מלכודת (ברזנט) עבור חיבורי SSH נכנסים

זה לא סוד שהאינטרנט הוא סביבה מאוד עוינת. ברגע שאתה מעלה שרת, הוא נתון באופן מיידי להתקפות מסיביות ולסריקות מרובות. לדוגמה סיר דבש של מאבטחים אתה יכול להעריך את היקף תנועת האשפה הזו. למעשה, בשרת הממוצע, 99% מהתנועה עשויה להיות זדונית.

Tarpit הוא יציאת מלכודת המשמשת להאטת חיבורים נכנסים. אם מערכת צד שלישי מתחברת ליציאה זו, לא תוכל לסגור את החיבור במהירות. היא תצטרך לבזבז את משאבי המערכת שלה ולהמתין עד לפסק זמן של החיבור, או לסיים אותו באופן ידני.

לרוב, ברזנט משמשים להגנה. הטכניקה פותחה לראשונה כדי להגן מפני תולעי מחשב. ועכשיו זה יכול לשמש כדי להרוס את חייהם של שולחי דואר זבל וחוקרים שעוסקים בסריקה רחבה של כל כתובות ה-IP ברצף (דוגמאות על Habré: אוסטריה, אוקראינה).

לאחד ממנהלי המערכת בשם כריס ולונס נמאס כנראה לצפות בביזיון הזה - והוא כתב תוכנית קטנה אינסופי, ברזנט ל-SSH שמאט את החיבורים הנכנסים. התוכנה פותחת פורט (פורט ברירת המחדל לבדיקה הוא 2222) ומתיימרת להיות שרת SSH, אך למעשה היא יוצרת קשר אינסופי עם הלקוח הנכנס עד שהוא מוותר. זה עשוי להימשך מספר ימים או יותר עד שהלקוח נופל.

התקנה של כלי השירות:

$ make
$ ./endlessh &
$ ssh -p2222 localhost

ברזנט מיושם כהלכה ייקח יותר משאבים מהתוקף מאשר ממך. אבל זה אפילו לא עניין של משאבים. מְחַבֵּר כותבשהתוכנית ממכרת. כרגע יש לו 27 לקוחות לכודים, חלקם מחוברים במשך שבועות. בשיא הפעילות 1378 לקוחות נלכדו למשך 20 שעות!

במצב הפעלה, יש להתקין את שרת ה-Endlessh בפורט 22 הרגיל, שבו חוליגנים דופקים בהמוניהם. המלצות אבטחה סטנדרטיות תמיד ממליצות להעביר את SSH ליציאה אחרת, מה שמקטין מיד את גודל היומנים בסדר גודל.

כריס וולון אומר שהתוכנית שלו מנצלת פסקה אחת מהמפרט RFC 4253 לפרוטוקול SSH. מיד לאחר יצירת חיבור TCP, אך לפני החלת הצפנה, שני הצדדים חייבים לשלוח מחרוזת זיהוי. ויש גם הערה: "השרת עשוי לשלוח שורות אחרות של נתונים לפני שליחת שורת הגרסה". ו אין גבול על נפח הנתונים האלה, אתה רק צריך להתחיל כל שורה עם SSH-.

זה בדיוק מה שהתוכנית Endlessh עושה: זה שולח אינסופי זרם של נתונים שנוצרו באופן אקראי, אשר תואמים ל-RFC 4253, כלומר, שולחים לפני אימות, וכל שורה מתחילה עם SSH- ואינו עולה על 255 תווים, כולל תו סיום השורה. באופן כללי הכל לפי התקן.

כברירת מחדל, התוכנית ממתינה 10 שניות בין שליחת מנות. זה מונע מהלקוח להגיע לזמן קצוב, כך שהלקוח יהיה לכוד לנצח.

מכיוון שהנתונים נשלחים לפני החלת הצפנה, התוכנית פשוטה ביותר. זה לא צריך ליישם שום צופן ותומך במספר פרוטוקולים.

המחבר ניסה להבטיח שתוכנית השירות צורכת מינימום של משאבים ופועלת ללא תשומת לב לחלוטין על המכונה. בניגוד לאנטי וירוסים מודרניים ו"מערכות אבטחה" אחרות, זה לא אמור להאט את המחשב שלך. הוא הצליח למזער הן את התעבורה והן את צריכת הזיכרון בגלל הטמעת תוכנה קצת יותר ערמומית. אם זה פשוט השיק תהליך נפרד בחיבור חדש, אז תוקפים פוטנציאליים יכולים להשיק מתקפת DDoS על ידי פתיחת מספר חיבורים כדי למצות משאבים על המחשב. שרשור אחד לכל חיבור הוא גם לא האפשרות הטובה ביותר, מכיוון שהקרנל יבזבז משאבים בניהול שרשורים.

