鬼影消除者——保障您的AWS网络安全的得力助手

鬼影消除者——保障您的AWS网络安全的得力助手

项目简介

在AWS环境中进行部署时，您可能会遇到一个问题：废弃的弹性IP（Elastic IPs）。这些被遗忘的IP可能与不再存在的资源关联，导致您的子域名指向空洞，从而引发潜在的安全风险——子域名接管攻击。为了解决这一问题，我们推出了名为“鬼影消除者”（Ghostbuster）的开源工具。它能帮助您识别并消除这些安全隐患，确保您的网络环境安全。

技术解析

鬼影消除者采用Python编写，依赖boto3库来与AWS接口交互。它动态遍历所有配置在.aws/config中的AWS账户，并从以下三个来源收集DNS记录：

1. AWS Route53: 获取所有区域的DNS记录。
2. Cloudflare (可选): 如果提供API Token，可以从Cloudflare提取DNS记录。
3. CSV输入 (可选): 可以通过CSV文件手动指定要检查的DNS记录。

然后，该工具将遍历所有AWS区域内的所有Elastic IPs和网络接口的公共IP，并与已知DNS记录进行交叉比对，找出可能被接管的子域名。

应用场景

• 安全审计：定期运行鬼影消除者以查找并修复任何可能的子域名接管漏洞。
• 资源管理：在销毁或迁移EC2实例后清理相关DNS记录，避免出现遗留的弹性IP。
• 新项目上线前的预检查：在部署新服务之前，确认没有遗留的未使用的IP。

项目特点

• 多账号支持: 自动处理多个AWS账号的配置，无需手动切换。
• 跨地区扫描: 支持单个、多个或全部AWS地区的扫描。
• 集成云flare: 选择性地从Cloudflare获取DNS记录，增加检测范围。
• 自定义输入: 通过CSV文件添加自定义DNS记录以进行比对。
• Slack通知: 当发现潜在接管点时，可通过Webhook发送警告至Slack团队频道。
• 简洁易用: 使用pip安装，命令行界面操作简单明了。

重要提醒: 为了保证工具的准确性，确保其拥有您AWS环境的完整视图是至关重要的。否则，可能会产生误报。

安装与使用

只需一条简单的命令即可安装：pip install ghostbuster。然后通过ghostbuster命令行工具执行各种扫描任务。查看ghostbuster scan aws --help了解更多参数选项。

例如，使用Cloudflare DNS记录，向Slack发送通知，并遍历所有AWS区域：

ghostbuster scan aws --cloudflaretoken APIKEY --slackwebhook https://hooks.slack.com/services/KEY --allregions

若想使用CSV文件提供的DNS记录，可以这样执行：

ghostbuster scan aws --records records.csv

通过--regions参数，您可以指定要扫描的特定AWS区域。

结语

面对AWS环境中可能潜藏的风险，鬼影消除者是您的理想解决方案。它能够为您提供全方位的保护，防止恶意攻击者利用废弃的弹性IP。立即加入我们的社区，让您的网络环境更加安全！