การบล็อกการเชื่อมต่อจาก AWS มายังบริการ on-premises ของฉัน
(consulting.m3047.net)- อินเทอร์เน็ตสาธารณะอาจแตกออกเป็น ระบบนิเวศที่แยกส่วน โดยมีผู้ให้บริการคลาวด์รายใหญ่เป็นศูนย์กลาง และกรณีการบล็อกการเข้าถึง on-premises จาก AWS เป็นตัวอย่างเชิงปฏิบัติการที่สะท้อนแนวโน้มนี้
- สิ่งที่ถูกบล็อกหลัก ๆ คือ ความพยายามเชื่อมต่อ TCP ที่ไคลเอนต์ภายใน AWS เปิดมายังบริการ on-premises ส่วนการเชื่อมต่อขาออกจากไคลเอนต์ภายในเครื่องไปยังบริการที่โฮสต์บน AWS ยังทำได้ต่อไป
- บริการ on-premises ที่ดำเนินงานอยู่ ได้แก่ เว็บ, เดโม Trualias, DNS และ SMTP โดย DNS ให้การเข้าถึงสาธารณะผ่าน UDP, TCP fallback และ เทเลเมทรีด้านความปลอดภัย แบบจำกัด
- การบล็อก AWS เริ่มจากการรับมือทราฟฟิก ping ที่มากเกินไปและ crawler/scanner ที่มีพฤติกรรมละเมิด ปัจจุบันดูแล 53 CIDR ของพื้นที่แอดเดรส AWS ที่สังเกตว่าเป็นเป้าหมายหรือแหล่งที่มาของ abuse
- หากผู้ให้บริการคลาวด์รายใหญ่ไม่เปิดเผย ข้อมูลฟอเรนสิก อย่าง reverse DNS, whois, namespace ของ DNS และรูปแบบ abuse ให้ดีกว่านี้ การแยกส่วนที่ผู้ใช้ภายในคลาวด์แทบไม่รู้สึกถึงความไม่สะดวกก็อาจยิ่งรุนแรงขึ้น
ความเป็นไปได้ของการแยกส่วนที่เกิดจากคลาวด์รายใหญ่
- หากผู้ให้บริการคลาวด์รายใหญ่กลายเป็น bulletproof infrastructure ที่ “too big to fail” ก็อาจเป็นต้นเหตุโดยตรงของการแยกส่วนของอินเทอร์เน็ต
- แม้ยังไม่ใช่ปรากฏการณ์ที่เกิดขึ้นเต็มรูปแบบ แต่ถือว่าเริ่มขึ้นแล้วหรืออาจปรากฏให้เห็นในไม่ช้า
- ระบบนิเวศ cloud-native มี โครงสร้างพื้นฐานที่ปรับแต่งเฉพาะ เมื่อเทียบกับอินเทอร์เน็ตจริง และบริการคลาวด์แต่ละรายถูกจัดวางโดยเน้นฟีเจอร์ที่แตกต่าง มากกว่าสถาปัตยกรรมร่วมกัน
- บริการจำนวนมากทำงานได้แบบสมบูรณ์ในตัวเองภายในคลาวด์ใดคลาวด์หนึ่ง และมีอุปสรรคต่อการทำงานร่วมกับอินเทอร์เน็ตทั่วไปอย่างโปร่งใส
- ชุมชน cloud-native ปฏิบัติต่ออินเทอร์เน็ตทั่วไปเหมือนเป็น ทรัพยากรภายนอก และมีปฏิสัมพันธ์กับระบบนิเวศของผู้ให้บริการคลาวด์รายใดรายหนึ่งมากกว่าตัวอินเทอร์เน็ตเอง
กระแสการพาณิชย์ของอินเทอร์เน็ตสาธารณะ
- ก่อนปี 1989 อินเทอร์เน็ตไม่มีการเข้าถึงสาธารณะทั่วไป และเป็นเครือข่ายลักษณะส่วนตัวที่หน่วยงานรัฐบาล ทหาร วิจัย และการศึกษาใช้งาน
