"ሶስተኛ ወገኖች" በደንበኞቻችን ላይ ጣልቃ ለመግባት እንዴት እንደሞከሩ እና ይህ ችግር እንዴት እንደተፈታ አንድ አሪፍ ታሪክ እንንገራችሁ።
ሁሉም እንዴት እንደተጀመረ
ይህ ሁሉ የተጀመረው በጥቅምት 31 ጥዋት ማለትም በወሩ የመጨረሻ ቀን ብዙዎች አስቸኳይ እና አስፈላጊ ጉዳዮችን ለመዝጋት ጊዜ ማግኘት በሚያስፈልጋቸው ጊዜ ነበር።
ከ9፡10 እስከ 9፡20 ባለው ጊዜ ውስጥ በርካታ የዊንዶውስ ሰርቨሮች በዩክሬን ድረ-ገጽ ላይ ሲሰሩ ከርቀት አገልግሎት ጋር ያለውን ግንኙነት እንዳልተቀበሉ ከአጋሮቹ አንዱ፣ የሚያገለግላቸው የደንበኞቹን በርካታ ቨርችዋል ማሽኖችን በደመናችን ውስጥ ያስቀምጣል። ተጠቃሚዎች ዴስክቶፕዎቻቸውን ማግኘት አልቻሉም ፣ ግን ከጥቂት ደቂቃዎች በኋላ ችግሩ በራሱ የጠፋ ይመስላል።
የመገናኛ ጣቢያዎችን ስታቲስቲክስ ከፍ አድርገናል፣ ነገር ግን ምንም አይነት የትራፊክ ፍንዳታ ወይም ውድቀቶች አላገኘንም። እኛ የማስላት ሀብቶች ላይ ያለውን ጭነት ያለውን ስታቲስቲክስ ተመልክተናል - ምንም anomalies. እና ያ ምን ነበር?
ከዚያም ሌላ መቶ አገልጋዮችን በደመናችን ውስጥ የሚያስተናግደው ሌላ አጋር አንዳንድ ደንበኞቻቸው ያስተዋሉትን ተመሳሳይ ችግር ዘግቧል ፣ በአጠቃላይ አገልጋዮቹ ይገኛሉ (ለፒንግ-ሙከራ እና ሌሎች ጥያቄዎች በትክክል ምላሽ ይሰጣሉ) ፣ ግን አገልግሎቱ በእነዚህ ሰርቨሮች ላይ የርቀት መዳረሻ አዲስ ግንኙነቶችን ይቀበላል ወይም ውድቅ ያደርጋል ፣እኛ በተለያዩ ድረ-ገጾች ውስጥ ስላሉት አገልጋዮች እየተነጋገርን እያለ ከተለያዩ የመረጃ ማስተላለፊያ ቻናሎች የሚመጣው ትራፊክ።
ይህን ትራፊክ እንመልከተው። ግንኙነት ለመመስረት ጥያቄ ያለው ፓኬት ወደ አገልጋዩ ይደርሳል፡-
xx:xx:xx.xxxxxx IP xxx.xxx.xxx.xxx.58355 > 192.168.xxx.xxx.3389: Flags [S], seq 467744439, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
አገልጋዩ ይህንን ፓኬት ይቀበላል፣ግንኙነቱ ግን ውድቅ ተደርጓል፡-
xx:xx:xx.xxxxxx IP 192.168.xxx.xxx.3389 > xxx.xxx.xxx.xxx.58355: Flags [R.], seq 0, ack 467744440, win 0, length 0
ይህ ማለት ችግሩ በመሰረተ ልማት ውስጥ ባሉ ማናቸውም ብልሽቶች ሳይሆን በሌላ ነገር የተፈጠረ ነው ማለት ነው። ምናልባት ሁሉም ተጠቃሚዎች ከርቀት ዴስክቶፕ ፈቃድ አሰጣጥ ጋር ችግር አለባቸው? ምናልባት አንዳንድ አይነት ማልዌር ወደ ስርዓታቸው ሰርጎ መግባት ችሏል፣ እና ከጥቂት አመታት በፊት እንደነበረው ዛሬ ነቅቷል። XData и Petya?
እየፈታን ሳለ ከበርካታ ተጨማሪ ደንበኞች እና አጋሮች ተመሳሳይ ጥያቄዎች ደርሰውናል።
በእውነቱ በእነዚህ ማሽኖች ላይ ምን ይከሰታል?
