ઇનકમિંગ SSH જોડાણો માટે ટ્રેપ (ટાર્પિટ).

તે કોઈ રહસ્ય નથી કે ઇન્ટરનેટ ખૂબ જ પ્રતિકૂળ વાતાવરણ છે. જલદી તમે સર્વર ઉભા કરો છો, તે તરત જ મોટા હુમલાઓ અને બહુવિધ સ્કેનનો ભોગ બને છે. દાખ્લા તરીકે સુરક્ષા રક્ષકો પાસેથી મધપૂડો તમે આ કચરાના ટ્રાફિકના સ્કેલનો અંદાજ લગાવી શકો છો. હકીકતમાં, સરેરાશ સર્વર પર, 99% ટ્રાફિક દૂષિત હોઈ શકે છે.

ટેરપિટ એ એક ટ્રેપ પોર્ટ છે જેનો ઉપયોગ ઇનકમિંગ કનેક્શનને ધીમું કરવા માટે થાય છે. જો તૃતીય-પક્ષ સિસ્ટમ આ પોર્ટ સાથે કનેક્ટ થાય છે, તો તમે ઝડપથી કનેક્શન બંધ કરી શકશો નહીં. તેણીએ તેના સિસ્ટમ સંસાધનોનો બગાડ કરવો પડશે અને કનેક્શન સમય સમાપ્ત થાય ત્યાં સુધી રાહ જોવી પડશે, અથવા તેને મેન્યુઅલી સમાપ્ત કરવી પડશે.

મોટેભાગે, રક્ષણ માટે ટેરપિટ્સનો ઉપયોગ થાય છે. આ ટેકનિક સૌ પ્રથમ કોમ્પ્યુટર વોર્મ્સ સામે રક્ષણ આપવા માટે વિકસાવવામાં આવી હતી. અને હવે તેનો ઉપયોગ સ્પામર્સ અને સંશોધકોના જીવનને બરબાદ કરવા માટે થઈ શકે છે જેઓ એક પંક્તિમાં તમામ IP સરનામાંના વ્યાપક સ્કેનિંગમાં રોકાયેલા છે (હેબ્રે પરના ઉદાહરણો: ઓસ્ટ્રિયા, યુક્રેન).

ક્રિસ વેલોન્સ નામના સિસ્ટમ એડમિનિસ્ટ્રેટરોમાંથી એક દેખીતી રીતે આ બદનામી જોઈને કંટાળી ગયો હતો - અને તેણે એક નાનો કાર્યક્રમ લખ્યો હતો. અનંત, SSH માટે ટેરપિટ કે જે ઇનકમિંગ કનેક્શનને ધીમું કરે છે. પ્રોગ્રામ પોર્ટ ખોલે છે (પરીક્ષણ માટેનું ડિફોલ્ટ પોર્ટ 2222 છે) અને SSH સર્વર હોવાનો ઢોંગ કરે છે, પરંતુ વાસ્તવમાં તે ઇનકમિંગ ક્લાયન્ટ સાથે અનંત જોડાણ સ્થાપિત કરે છે જ્યાં સુધી તે છોડી ન દે. ક્લાયંટ બંધ ન થાય ત્યાં સુધી આ ઘણા દિવસો કે તેથી વધુ સમય સુધી ચાલુ રહી શકે છે.

ઉપયોગિતાની સ્થાપના:

$ make
$ ./endlessh &
$ ssh -p2222 localhost

યોગ્ય રીતે અમલમાં મૂકાયેલ ટર્પિટ હુમલાખોર પાસેથી તમારા કરતાં વધુ સંસાધનો લેશે. પરંતુ તે સંસાધનોની બાબત પણ નથી. લેખક તેઓ લખે છેકે કાર્યક્રમ વ્યસનકારક છે. અત્યારે તેના 27 ગ્રાહકો ફસાયેલા છે, જેમાંથી કેટલાક અઠવાડિયાથી જોડાયેલા છે. પ્રવૃત્તિની ટોચ પર, 1378 ગ્રાહકો 20 કલાક સુધી ફસાયેલા હતા!