- NSF ดูแลแกนหลักของ backbone และการเข้าถึงสาธารณะในช่วงแรกได้รับอนุญาตภายใต้เงื่อนไขว่าเป็น ทราฟฟิกที่ไม่ใช่เชิงพาณิชย์
- ไม่ได้หมายความว่าบริการเชิงพาณิชย์ถูกห้ามโดยตัวมันเอง แต่ทราฟฟิกที่ผ่าน backbone ของ NSFNet ต้องไม่ใช่ทราฟฟิกโฆษณาหรือบริการแบบชำระเงิน
- ผู้ประกอบการเชิงพาณิชย์สร้างอินเทอร์เน็ตเชิงพาณิชย์แยกต่างหาก และในปี 1995 NSFNet ได้ปิดการเข้าถึงสาธารณะ
- หลังการคัดออกครั้งใหญ่ราวปี 2000 โมเดลที่อยู่รอดคือโฆษณาบนฐานข้อมูลพฤติกรรมผู้ใช้และการขายข้อมูลพฤติกรรมผู้ใช้
- ในกระแส AI ปัจจุบัน สิ่งที่เด่นชัดคือการเก็บรวบรวมและฟอกเนื้อหาที่เข้าถึงได้จำนวนมากเพื่อใช้ฝึกโมเดล โดยการคัดสรรและการฝึกทำกันเป็นหลักบนคลาวด์ และเพิ่มขึ้นเรื่อย ๆ โดยผู้ให้บริการคลาวด์เอง
การบล็อกการเชื่อมต่อจาก AWS ในบริการ on-premises
- กำลังปิดใช้งานการเข้าถึงจาก AWS ที่เข้ามายังเซิร์ฟเวอร์ on-premises เป็นส่วนใหญ่
- ในเชิงเทคนิค สนใจหลัก ๆ ที่ ทราฟฟิก TCP และสามารถแยกไคลเอนต์กับเซิร์ฟเวอร์ได้จาก handshake ช่วงต้น
- บล็อกกรณีที่ไคลเอนต์ภายใน AWS พยายามเชื่อมต่อมายังบริการ on-premises
- อนุญาตให้ไคลเอนต์ในเครือข่ายท้องถิ่นเชื่อมต่อไปยังบริการที่โฮสต์บน AWS ได้
- มีการให้บริการหลายอย่างจากระบบภายในเครื่องที่เปิดสู่อินเทอร์เน็ต
- บริการเว็บ
- เดโม Trualias
- เซิร์ฟเวอร์ DNS
- เซิร์ฟเวอร์อีเมล SMTP
- รักษานโยบาย no crawl มาหลายปี และทรัพย์สินที่ให้บริการมุ่งไปที่ผู้ใช้รายบุคคลบนอินเทอร์เน็ตเป็นหลัก
- เซิร์ฟเวอร์ DNS ใช้ UDP และ TCP fallback พร้อมให้เทเลเมทรีความปลอดภัยสาธารณะแบบจำกัด
- ตัวอย่าง query:
dig @131.191.85.30 'fail2ban;*.keys.redis.athena.m3047' txt - อาจมีประโยชน์กับบริการที่รันบนคลาวด์ด้วย แต่หากจะพึ่งพาในการปฏิบัติงาน ก็คาดหวังให้ติดต่อมาก่อน
- ตัวอย่าง query:
ข้อยกเว้นของ reverse DNS และ SMTP
- หากปัญหามีแค่บริการเว็บ ก็สามารถใช้มาตรการบรรเทาอื่น เช่น การตรวจสอบ reverse DNS ได้
- ผู้ให้บริการคลาวด์มักดูแล reverse DNS ได้ไม่ดี ซึ่งสอดคล้องกับเรื่องเล่าที่ว่าทรัพยากรในคลาวด์เป็นสิ่ง ชั่วคราว
- AWS ทำ reverse DNS ได้ดีกว่าผู้ให้บริการคลาวด์จำนวนมาก และเคยได้ยินว่าสามารถตั้งค่า reverse DNS ของ instance ได้ แต่ไม่ได้ลองเอง
- มีข้อยกเว้นให้ SMTP
- หากไม่ได้เป็นปัญหารุนแรงเป็นพิเศษ แม้จะบล็อกการเชื่อมต่อของบริการอื่น ก็ยังอนุญาตการเชื่อมต่อของเมลเซิร์ฟเวอร์