የክስተት ምዝግብ ማስታወሻዎች የይለፍ ቃል ለመገመት በሚሞክሩ መልዕክቶች የተሞሉ ናቸው።
በተለምዶ እንደዚህ ያሉ ሙከራዎች መደበኛ ወደብ (3389) ለርቀት አገልግሎት በሚውልባቸው ሁሉም አገልጋዮች ላይ ገብተዋል እና ከየትኛውም ቦታ መድረስ በተፈቀደላቸው። በይነመረቡ ሁሉንም የሚገኙትን የግንኙነት ነጥቦች በቋሚነት የሚቃኙ እና የይለፍ ቃሉን ለመገመት በሚሞክሩ ቦቶች የተሞላ ነው (ለዚህም ነው ከ "123" ይልቅ ውስብስብ የይለፍ ቃሎችን መጠቀም የምንመክረው። ይሁን እንጂ የዚያን ቀን የእነዚህ ሙከራዎች ጥንካሬ በጣም ከፍተኛ ነበር.
ምን ማድረግ እንዳለበት
ወደተለየ ወደብ ለመቀየር ደንበኞች እጅግ በጣም ብዙ የሆኑ የመጨረሻ ተጠቃሚዎችን መቼት በመቀየር ብዙ ጊዜ እንዲያጠፉ ይመክራል። ጥሩ ሀሳብ አይደለም, ደንበኞች ደስተኛ አይሆኑም. በVPN በኩል ብቻ መድረስን መፍቀድን ይመክራል? በችኮላ እና በድንጋጤ ፣ ላላሳደጉት የአይፒሴክ ግንኙነቶችን ማሳደግ - ምናልባት እንዲህ ዓይነቱ ደስታ ለደንበኞችም ፈገግ አይልም። ምንም እንኳን እኔ እላለሁ ፣ ይህ በማንኛውም ሁኔታ የበጎ አድራጎት ጉዳይ ነው ፣ ሁል ጊዜ አገልጋዩን በግል አውታረመረብ ውስጥ መደበቅ እንመክራለን እና በቅንብሮች ውስጥ ለመርዳት ዝግጁ ነን ፣ እና በራሳቸው ለማወቅ ለሚፈልጉ ፣ መመሪያዎችን እናካፍላለን ለ IPSec / L2TP በደመናችን ከሳይት ወደ ጣቢያ ወይም የመንገድ ሁነታ -warrior ለማቀናበር እና ማንም ሰው በራሱ የዊንዶውስ አገልጋይ ላይ የቪፒኤን አገልግሎት ማዘጋጀት ከፈለገ ሁል ጊዜ እንዴት ማዋቀር እንደሚቻል ጠቃሚ ምክሮችን ለመጋራት ዝግጁ ናቸው ። መደበኛ RAS ወይም OpenVPN. ነገር ግን አሪፍ እንደሆንን የደንበኞችን ትምህርት ለመከታተል በጣም ጥሩው ጊዜ አልነበረም ምክንያቱም በተቻለ መጠን በተጠቃሚዎች ላይ ትንሽ መስተጓጎል ችግሩን በተቻለ ፍጥነት ማስተካከል አለብን።
ተግባራዊ ያደረግነው መፍትሔ እንደሚከተለው ነበር። ወደብ 3389 የቲሲፒ ግንኙነት ለመመስረት የሚደረጉ ሙከራዎችን ሁሉ ለመከታተል እና ለ150 ሰከንድ ያህል ከ16 በላይ የተለያዩ አገልጋዮችን በአውታረ መረቡ ውስጥ ግንኙነት ለመፍጠር የሚሞክሩትን አድራሻዎች ለመከታተል በሚቻልበት መንገድ የማለፍ የትራፊክ ትንተና አዘጋጅተናል - እነዚህ የጥቃት ምንጮች (በእርግጥ ከደንበኞቹ ወይም ከአጋሮቹ አንዱ ከተመሳሳይ ምንጭ ከሚመጡ ብዙ አገልጋዮች ጋር ግንኙነቶችን ለመመስረት እውነተኛ ፍላጎት ካለው ሁልጊዜ እንደዚህ ያሉ ምንጮችን ወደ “ነጭ ዝርዝር” ማከል ይችላሉ ። በተጨማሪም ፣ በአንድ ክፍል ውስጥ ከሆነ ለነዚህ 150 ሰከንድ የC ኔትወርክ ከ32 በላይ አድራሻዎች ተለይተዋል አጠቃላይ ኔትወርክን ማገድ ተገቢ ነው ብሎክ ለ 3 ቀናት ተዘጋጅቷል እና በዚህ ጊዜ ውስጥ ምንም አይነት ጥቃት ካልተደረሰበት ይህ ምንጭ ይወገዳል. "ጥቁር ዝርዝር" በራስ-ሰር. የታገዱ ምንጮች ዝርዝር በየ 300 ሰከንድ ይሻሻላል.