ઓપરેટિંગ મોડમાં, એન્ડલેશ સર્વરને સામાન્ય પોર્ટ 22 પર ઇન્સ્ટોલ કરવાની જરૂર છે, જ્યાં ગુંડાઓ એક સાથે પછાડે છે. માનક સુરક્ષા ભલામણો હંમેશા SSH ને અલગ પોર્ટ પર ખસેડવાની સલાહ આપે છે, જે તુરંત જ લોગના કદને તીવ્રતાના ક્રમમાં ઘટાડે છે.

ક્રિસ વેલોન્સ કહે છે કે તેમનો પ્રોગ્રામ સ્પષ્ટીકરણના એક ફકરાનું શોષણ કરે છે આરએફસી 4253 SSH પ્રોટોકોલ માટે. TCP કનેક્શન સ્થાપિત થયા પછી તરત જ, પરંતુ ક્રિપ્ટોગ્રાફી લાગુ થાય તે પહેલાં, બંને પક્ષોએ એક ઓળખ સ્ટ્રિંગ મોકલવી આવશ્યક છે. અને એક નોંધ પણ છે: "સંસ્કરણ પંક્તિ મોકલતા પહેલા સર્વર ડેટાની અન્ય પંક્તિઓ મોકલી શકે છે". અને કોઈ મર્યાદા નહી આ ડેટાના વોલ્યુમ પર, તમારે ફક્ત દરેક લાઇન સાથે શરૂ કરવાની જરૂર છે SSH-.

એન્ડલેશ પ્રોગ્રામ જે કરે છે તે આ બરાબર છે: તે મોકલે છે અનંત રેન્ડમલી જનરેટ થયેલ ડેટાનો પ્રવાહ, જે RFC 4253 નું પાલન કરે છે, એટલે કે, પ્રમાણીકરણ પહેલા મોકલો, અને દરેક લાઇન સાથે શરૂ થાય છે SSH- અને 255 અક્ષરોથી વધુ નથી, જેમાં લીટીના અંતના અક્ષરનો સમાવેશ થાય છે. સામાન્ય રીતે, બધું ધોરણ મુજબ છે.

મૂળભૂત રીતે, પ્રોગ્રામ પેકેટો મોકલવા વચ્ચે 10 સેકન્ડ રાહ જુએ છે. આ ક્લાયંટને સમય સમાપ્ત થવાથી અટકાવે છે, તેથી ક્લાયંટ કાયમ માટે ફસાઈ જશે.

ક્રિપ્ટોગ્રાફી લાગુ કરતાં પહેલાં ડેટા મોકલવામાં આવતો હોવાથી, પ્રોગ્રામ અત્યંત સરળ છે. તેને કોઈપણ સાઇફર લાગુ કરવાની જરૂર નથી અને બહુવિધ પ્રોટોકોલ્સને સપોર્ટ કરે છે.

લેખકે એ સુનિશ્ચિત કરવાનો પ્રયાસ કર્યો કે ઉપયોગિતા ઓછામાં ઓછા સંસાધનોનો ઉપયોગ કરે છે અને મશીન પર સંપૂર્ણપણે ધ્યાન વગર કામ કરે છે. આધુનિક એન્ટિવાયરસ અને અન્ય "સુરક્ષા સિસ્ટમો" થી વિપરીત, તે તમારા કમ્પ્યુટરને ધીમું ન કરવું જોઈએ. થોડા વધુ ઘડાયેલું સોફ્ટવેર અમલીકરણને કારણે તે ટ્રાફિક અને મેમરી વપરાશ બંનેને ઘટાડવામાં સફળ રહ્યો. જો તે નવા કનેક્શન પર એક અલગ પ્રક્રિયા શરૂ કરે છે, તો સંભવિત હુમલાખોરો મશીન પર સંસાધનોને એક્ઝોસ્ટ કરવા માટે બહુવિધ કનેક્શન્સ ખોલીને DDoS હુમલો શરૂ કરી શકે છે. કનેક્શન દીઠ એક થ્રેડ પણ શ્રેષ્ઠ વિકલ્પ નથી, કારણ કે કર્નલ થ્રેડોનું સંચાલન કરવામાં સંસાધનોનો બગાડ કરશે.

