下午浏览 github 项目,看到 https://github.com/BeichenDream/FakeToa
想起之前写的一个:源站 IP ACL 绕过的风险 https://fangpsh.github.io/posts/2023/2023-10-02.html 。
不知道阿里、腾讯大部分的镜像是不是都默认加载了 TOA 模块?
建议大家有做 IP ACL 的地方都检查一下。
不知道有没有人已经用 faketoa 项目类似的方式进行探测扫描?
1
fangpeishi OP 如果镜像默认加载了 toa 模块,上层应用用基础库接口拿到的就是内网地址。外部请求冒充内网段/白名单地址,上层应用完全感知不到了吧。
外层防火墙得做好严格限制。 |
2
LzSkyline 2023-12-28 17:48:45 +08:00
乱装 TOA 模块的基本都会受这个影响。阿里云在网络底层实现了一个云 TOA 的模式,开启后 RS 侧也会受到这个漏洞影响,不过他这个开关默认是关的,影响也不大。
|
3
LzSkyline 2023-12-28 17:51:40 +08:00 1
正常通过 L4LB 访问 RS 的情况下其实影响还好,LB 虽然会保留 Fake TOA Option ,但也会把真实 src_ip 插到原始数据前面。TOA 模块默认是从头开始读取,读到第一个就 return ,所以实际也没啥影响。
|