鬼影消除者——保障您的AWS网络安全的得力助手
项目简介
在AWS环境中进行部署时,您可能会遇到一个问题:废弃的弹性IP(Elastic IPs)。这些被遗忘的IP可能与不再存在的资源关联,导致您的子域名指向空洞,从而引发潜在的安全风险——子域名接管攻击。为了解决这一问题,我们推出了名为“鬼影消除者”(Ghostbuster)的开源工具。它能帮助您识别并消除这些安全隐患,确保您的网络环境安全。
技术解析
鬼影消除者采用Python编写,依赖boto3库来与AWS接口交互。它动态遍历所有配置在.aws/config
中的AWS账户,并从以下三个来源收集DNS记录:
- AWS Route53: 获取所有区域的DNS记录。
- Cloudflare (可选): 如果提供API Token,可以从Cloudflare提取DNS记录。
- CSV输入 (可选): 可以通过CSV文件手动指定要检查的DNS记录。
然后,该工具将遍历所有AWS区域内的所有Elastic IPs和网络接口的公共IP,并与已知DNS记录进行交叉比对,找出可能被接管的子域名。
应用场景
- 安全审计:定期运行鬼影消除者以查找并修复任何可能的子域名接管漏洞。
- 资源管理:在销毁或迁移EC2实例后清理相关DNS记录,避免出现遗留的弹性IP。
- 新项目上线前的预检查:在部署新服务之前,确认没有遗留的未使用的IP。
项目特点
- 多账号支持: 自动处理多个AWS账号的配置,无需手动切换。
- 跨地区扫描: 支持单个、多个或全部AWS地区的扫描。
- 集成云flare: 选择性地从Cloudflare获取DNS记录,增加检测范围。
- 自定义输入: 通过CSV文件添加自定义DNS记录以进行比对。
- Slack通知: 当发现潜在接管点时,可通过Webhook发送警告至Slack团队频道。
- 简洁易用: 使用pip安装,命令行界面操作简单明了。
重要提醒: 为了保证工具的准确性,确保其拥有您AWS环境的完整视图是至关重要的。否则,可能会产生误报。
安装与使用
只需一条简单的命令即可安装:pip install ghostbuster
。然后通过ghostbuster
命令行工具执行各种扫描任务。查看ghostbuster scan aws --help
了解更多参数选项。
例如,使用Cloudflare DNS记录,向Slack发送通知,并遍历所有AWS区域:
ghostbuster scan aws --cloudflaretoken APIKEY --slackwebhook https://hooks.slack.com/services/KEY --allregions
若想使用CSV文件提供的DNS记录,可以这样执行:
ghostbuster scan aws --records records.csv
通过--regions
参数,您可以指定要扫描的特定AWS区域。
结语
面对AWS环境中可能潜藏的风险,鬼影消除者是您的理想解决方案。它能够为您提供全方位的保护,防止恶意攻击者利用废弃的弹性IP。立即加入我们的社区,让您的网络环境更加安全!