તેથી જ ક્રિસ વેલોન્સે એન્ડલેશ માટે સૌથી હળવો વિકલ્પ પસંદ કર્યો: સિંગલ-થ્રેડેડ સર્વર poll(2), જ્યાં ટ્રેપમાંના ક્લાયન્ટ વર્ચ્યુઅલ રીતે કોઈ વધારાના સંસાધનોનો ઉપયોગ કરતા નથી, કર્નલમાં સોકેટ ઑબ્જેક્ટની ગણતરી કરતા નથી અને એન્ડલેશમાં ટ્રેકિંગ માટે અન્ય 78 બાઇટ્સ. દરેક ક્લાયંટ માટે બફર્સ પ્રાપ્ત કરવા અને મોકલવાનું ટાળવા માટે, એન્ડલેશ એક ડાયરેક્ટ એક્સેસ સોકેટ ખોલે છે અને લગભગ સમગ્ર ઓપરેટિંગ સિસ્ટમ TCP/IP સ્ટેકને બાયપાસ કરીને TCP પેકેટ્સનો સીધો અનુવાદ કરે છે. ઇનકમિંગ બફરની બિલકુલ જરૂર નથી, કારણ કે અમને ઇનકમિંગ ડેટામાં રસ નથી.

લેખક કહે છે કે તેમના કાર્યક્રમ સમયે ખબર ન હતી પાયથોનના એસીસીઓ અને અન્ય ટર્પિટ્સના અસ્તિત્વ વિશે. જો તે asycio વિશે જાણતો હોત, તો તે Python માં ફક્ત 18 લાઇનમાં તેની ઉપયોગિતાને અમલમાં મૂકી શકે છે:

import asyncio
import random

async def handler(_reader, writer):
try:
while True:
await asyncio.sleep(10)
writer.write(b'%xrn' % random.randint(0, 2**32))
await writer.drain()
except ConnectionResetError:
pass

async def main():
server = await asyncio.start_server(handler, '0.0.0.0', 2222)
async with server:
await server.serve_forever()

asyncio.run(main())

Asyncio tarpits લખવા માટે આદર્શ છે. ઉદાહરણ તરીકે, આ હૂક ફાયરફોક્સ, ક્રોમ અથવા અન્ય કોઈપણ ક્લાયંટને સ્થિર કરશે જે તમારા HTTP સર્વર સાથે ઘણા કલાકો સુધી કનેક્ટ કરવાનો પ્રયાસ કરી રહ્યું છે:

import asyncio
import random

async def handler(_reader, writer):
writer.write(b'HTTP/1.1 200 OKrn')
try:
while True:
await asyncio.sleep(5)
header = random.randint(0, 2**32)
value = random.randint(0, 2**32)
writer.write(b'X-%x: %xrn' % (header, value))
await writer.drain()
except ConnectionResetError:
pass

async def main():
server = await asyncio.start_server(handler, '0.0.0.0', 8080)
async with server:
await server.serve_forever()

asyncio.run(main())

ઓનલાઈન બદમાશોને સજા કરવા માટે તારપીટ એ એક ઉત્તમ સાધન છે. સાચું છે, તેનાથી વિપરીત, ચોક્કસ સર્વરના અસામાન્ય વર્તન તરફ તેમનું ધ્યાન દોરવાનું જોખમ છે. કોઈને બદલો લેવા વિશે વિચારી શકે છે અને તમારા IP પર લક્ષિત DDoS હુમલો. જો કે, અત્યાર સુધી આવા કોઈ કિસ્સા સામે આવ્યા નથી, અને tarpits મહાન કામ કરે છે.

