列严重的问题，大IP怎么办?连坐真的好吗？轮询手机运营商IP也封？轮询CDN也封？而当连坐效应遇到XSS，你就真的只能”呵呵“了。最终，这一切必然会导致出现进退维谷的局面。

随后，黄登通过陈述当前防御的契机及难点，展示了安全狗的前进方向。

契机：网络数据分析能力将愈加强大，Matrix时代的到来以及联动防御的提出

难点：单一防御的片面性与困难性仍将存在，安全业务调度的复杂性和成本将继续增加（比起传统的端安全）

他透露说，安全狗在去年发布的服务器安全管理云平台——安全狗服云，能够很好的应对这些局面，服云系统构造了基于大数据的安全分析架构，依据服云系统超过两百万台服务器的实时数据、攻击信息及特征，服云能够很好的进行实时的攻击分析，形成包括云端IP黑白名单库、规则库、病毒库、行为库等多项核心竞争力。从而更好更全面的保证了产品的安全防护能力。

另外，安全狗服云还构建了一套多层次的联动防御体系，从网络层、应用层、系统层、云端数据分析等多个层面保障用户系统的安全性，很好的克服了传统安全方案单点防御的弊端。

总结

最后，黄登提出了他对于安全防御的看法，他认为安全的纬度才能决定其高度，立体防御、动态对抗,、端云合一，方为正道。传统端安全防御思路存在很多局限性，片面、独立、非动态并且不顺应业务。

那么新时代的安全防御架构应该是怎样的呢？黄登认为端点收集阻断+网关流量清洗+云中心数据深度分析＋安全态势把控必不可少，多点采样, 多层分析, 多维预警以及联动防御, 定制服务, 高大上的安全工程师文化更是关键，而安全狗正是朝着这一方向在不断努力前行。

了解更多安全狗信息：http://www.safedog.cn