ይህ ዝርዝር እዚህ ይገኛል፡- በእሱ ላይ በመመስረት የእርስዎን ACLs መገንባት ይችላሉ።
የእንደዚህ ዓይነቱን ስርዓት ምንጭ ኮድ ለመጋራት ዝግጁ ነን ፣ በውስጡ ምንም የተወሳሰበ ነገር የለም (እነዚህ ጥቂት ቀላል ስክሪፕቶች በጥቂት ሰዓታት ውስጥ “በጉልበት ላይ”) እና በተመሳሳይ ጊዜ ማስተካከል ይቻላል ። እና ከእንዲህ ዓይነቱ ጥቃት ለመከላከል ብቻ ሳይሆን አውታረ መረቡን ለመቃኘት የሚደረጉ ሙከራዎችን ለማወቅ እና ለማገድ ይጠቅማል፡
በተጨማሪም ፣ በክትትል ስርዓቱ ቅንጅቶች ላይ አንዳንድ ለውጦችን አድርገናል ፣ አሁን በደመናችን ውስጥ ያሉ ምናባዊ አገልጋዮች የቁጥጥር ቡድን የ RDP ግንኙነት ለመመስረት ሲሞክሩ የሰጡትን ምላሽ በቅርበት ይከታተላል-ምላሹ በሰከንድ ውስጥ ካልተከተለ። , ይህ ትኩረት ለመስጠት ምክንያት ነው.
መፍትሄው በጣም ውጤታማ ሆኖ ተገኝቷል፡ ከሁለቱም ደንበኞች እና አጋሮች እና ከክትትል ስርዓቱ ምንም ተጨማሪ ቅሬታዎች የሉም። አዲስ አድራሻዎች እና ሙሉ ኔትወርኮች በመደበኛነት በጥቁር መዝገብ ውስጥ ይካተታሉ፣ ይህ የሚያመለክተው ጥቃቱ እንደቀጠለ ነው፣ ነገር ግን ከአሁን በኋላ የደንበኞቻችንን ስራ አይጎዳም።
በመስክ ውስጥ ያለው አንድ ተዋጊ አይደለም
ዛሬ ሌሎች ኦፕሬተሮች ተመሳሳይ ችግር እንዳጋጠማቸው አውቀናል. አንድ ሰው አሁንም ማይክሮሶፍት በሩቅ መዳረሻ አገልግሎት ኮድ ላይ አንዳንድ ለውጦችን እንዳደረገ ያምናል (ካስታወሱት በመጀመሪያው ቀን ተመሳሳይ ነገር ጠርጥረን ነበር ነገርግን ይህን እትም በቅርቡ ውድቅ አድርገነዋል) እና መፍትሄ ለመፈለግ የተቻለውን ሁሉ ለማድረግ ቃል ገብቷል . አንድ ሰው በቀላሉ ችግሩን ችላ ብሎ ደንበኞቹን እንዲከላከሉ ይመክራል (የግንኙነቱን ወደብ ይለውጡ, አገልጋዩን በግል አውታረ መረብ ውስጥ ይደብቁ, ወዘተ). እና ገና በመጀመሪያው ቀን፣ ይህንን ችግር ከመፍታት ባለፈ ልንዘረጋው ላቀድነው ለበለጠ አለምአቀፍ የስጋት ማወቂያ ስርዓት አንዳንድ መሰረት ፈጠርን።
ልዩ ምስጋና ለደንበኞቻችን እና አጋሮቻችን ዝም ላላሉት እና በወንዙ ዳር ተቀምጠው የጠላት አስከሬን አንድ ቀን እንዲንሳፈፍ ጠብቀው ላልጠበቁት ነገር ግን ወዲያውኑ ትኩረታችንን ወደ ችግሩ ስቧል ፣ ይህም እንድንሆን እድል ሰጠን። በተመሳሳይ ቀን ያስወግዱት.
ምንጭ: hab.com