- ในเชิงเทคนิคสามารถให้บริการ SMTP ได้แม้ไม่มี reverse DNS ที่ถูกต้อง แต่ในทางปฏิบัติ หากไม่มี reverse DNS ที่ถูกต้อง อีกฝ่ายมักไม่รับเมล
- การประเมิน reverse DNS ช่วยให้ ตัดสินเบื้องต้น ได้ว่า SYN มาจากเมลเซิร์ฟเวอร์ที่ถูกต้องหรือไม่
- บริการ reputation สามารถให้คะแนน reverse DNS ได้
- มีรูปแบบที่พบบ่อยในทรัพยากรแบบเช่าและแบบชั่วคราว
- เพียงดูว่ามี reverse DNS หรือไม่ หรือรูปแบบเป็นอย่างไร ก็พอประเมินได้อย่างสมเหตุสมผลว่าแอดเดรสนั้นเป็นของผู้ให้บริการคลาวด์หรือไม่
เหตุผลที่เริ่มบล็อกแอดเดรส AWS
- เริ่มจากงานบล็อก netblock ที่ระบุได้ของบริการ abusive บางส่วน แล้วต่อยอดเป็น proof of concept สำหรับการบล็อกผู้ให้บริการโฮสติ้งรายเล็กแบบคัดเลือก
- ในกรณีของ AWS จุดเริ่มต้นคือ ทราฟฟิก ping ที่มากเกินไป
- ping เป็นโปรโตคอลแบบไม่มีการเชื่อมต่อ จึงปลอมแปลงต้นทางได้
- การตอบกลับของคำขอ ping ที่ถูกปลอมแปลงจะไปยังตำแหน่งจริงที่ถูกปลอม ไม่ใช่ผู้โจมตี
- หากต้องการกดการตอบกลับ ping ที่ไม่หยุดหย่อน ต้องสร้างกฎไฟร์วอลล์ชั่วคราว แต่ขนาดของ Amazon ใหญ่เกินไปจนจำนวนกฎเพิ่มมาก
- เริ่มรวบรวมช่วงแอดเดรสของ AWS และปัจจุบันมี 53 CIDR ที่เป็นตัวแทนพื้นที่แอดเดรส AWS ซึ่งถูกสังเกตว่าเป็นเป้าหมาย abuse หรือเป็นแหล่งที่มาของ abuse
- บางครั้งพบกฎไฟร์วอลล์ชั่วคราวมากถึงสองเท่าของจำนวนดังกล่าว
- การบล็อก crawler และ scanner แบบ abusive ที่เช่าจากผู้ให้บริการคลาวด์ “too big to fail” เป็นผลพลอยได้ที่ดี และแม้จะหายไปจากเว็บล็อกก็ไม่น่าเสียดาย
ผลกระทบที่ผู้ใช้คลาวด์ได้รับ
- ทรัพยากรยอดนิยมส่วนใหญ่หรือทรัพยากรที่มีแนวโน้มถูก deploy บนคลาวด์ โฮสต์อยู่บน GitHub
- ผู้ที่ deploy ทรัพยากรอื่นบนคลาวด์ต้องดูแล repository ของตนเองสำหรับใช้ staging
- หาก repository อยู่บน AWS ก็จะไม่สามารถตรวจสอบอัปเดตได้อีก
- ต้องตรวจสอบจากเดสก์ท็อป
- ต้องตรวจสอบจากทรัพยากรที่โฮสต์แบบส่วนตัว
- สามารถหารือ arrangement แยกต่างหากได้
- สภาพที่มีเพียงสมาร์ทโฟน, S3 bucket และ EC2 instance อาจไม่ควรถูกมองว่า “อยู่บนอินเทอร์เน็ต” แต่บนสมาร์ทโฟนควรยังเข้าถึงทรัพยากรเหล่านั้นได้
การบรรเทาการขโมยข้อมูลและการใช้งานที่ไม่ได้ตั้งใจ