זו הסיבה שכריס ולונס בחר באפשרות הקלה ביותר עבור Endlessh: שרת חוט יחיד poll(2), כאשר הלקוחות במלכודת כמעט ולא צורכים משאבים נוספים, לא סופרים את אובייקט ה-socket בקרנל ועוד 78 בתים למעקב ב-Endlessh. כדי להימנע מהצורך להקצות מאגרי קבלה ושליחה עבור כל לקוח, Endlessh פותחת שקע גישה ישירה ומתרגמת מנות TCP ישירות, תוך עקיפת כמעט כל ערימת ה-TCP/IP של מערכת ההפעלה. המאגר הנכנס אינו נחוץ כלל, כי איננו מעוניינים בנתונים הנכנסים.

המחבר אומר את זה בזמן התוכנית שלו לא ידעתי על קיומם של אסיציו של פייתון ושאר יריעות. אם הוא ידע על asycio, הוא יכול ליישם את השירות שלו ב-18 שורות בלבד ב-Python:

import asyncio
import random

async def handler(_reader, writer):
try:
while True:
await asyncio.sleep(10)
writer.write(b'%xrn' % random.randint(0, 2**32))
await writer.drain()
except ConnectionResetError:
pass

async def main():
server = await asyncio.start_server(handler, '0.0.0.0', 2222)
async with server:
await server.serve_forever()

asyncio.run(main())

Asyncio אידיאלי לכתיבת ברזנט. לדוגמה, הוק הזה יקפיא את Firefox, Chrome או כל לקוח אחר שמנסה להתחבר לשרת ה-HTTP שלך למשך שעות רבות:

import asyncio
import random

async def handler(_reader, writer):
writer.write(b'HTTP/1.1 200 OKrn')
try:
while True:
await asyncio.sleep(5)
header = random.randint(0, 2**32)
value = random.randint(0, 2**32)
writer.write(b'X-%x: %xrn' % (header, value))
await writer.drain()
except ConnectionResetError:
pass

async def main():
server = await asyncio.start_server(handler, '0.0.0.0', 8080)
async with server:
await server.serve_forever()

asyncio.run(main())

Tarpit הוא כלי נהדר להענשת בריונים מקוונים. נכון, יש סיכון מסוים, להיפך, בהפניית תשומת לבם להתנהגות יוצאת דופן של שרת מסוים. מִישֶׁהוּ יכול לחשוב על נקמה והתקפת DDoS ממוקדת על ה-IP שלך. עם זאת, עד כה לא היו מקרים כאלה, והיריעות פועלות מצוין.

רכזות:
Python, אבטחת מידע, תוכנה, ניהול מערכת

תגיות:
SSH, Endlessh, ברזנט, ברזנט, מלכודת, asycio
מלכודת (ברזנט) עבור חיבורי SSH נכנסים

זה לא סוד שהאינטרנט הוא סביבה מאוד עוינת. ברגע שאתה מעלה שרת, הוא נתון באופן מיידי להתקפות מסיביות ולסריקות מרובות. לדוגמה סיר דבש של מאבטחים אתה יכול להעריך את היקף תנועת האשפה הזו. למעשה, בשרת הממוצע, 99% מהתנועה עשויה להיות זדונית.

Tarpit הוא יציאת מלכודת המשמשת להאטת חיבורים נכנסים. אם מערכת צד שלישי מתחברת ליציאה זו, לא תוכל לסגור את החיבור במהירות. היא תצטרך לבזבז את משאבי המערכת שלה ולהמתין עד לפסק זמן של החיבור, או לסיים אותו באופן ידני.

לרוב, ברזנט משמשים להגנה. הטכניקה פותחה לראשונה כדי להגן מפני תולעי מחשב. ועכשיו זה יכול לשמש כדי להרוס את חייהם של שולחי דואר זבל וחוקרים שעוסקים בסריקה רחבה של כל כתובות ה-IP ברצף (דוגמאות על Habré: אוסטריה, אוקראינה).

לאחד ממנהלי המערכת בשם כריס ולונס נמאס כנראה לצפות בביזיון הזה - והוא כתב תוכנית קטנה אינסופי, ברזנט ל-SSH שמאט את החיבורים הנכנסים. התוכנה פותחת פורט (פורט ברירת המחדל לבדיקה הוא 2222) ומתיימרת להיות שרת SSH, אך למעשה היא יוצרת קשר אינסופי עם הלקוח הנכנס עד שהוא מוותר. זה עשוי להימשך מספר ימים או יותר עד שהלקוח נופל.

התקנה של כלי השירות:

$ make
$ ./endlessh &
$ ssh -p2222 localhost

ברזנט מיושם כהלכה ייקח יותר משאבים מהתוקף מאשר ממך. אבל זה אפילו לא עניין של משאבים. מְחַבֵּר כותבשהתוכנית ממכרת. כרגע יש לו 27 לקוחות לכודים, חלקם מחוברים במשך שבועות. בשיא הפעילות 1378 לקוחות נלכדו למשך 20 שעות!