હબ:
પાયથોન, માહિતી સુરક્ષા, સોફ્ટવેર, સિસ્ટમ એડમિનિસ્ટ્રેશન

ટૅગ્સ:
SSH, Endlesssh, tarpit, tarpit, trap, asycio
ઇનકમિંગ SSH જોડાણો માટે ટ્રેપ (ટાર્પિટ).

તે કોઈ રહસ્ય નથી કે ઇન્ટરનેટ ખૂબ જ પ્રતિકૂળ વાતાવરણ છે. જલદી તમે સર્વર ઉભા કરો છો, તે તરત જ મોટા હુમલાઓ અને બહુવિધ સ્કેનનો ભોગ બને છે. દાખ્લા તરીકે સુરક્ષા રક્ષકો પાસેથી મધપૂડો તમે આ કચરાના ટ્રાફિકના સ્કેલનો અંદાજ લગાવી શકો છો. હકીકતમાં, સરેરાશ સર્વર પર, 99% ટ્રાફિક દૂષિત હોઈ શકે છે.

ટેરપિટ એ એક ટ્રેપ પોર્ટ છે જેનો ઉપયોગ ઇનકમિંગ કનેક્શનને ધીમું કરવા માટે થાય છે. જો તૃતીય-પક્ષ સિસ્ટમ આ પોર્ટ સાથે કનેક્ટ થાય છે, તો તમે ઝડપથી કનેક્શન બંધ કરી શકશો નહીં. તેણીએ તેના સિસ્ટમ સંસાધનોનો બગાડ કરવો પડશે અને કનેક્શન સમય સમાપ્ત થાય ત્યાં સુધી રાહ જોવી પડશે, અથવા તેને મેન્યુઅલી સમાપ્ત કરવી પડશે.

મોટેભાગે, રક્ષણ માટે ટેરપિટ્સનો ઉપયોગ થાય છે. આ ટેકનિક સૌ પ્રથમ કોમ્પ્યુટર વોર્મ્સ સામે રક્ષણ આપવા માટે વિકસાવવામાં આવી હતી. અને હવે તેનો ઉપયોગ સ્પામર્સ અને સંશોધકોના જીવનને બરબાદ કરવા માટે થઈ શકે છે જેઓ એક પંક્તિમાં તમામ IP સરનામાંના વ્યાપક સ્કેનિંગમાં રોકાયેલા છે (હેબ્રે પરના ઉદાહરણો: ઓસ્ટ્રિયા, યુક્રેન).

ક્રિસ વેલોન્સ નામના સિસ્ટમ એડમિનિસ્ટ્રેટરોમાંથી એક દેખીતી રીતે આ બદનામી જોઈને કંટાળી ગયો હતો - અને તેણે એક નાનો કાર્યક્રમ લખ્યો હતો. અનંત, SSH માટે ટેરપિટ કે જે ઇનકમિંગ કનેક્શનને ધીમું કરે છે. પ્રોગ્રામ પોર્ટ ખોલે છે (પરીક્ષણ માટેનું ડિફોલ્ટ પોર્ટ 2222 છે) અને SSH સર્વર હોવાનો ઢોંગ કરે છે, પરંતુ વાસ્તવમાં તે ઇનકમિંગ ક્લાયન્ટ સાથે અનંત જોડાણ સ્થાપિત કરે છે જ્યાં સુધી તે છોડી ન દે. ક્લાયંટ બંધ ન થાય ત્યાં સુધી આ ઘણા દિવસો કે તેથી વધુ સમય સુધી ચાલુ રહી શકે છે.

ઉપયોગિતાની સ્થાપના:

$ make
$ ./endlessh &
$ ssh -p2222 localhost

યોગ્ય રીતે અમલમાં મૂકાયેલ ટર્પિટ હુમલાખોર પાસેથી તમારા કરતાં વધુ સંસાધનો લેશે. પરંતુ તે સંસાધનોની બાબત પણ નથી. લેખક તેઓ લખે છેકે કાર્યક્રમ વ્યસનકારક છે. અત્યારે તેના 27 ગ્રાહકો ફસાયેલા છે, જેમાંથી કેટલાક અઠવાડિયાથી જોડાયેલા છે. પ્રવૃત્તિની ટોચ પર, 1378 ગ્રાહકો 20 કલાક સુધી ફસાયેલા હતા!