- การขโมยข้อมูล ที่นำทรัพยากรโอเพนซอร์สไปใช้เพื่อวัตถุประสงค์ที่ไม่ได้ตั้งใจโดยไม่ได้รับอนุญาต ก็เป็นภัยคุกคามที่ต้องมีการบรรเทาแยกต่างหาก
- การบล็อก AWS ทำหน้าที่เป็นหนึ่งในมาตรการบรรเทาเช่นนั้นด้วย
- ข้อมูลเกี่ยวกับ cats, bunnies, birds ก็ถูกพูดถึงร่วมกันในบริบทของมาตรการบรรเทา
- cats และ bunnies ถูกยกขึ้นมาเพราะมีวิดีโอที่เกี่ยวข้องจำนวนมาก และบางส่วนซื้อได้
- birds มีประสิทธิภาพมากกว่าที่ OSI layer 2 และถูกบันทึกไว้ใน RFC ในฐานะวิธีส่ง IP datagram
ข้อมูลสาธารณะที่ผู้ให้บริการคลาวด์รายใหญ่จำเป็นต้องมี
- ผู้ให้บริการคลาวด์รายใหญ่ควรมีระบบ เผยแพร่ข้อมูลฟอเรนสิก ที่ดีกว่านี้
- DNS และ whois อาจเป็นเครื่องมือสำหรับเผยแพร่ข้อมูลที่มีประโยชน์ได้
- หากเป็นผู้ให้บริการรายใหญ่ ก็ควรสามารถดูแล reverse DNS ของตนเองได้
- อาจจำเป็นต้องมี whois สำหรับแอดเดรสแต่ละรายการ ข้อมูลเพิ่มเติมที่เข้ารหัสไว้ใน reverse DNS และข้อมูลสาธารณะแยกต่างหากใน namespace ของ DNS
- storm center blog ที่ว่าด้วยรูปแบบ abuse ปัจจุบันและบล็อกแอดเดรสที่ได้รับผลกระทบ ก็เป็นแนวทางหนึ่งที่เป็นไปได้
- สำหรับ SMTP นอกจาก reverse DNS แล้วยังมี SPF ที่เผยแพร่ผ่าน DNS TXT record
- ควรสามารถค้นหาข้อมูลที่จะตอบคำถามต่อไปนี้ได้จาก IP address เพียงรายการเดียว
- ทรัพยากรที่อยู่เบื้องหลังแอดเดรสนั้นส่ง ping หรือไม่
- ส่ง ping มากเพียงใด
- สร้างการเชื่อมต่อ outbound TCP หรือไม่
- เชื่อมต่อไปยังบริการใด
- ใครเป็นผู้ควบคุมทรัพยากรนั้น
- ทรัพยากรกำลังถูกโจมตีอยู่หรือไม่
- เป็นการโจมตีประเภทใด
- ทรัพยากรอื่นบนอินเทอร์เน็ตต้องการให้มีการบรรเทาแบบใด
- การบรรเทาที่เหมาะสมเป็นประโยชน์ต่อทุกคน แต่การบรรเทาที่เล็งผิดเป้าไม่ใช่เช่นนั้น
ผลลัพธ์ของอินเทอร์เน็ตที่แยกส่วน
- หากแนวทางแบบนี้แพร่หลาย อาจนำไปสู่ balkanized internet ได้
- คนที่ใช้ชีวิตออนไลน์อยู่ภายในฟองของผู้ให้บริการคลาวด์รายใหญ่ อาจแทบไม่สังเกตเห็นความไม่สะดวก
- ความไม่สะดวกที่สังเกตเห็นได้ ก็อาจถูกมองว่าเป็นผลจากการเลือกผู้ให้บริการคลาวด์รายใดรายหนึ่ง
1 ความคิดเห็น
ความคิดเห็นบน Hacker News
ผู้ให้บริการคลาวด์รายใหญ่ทั้งหมดเผยแพร่ รายการช่วง IP ที่เครื่องอ่านได้
เช่น: https://docs.aws.amazon.com/vpc/latest/userguide/aws-ip-rang...
https://www.microsoft.com/en-us/download/details.aspx?id=565...