במצב הפעלה, יש להתקין את שרת ה-Endlessh בפורט 22 הרגיל, שבו חוליגנים דופקים בהמוניהם. המלצות אבטחה סטנדרטיות תמיד ממליצות להעביר את SSH ליציאה אחרת, מה שמקטין מיד את גודל היומנים בסדר גודל.

כריס וולון אומר שהתוכנית שלו מנצלת פסקה אחת מהמפרט RFC 4253 לפרוטוקול SSH. מיד לאחר יצירת חיבור TCP, אך לפני החלת הצפנה, שני הצדדים חייבים לשלוח מחרוזת זיהוי. ויש גם הערה: "השרת עשוי לשלוח שורות אחרות של נתונים לפני שליחת שורת הגרסה". ו אין גבול על נפח הנתונים האלה, אתה רק צריך להתחיל כל שורה עם SSH-.

זה בדיוק מה שהתוכנית Endlessh עושה: זה שולח אינסופי זרם של נתונים שנוצרו באופן אקראי, אשר תואמים ל-RFC 4253, כלומר, שולחים לפני אימות, וכל שורה מתחילה עם SSH- ואינו עולה על 255 תווים, כולל תו סיום השורה. באופן כללי הכל לפי התקן.

כברירת מחדל, התוכנית ממתינה 10 שניות בין שליחת מנות. זה מונע מהלקוח להגיע לזמן קצוב, כך שהלקוח יהיה לכוד לנצח.

מכיוון שהנתונים נשלחים לפני החלת הצפנה, התוכנית פשוטה ביותר. זה לא צריך ליישם שום צופן ותומך במספר פרוטוקולים.

המחבר ניסה להבטיח שתוכנית השירות צורכת מינימום של משאבים ופועלת ללא תשומת לב לחלוטין על המכונה. בניגוד לאנטי וירוסים מודרניים ו"מערכות אבטחה" אחרות, זה לא אמור להאט את המחשב שלך. הוא הצליח למזער הן את התעבורה והן את צריכת הזיכרון בגלל הטמעת תוכנה קצת יותר ערמומית. אם זה פשוט השיק תהליך נפרד בחיבור חדש, אז תוקפים פוטנציאליים יכולים להשיק מתקפת DDoS על ידי פתיחת מספר חיבורים כדי למצות משאבים על המחשב. שרשור אחד לכל חיבור הוא גם לא האפשרות הטובה ביותר, מכיוון שהקרנל יבזבז משאבים בניהול שרשורים.

זו הסיבה שכריס ולונס בחר באפשרות הקלה ביותר עבור Endlessh: שרת חוט יחיד poll(2), כאשר הלקוחות במלכודת כמעט ולא צורכים משאבים נוספים, לא סופרים את אובייקט ה-socket בקרנל ועוד 78 בתים למעקב ב-Endlessh. כדי להימנע מהצורך להקצות מאגרי קבלה ושליחה עבור כל לקוח, Endlessh פותחת שקע גישה ישירה ומתרגמת מנות TCP ישירות, תוך עקיפת כמעט כל ערימת ה-TCP/IP של מערכת ההפעלה. המאגר הנכנס אינו נחוץ כלל, כי איננו מעוניינים בנתונים הנכנסים.

המחבר אומר את זה בזמן התוכנית שלו לא ידעתי על קיומם של אסיציו של פייתון ושאר יריעות. אם הוא ידע על asycio, הוא יכול ליישם את השירות שלו ב-18 שורות בלבד ב-Python:

import asyncio
import random

async def handler(_reader, writer):
try:
while True:
await asyncio.sleep(10)
writer.write(b'%xrn' % random.randint(0, 2**32))
await writer.drain()
except ConnectionResetError:
pass

async def main():
server = await asyncio.start_server(handler, '0.0.0.0', 2222)
async with server:
await server.serve_forever()

asyncio.run(main())

Asyncio אידיאלי לכתיבת ברזנט. לדוגמה, הוק הזה יקפיא את Firefox, Chrome או כל לקוח אחר שמנסה להתחבר לשרת ה-HTTP שלך למשך שעות רבות:

import asyncio
import random

async def handler(_reader, writer):
writer.write(b'HTTP/1.1 200 OKrn')
try:
while True:
await asyncio.sleep(5)
header = random.randint(0, 2**32)
value = random.randint(0, 2**32)
writer.write(b'X-%x: %xrn' % (header, value))
await writer.drain()
except ConnectionResetError:
pass

async def main():
server = await asyncio.start_server(handler, '0.0.0.0', 8080)
async with server:
await server.serve_forever()

asyncio.run(main())

Tarpit הוא כלי נהדר להענשת בריונים מקוונים. נכון, יש סיכון מסוים, להיפך, בהפניית תשומת לבם להתנהגות יוצאת דופן של שרת מסוים. מִישֶׁהוּ יכול לחשוב על נקמה והתקפת DDoS ממוקדת על ה-IP שלך. עם זאת, עד כה לא היו מקרים כאלה, והיריעות פועלות מצוין.

מקור: www.habr.com