ઓપરેટિંગ મોડમાં, એન્ડલેશ સર્વરને સામાન્ય પોર્ટ 22 પર ઇન્સ્ટોલ કરવાની જરૂર છે, જ્યાં ગુંડાઓ એક સાથે પછાડે છે. માનક સુરક્ષા ભલામણો હંમેશા SSH ને અલગ પોર્ટ પર ખસેડવાની સલાહ આપે છે, જે તુરંત જ લોગના કદને તીવ્રતાના ક્રમમાં ઘટાડે છે.

ક્રિસ વેલોન્સ કહે છે કે તેમનો પ્રોગ્રામ સ્પષ્ટીકરણના એક ફકરાનું શોષણ કરે છે આરએફસી 4253 SSH પ્રોટોકોલ માટે. TCP કનેક્શન સ્થાપિત થયા પછી તરત જ, પરંતુ ક્રિપ્ટોગ્રાફી લાગુ થાય તે પહેલાં, બંને પક્ષોએ એક ઓળખ સ્ટ્રિંગ મોકલવી આવશ્યક છે. અને એક નોંધ પણ છે: "સંસ્કરણ પંક્તિ મોકલતા પહેલા સર્વર ડેટાની અન્ય પંક્તિઓ મોકલી શકે છે". અને કોઈ મર્યાદા નહી આ ડેટાના વોલ્યુમ પર, તમારે ફક્ત દરેક લાઇન સાથે શરૂ કરવાની જરૂર છે SSH-.

એન્ડલેશ પ્રોગ્રામ જે કરે છે તે આ બરાબર છે: તે મોકલે છે અનંત રેન્ડમલી જનરેટ થયેલ ડેટાનો પ્રવાહ, જે RFC 4253 નું પાલન કરે છે, એટલે કે, પ્રમાણીકરણ પહેલા મોકલો, અને દરેક લાઇન સાથે શરૂ થાય છે SSH- અને 255 અક્ષરોથી વધુ નથી, જેમાં લીટીના અંતના અક્ષરનો સમાવેશ થાય છે. સામાન્ય રીતે, બધું ધોરણ મુજબ છે.

મૂળભૂત રીતે, પ્રોગ્રામ પેકેટો મોકલવા વચ્ચે 10 સેકન્ડ રાહ જુએ છે. આ ક્લાયંટને સમય સમાપ્ત થવાથી અટકાવે છે, તેથી ક્લાયંટ કાયમ માટે ફસાઈ જશે.

ક્રિપ્ટોગ્રાફી લાગુ કરતાં પહેલાં ડેટા મોકલવામાં આવતો હોવાથી, પ્રોગ્રામ અત્યંત સરળ છે. તેને કોઈપણ સાઇફર લાગુ કરવાની જરૂર નથી અને બહુવિધ પ્રોટોકોલ્સને સપોર્ટ કરે છે.

લેખકે એ સુનિશ્ચિત કરવાનો પ્રયાસ કર્યો કે ઉપયોગિતા ઓછામાં ઓછા સંસાધનોનો ઉપયોગ કરે છે અને મશીન પર સંપૂર્ણપણે ધ્યાન વગર કામ કરે છે. આધુનિક એન્ટિવાયરસ અને અન્ય "સુરક્ષા સિસ્ટમો" થી વિપરીત, તે તમારા કમ્પ્યુટરને ધીમું ન કરવું જોઈએ. થોડા વધુ ઘડાયેલું સોફ્ટવેર અમલીકરણને કારણે તે ટ્રાફિક અને મેમરી વપરાશ બંનેને ઘટાડવામાં સફળ રહ્યો. જો તે નવા કનેક્શન પર એક અલગ પ્રક્રિયા શરૂ કરે છે, તો સંભવિત હુમલાખોરો મશીન પર સંસાધનોને એક્ઝોસ્ટ કરવા માટે બહુવિધ કનેક્શન્સ ખોલીને DDoS હુમલો શરૂ કરી શકે છે. કનેક્શન દીઠ એક થ્રેડ પણ શ્રેષ્ઠ વિકલ્પ નથી, કારણ કે કર્નલ થ્રેડોનું સંચાલન કરવામાં સંસાધનોનો બગાડ કરશે.