https://support.google.com/a/answer/10026322?product_name=Un... เป็นต้น
ผมไม่คิดจะเล่นเกมทำนอง “ลองบล็อกรายการ JSON มหึมาของ Amazon กันเถอะ” และกฎมีแค่ 53 ข้อเท่านั้น ยอมรับผลข้างเคียงได้ในระดับหนึ่ง และเว็บที่อยู่บน AWS ก็ยังเข้าได้ดี
ทุกวันนี้บนอินเทอร์เน็ต ความเร็วที่ทราฟฟิกเชิงโจมตีเข้ามาเกาะทันทีที่เปิดเผยโครงสร้างพื้นฐานนั้นบ้าคลั่งมาก
เมื่อไม่นานมานี้ผมประกาศ ซับเน็ต /23 หนึ่งผ่าน BGP เพื่อทำคอนฟิก anycast พอ route ขึ้นและทราฟฟิกไหลเข้ามาที่เราเตอร์ tcpdump ก็พุ่งทะลักด้วย port scan ไปยัง IP ทุกตัวในช่วงนั้นทันที
แน่นอนว่าไม่ใช่เพราะ route เอง แต่ดูเหมือนมีหลายฝ่ายสแกนช่วง IP ทั้งหมดแบบหว่านและตลอดเวลา ช่วงนี้ไม่ได้ถูกประกาศมาหลายปีแล้ว จึงไม่น่าจะอยู่ในรายชื่อเซิร์ฟเวอร์ที่ใช้งานอยู่ของใคร
ยังรู้สึกตกใจที่ยังมีการเปิดบริการเว็บภายในอย่าง GitLab ออกสู่อินเทอร์เน็ตตรง ๆ อย่างน้อยควรมี ชั้นป้องกันเพิ่มเติม อย่าง VPN เพื่อไม่ให้บริการถูกค้นพบบนอินเทอร์เน็ตสาธารณะ
สิ่งเดียวที่เข้าถึงได้แบบสาธารณะคือ SSH ของ bastion host เพียงตัวเดียว และภายหลังผมก็อยากเอาสิ่งนี้ออกโดยวางชั้น VPN เพิ่มเข้าไปเช่นกัน
เหมือนเวลาไปอวกาศก็มีรังสีพื้นหลัง พอไปอินเทอร์เน็ตก็มีรังสีพื้นหลังของอินเทอร์เน็ต ถ้าคุณไม่ได้รันบริการที่มีช่องโหว่ port scan พวกนี้ก็มีความเสี่ยงประมาณกินกล้วยเพิ่มอีกลูกต่อเดือน
มันน่ารำคาญก็เพราะคุณนั่งดูมันอยู่ตรงคอนโซล เหมือนถือเครื่องวัดไกเกอร์ที่ไวเกินไปขึ้นเครื่องบินแล้วอาจตกใจ แต่ถ้าไม่รู้ก็ไม่ได้เป็นอันตรายอะไร
ผมเองก็ตกใจกับการเปิดบริการภายในสู่อินเทอร์เน็ตเหมือนกัน ด้วยสองเหตุผล คือไม่เชื่อถือระบบยืนยันตัวตนของโปรแกรมส่วนใหญ่ และไม่อยากให้ภายนอกรู้ว่าใช้บริการภายในอะไรอยู่ มีเหตุผลที่ใกล้กับความเป็นส่วนตัวมากกว่าความปลอดภัยเชิงเทคนิคล้วน ๆ ด้วย
ในทางกลับกัน สิ่งที่จำเป็นต้องอยู่บนอินเทอร์เน็ต และมีประตูหน้าที่แข็งแรง หรือเชื่อว่าถูก sandbox ไว้เพียงพอ ก็อยู่บนอินเทอร์เน็ตทั้งวันได้
port scan คือเวอร์ชันอินเทอร์เน็ตของการเดินไปทั่วเมืองแล้วจดว่าบ้านไหนเปิดไฟอยู่ อาจดูเหมือนสตอล์กเกอร์ไปหน่อย แต่เป็นข้อมูลสาธารณะ
อนึ่ง
ssh -wสร้างอินเทอร์เฟซ VPN tunnel ได้ แต่ไม่ได้ตั้งค่าส่วนที่เหลือให้อัตโนมัติเหมือนผลิตภัณฑ์ VPN จริง ๆอินเทอร์เน็ตยิ่งรู้สึกเหมือนสิ่งที่เกิดขึ้นหลัง blackwall ใน Cyberpunk มากขึ้นเรื่อย ๆ
ถ้าเปิด log การปฏิเสธการเข้าถึงของไฟร์วอลล์ไว้ ความพยายามต่อพอร์ตที่รู้จักและไม่รู้จักจะไหลเข้ามาอย่างถาวร
ถ้าคุณเปิดเผยอะไรออกไป แม้จะเป็นคอมโพเนนต์เว็บที่ซ่อนลึกแค่ไหน ก็ต้องไม่ปล่อยให้มันกลายเป็นประตูเข้าสู่ข้อมูลและโครงสร้างพื้นฐาน
สิ่งที่ต่างจากตอนนั้นเล็กน้อยคือแหล่งที่มาของทราฟฟิก และเกณฑ์ในการตัดสินว่าควรรับหรือควรบล็อก จำนวนเซิร์ฟเวอร์/บริการที่ถูกกฎหมาย พร็อกซีฝั่งผู้ใช้ปลายทาง ผู้ให้บริการคลาวด์ และ crawler เพิ่มขึ้นมาก
น่าเสียดายมากจริง ๆ การทำแบบนั้นจะทำให้คอนเทนต์ของตัวเองไม่โผล่ในเสิร์ชเอนจินเลย ไม่ถูกจับโดย Marginalia และยังเสี่ยงที่จะไม่ถูกเก็บไว้ใน Wayback Machine ด้วย
ถ้าเดิมทีต้องการแบบนั้นจริง ๆ การบล็อกคลาวด์และดาต้าเซ็นเตอร์ทั้งหมดก็อาจเป็นทางเลือกที่ถูกต้อง แม้กระทั่งผู้ใช้ของ ISP รายเล็กบางรายก็อาจถูกบล็อกไปด้วย ขึ้นอยู่กับว่า ISP นั้นรัน CGNAT gateway ไว้ที่ไหน ความเป็นไปได้ต่ำ แต่ก็ไม่ใช่ว่าเป็นไปไม่ได้
สิ่งที่บทความพูดถึงว่าเป็นการใช้งานในทางที่ผิดจริง ๆ ดูเหมือนมีแค่ ping ที่ปลอมแปลงที่อยู่ต้นทางเท่านั้น และเราไม่อาจรู้ได้ว่าแพ็กเก็ต ping ที่ปลอมแปลงนั้นมาจาก AWS หรือไม่ เพราะที่อยู่ต้นทางคือที่อยู่ที่ผู้ปลอมแปลงต้องการให้ส่งคำตอบกลับไป ไม่ใช่ที่อยู่ของผู้ปลอมแปลงเอง
วิธีบรรเทาที่รุกล้ำน้อยกว่ามากคือการทำ rate limit ให้ ping เหลือประมาณ 10 ครั้งต่อวินาที
อินเทอร์เน็ตกำลังแตกเป็นเสี่ยง ๆ จริง แต่สาเหตุหลักไม่ใช่การบล็อกช่วง IP เท่ากับการที่โซเชียลมีเดียกลายเป็นไซโลเพื่อหารายได้จากโฆษณาและข้อมูล รวมถึงกระแสพยายามรีดรายได้จากข้อมูลสำหรับฝึก AI กรณีอย่างสัญญาผูกขาด Reddit/Google น่าจะใกล้เคียงกว่า
เข้าใจได้ยากกับวิธีคิดที่บ่นว่า IP connectivity กำลังถูกแบ่งแยกเป็นเขต ๆ ทั้งที่ตนเองบล็อกผู้ให้บริการบางรายเพราะ ping ไม่กี่ครั้ง ฝ่ายที่ทำให้เกิดการแบ่งแยกคือฝ่ายที่บล็อกต่างหาก
ไม่เห็นบล็อกส่วนตัวหรือเว็บงานอดิเรกเล็ก ๆ ในผลค้นหามานานพอสมควรแล้ว
ถ้าต้องการ Wikipedia หรือ Stack Overflow ก็ไปค้นหาในเว็บนั้นโดยตรงได้อยู่แล้ว อยากให้มีตัวเลือกที่ตัด “ตัวเลือกเดิม ๆ ที่เห็นประจำ” ออก แล้วแสดงคอนเทนต์หางยาวให้มากขึ้น
อย่างไรก็ตาม โทนโดยรวมให้ความรู้สึกใกล้เคียงกับการเอาเรื่องถูกยุงกัดมาเล่าเป็นมหากาพย์ประวัติศาสตร์มากกว่า
ถ้ารัน CGNAT gateway บนคลาวด์น่าจะมีปัญหาเยอะ เพราะสมาชิกจะไม่ได้ใช้ IP แบบที่พักอาศัย อาจดูบริการอย่าง Netflix ไม่ได้ และมีโอกาสเจอ CAPTCHA กันบอทจาก Cloudflare หรือ Google บ่อยขึ้นมาก
อยากรู้ว่ามีกรณีจริงที่เป็นที่รู้จักหรือไม่
Hetzner, DigitalOcean, Linode, OVH, Contabo ถูกบล็อกมาสักพักแล้ว
ทำผ่าน การบล็อก ASN ใน pfBlocker NG ก็ได้ หรือใช้กฎ UFW ก็ได้: https://blog.abctaylor.com/ufw-and-firewalld-rules-to-block-...