તેથી જ ક્રિસ વેલોન્સે એન્ડલેશ માટે સૌથી હળવો વિકલ્પ પસંદ કર્યો: સિંગલ-થ્રેડેડ સર્વર poll(2), જ્યાં ટ્રેપમાંના ક્લાયન્ટ વર્ચ્યુઅલ રીતે કોઈ વધારાના સંસાધનોનો ઉપયોગ કરતા નથી, કર્નલમાં સોકેટ ઑબ્જેક્ટની ગણતરી કરતા નથી અને એન્ડલેશમાં ટ્રેકિંગ માટે અન્ય 78 બાઇટ્સ. દરેક ક્લાયંટ માટે બફર્સ પ્રાપ્ત કરવા અને મોકલવાનું ટાળવા માટે, એન્ડલેશ એક ડાયરેક્ટ એક્સેસ સોકેટ ખોલે છે અને લગભગ સમગ્ર ઓપરેટિંગ સિસ્ટમ TCP/IP સ્ટેકને બાયપાસ કરીને TCP પેકેટ્સનો સીધો અનુવાદ કરે છે. ઇનકમિંગ બફરની બિલકુલ જરૂર નથી, કારણ કે અમને ઇનકમિંગ ડેટામાં રસ નથી.

લેખક કહે છે કે તેમના કાર્યક્રમ સમયે ખબર ન હતી પાયથોનના એસીસીઓ અને અન્ય ટર્પિટ્સના અસ્તિત્વ વિશે. જો તે asycio વિશે જાણતો હોત, તો તે Python માં ફક્ત 18 લાઇનમાં તેની ઉપયોગિતાને અમલમાં મૂકી શકે છે:

import asyncio
import random

async def handler(_reader, writer):
try:
while True:
await asyncio.sleep(10)
writer.write(b'%xrn' % random.randint(0, 2**32))
await writer.drain()
except ConnectionResetError:
pass

async def main():
server = await asyncio.start_server(handler, '0.0.0.0', 2222)
async with server:
await server.serve_forever()

asyncio.run(main())

Asyncio tarpits લખવા માટે આદર્શ છે. ઉદાહરણ તરીકે, આ હૂક ફાયરફોક્સ, ક્રોમ અથવા અન્ય કોઈપણ ક્લાયંટને સ્થિર કરશે જે તમારા HTTP સર્વર સાથે ઘણા કલાકો સુધી કનેક્ટ કરવાનો પ્રયાસ કરી રહ્યું છે:

import asyncio
import random

async def handler(_reader, writer):
writer.write(b'HTTP/1.1 200 OKrn')
try:
while True:
await asyncio.sleep(5)
header = random.randint(0, 2**32)
value = random.randint(0, 2**32)
writer.write(b'X-%x: %xrn' % (header, value))
await writer.drain()
except ConnectionResetError:
pass

async def main():
server = await asyncio.start_server(handler, '0.0.0.0', 8080)
async with server:
await server.serve_forever()

asyncio.run(main())

ઓનલાઈન બદમાશોને સજા કરવા માટે તારપીટ એ એક ઉત્તમ સાધન છે. સાચું છે, તેનાથી વિપરીત, ચોક્કસ સર્વરના અસામાન્ય વર્તન તરફ તેમનું ધ્યાન દોરવાનું જોખમ છે. કોઈને બદલો લેવા વિશે વિચારી શકે છે અને તમારા IP પર લક્ષિત DDoS હુમલો. જો કે, અત્યાર સુધી આવા કોઈ કિસ્સા સામે આવ્યા નથી, અને tarpits મહાન કામ કરે છે.

સોર્સ: www.habr.com