ตัวอย่างเช่น องค์กรหนึ่งอาจรัน WireGuard หรือโซลูชัน VPN อื่นเองบนผู้ให้บริการคลาวด์ แล้วเมื่อผู้คนเชื่อมต่อผ่านตรงนั้น IP ขาออกก็จะดูเป็น IP ของผู้ให้บริการคลาวด์
จะผูกระบบอัตโนมัติเข้าไปด้วยก็ได้ แบบนั้นถึงจะยุติธรรม และแต่ละฝ่ายจะได้รู้ว่าเกิดอะไรขึ้น ไม่อย่างนั้นก็เลิกเล่นเกมกระบะทรายแบบนี้ แล้วใช้ปืนจริงไปเลย
สิ่งแรกที่นึกถึงคือเดสก์ท็อปจริงที่รันอยู่บน AWS โดยเฉพาะบริการอย่าง Amazon Workspaces อาจถูกบล็อกได้
อย่างไรก็ตาม พื้นที่ IP ของบริการแบบนั้นก็ดูเหมือนจะมีเอกสารเผยแพร่ไว้แล้ว ดังนั้นถ้าจำเป็นก็อนุญาต IP เหล่านั้นแยกต่างหากได้
ถึงอย่างนั้น ถ้าใช้พร็อกซีหรือ VPN การเลี่ยงการบล็อกแบบนี้ก็ง่ายมาก
นานมาแล้ว เซิร์ฟเวอร์ Amazon หลายสิบเครื่องเริ่มทำให้เซิร์ฟเวอร์ on-premise ของเราช้าลง เลยทำแบบนี้
อาจเป็นความพยายาม SSO อะไรสักอย่างก็ได้ แต่สุดท้ายก็ไม่ได้ไล่ตามจนรู้แน่ชัด แค่เขียนสคริปต์ให้ดาวน์โหลดรายการช่วง IP ของ Amazon เป็นระยะ ๆ แล้วบล็อกทั้งหมด จากนั้นก็ปล่อยผ่านไป
เข้าใจได้ ถ้าผมอยากกั้นพื้นที่ใหญ่ ๆ ของอินเทอร์เน็ตออกจากสิ่งที่ผมสร้าง ผมก็คงทำแบบเดียวกัน มันไม่ได้ต่างจากการบล็อกทั้งประเทศมากนัก
เข้าใจความต้องการที่จะลดเสียงรบกวนและอนุญาตให้มีแค่ “กลุ่มเพื่อนเล็ก ๆ” ได้เช่นกัน
แต่ผมทำแบบนั้นเฉพาะกับบางบริการ ไม่ใช่ทั้งโดเมน เซิร์ฟเวอร์ Mumble เปิดให้เฉพาะ 3–4 ประเทศที่มีเพื่อนอยู่ และไม่รวมผู้ให้บริการคลาวด์ ส่วนบล็อกเทคนิคเปิดให้คนทั่วโลกดูได้
ผมยืนอยู่ฝั่งที่เชื่อมั่นว่า ความรู้ที่แบ่งปันกัน เป็นประโยชน์ต่อทุกคน ถ้าบันทึกของผมเกี่ยวกับสตริงเริ่มต้นโมเด็มของโมเด็ม C64 ความเร็ว 300 บอดช่วยใครได้แม้เพียงคนเดียว คนคนนั้นก็จะไม่ต้องเจ็บปวดซ้ำแบบที่ผมเคยเจอ และโลกก็จะดีขึ้นเล็กน้อย
เข้าใจว่าความต้องการแบบนั้นเกิดขึ้นได้จากหลายเหตุผล ไม่เป็นไร ต่างคนต่างจัดการกันเองก็แล้วกัน
Amazon ใหญ่เกินกว่าจะเพิกเฉยได้ เข้าใจว่าในทราฟฟิก ICMP และ SYN มีขยะอยู่มาก ผมเองก็อยากช่วยบล็อก และที่จริงก็มีมาตรการบรรเทาเตรียมไว้เป็นพื้นฐานอยู่แล้ว
ปัญหาคือ Amazon เข้ามากระทบมาตรการบรรเทาของผม “ในระดับขนาดใหญ่” จึงกลายเป็นเรื่องน่าปวดหัว Amazon ไม่ได้ช่วยแยกแกลบออกจากข้าวสารเลย เป็นแนวว่า “ส่ง PCAP มาให้เรื่องปัญหา ping”
ถ้าส่งข้อมูลให้ Amazon แล้วไม่ได้ยินคำตอบใด ๆ ก็ไม่มีอะไรให้เรียนรู้ ผมไม่ต้องการทั้งทราฟฟิกดี ทราฟฟิกไม่ดี หรือทราฟฟิกปลอมแปลงที่โจมตีพวกเขา
ถ้าพวกเขาไม่มีความคิดจะช่วยให้ผมช่วยพวกเขาได้ ผมก็ไม่ต้องการทั้งหมด แค่รักษาชีวิตตัวเองให้เรียบง่ายอยู่เท่านั้น
เห็นเรื่องแบบนี้แล้วก็คิดถึง อินเทอร์เน็ต สมัยก่อน อธิบายได้ยากจริง ๆ ว่าอินเทอร์เน็ตก่อนยุคการค้าจะยอดเยี่ยมแค่ไหน
ความสุขขม ๆ ที่ได้บอกว่าเราทายถูกเป๊ะว่าผลลัพธ์จะออกมาแบบนี้ ไม่ได้เป็นการชดเชยสิ่งที่สูญเสียไปเลยแม้แต่น้อย
AWS นี่ถือว่าอยู่ในระดับลูกเสือเมื่อเทียบกับ DigitalOcean, OVHcloud, ColoCrossing, Scaleway, Tencent หรือแม้แต่ Google
โดยเฉพาะ DigitalOcean ผมคิดว่าการไปทำการตลาดกับชุมชน “ไซเบอร์ซีเคียวริตี้” เป็นความผิดพลาดที่เลวร้ายมาก
ขอเปิดเผยผลประโยชน์ทับซ้อน: ปัจจุบัน AWS เป็นนายจ้างของผม
ผมอาจพลาดอะไรที่ชัดเจนไปก็ได้ แต่ถ้าผู้เขียนเชื่อว่าทราฟฟิก ping ถูกสปูฟ แล้วจะรู้ได้อย่างไรว่า AWS เป็นแหล่งที่มา?
จากประสบการณ์ ผมเห็นหลายครั้งเกินไปที่ทราฟฟิกท่วมท้นมาจาก AWS และในบางกรณีก็ลงเอยด้วยวิธีแก้แบบเดียวกัน คือบล็อก AWS ทั้งหมด
ผมไม่รู้ว่า AWS ไม่ใส่ใจ หรือแค่ตอบสนองช้า อาจเป็นเพราะการรายงานทำได้ยากเกินไปก็ได้
จุดที่ชัดเจนซึ่งคุณพลาดไปคือ AWS เป็นแหล่งกำเนิดขนาดมหึมาของทราฟฟิกที่ “ไม่ดี” และการระงับลูกค้าที่ทำงานผิดปกติก็ยากเกินไป ขณะที่ผู้ไม่หวังดีกลับเช่าความจุปริมาณมหาศาลได้ง่ายเกินไป
ผมแทบไม่เคยเห็น GCP หรือ Azure กลายเป็นแหล่งที่มาของทราฟฟิกบ้าคลั่งในระดับเดียวกันเลย