受信 SSH 接続用のトラップ (タールピット)

インターネットが非常に敵対的な環境であることは周知の事実です。 サーバーを立ち上げるとすぐに、大規模な攻撃と複数のスキャンにさらされます。 例えば 警備員からのハニーポット このガベージ トラフィックの規模を推定できます。 実際、平均的なサーバーでは、トラフィックの 99% が悪意のあるものである可能性があります。

Tarpit は、受信接続の速度を低下させるために使用されるトラップ ポートです。 サードパーティ システムがこのポートに接続している場合、接続をすぐに閉じることはできません。 システム リソースを無駄にして接続がタイムアウトになるまで待つか、手動で接続を終了する必要があります。

ほとんどの場合、ターピットは保護のために使用されます。 この技術は、最初はコンピュータ ワームから保護するために開発されました。 そして今では、これを使用して、すべての IP アドレスを連続して大規模にスキャンするスパマーや研究者の生活を台無しにすることができます (ハブレの例: オーストリア, ウクライナ).

Chris Wellons という名前のシステム管理者の XNUMX 人は、明らかにこの恥辱を見るのにうんざりしていた - そして彼は小さなプログラムを書いた エンドレス、受信接続を遅くする SSH 用のタールピット。 このプログラムはポート (テスト用のデフォルト ポートは 2222) を開き、SSH サーバーのふりをしますが、実際には、受信クライアントとの接続を断念するまで無限の接続を確立します。 これはクライアントが落ちるまで数日以上続く場合があります。

ユーティリティのインストール:

$ make
$ ./endlessh &
$ ssh -p2222 localhost

適切に実装されたタールピットは、あなたからよりも攻撃者からより多くのリソースを奪います。 しかし、それは資源の問題でもありません。 著者 пишетそのプログラムには中毒性があるということ。 現在、27 人のクライアントが閉じ込められており、中には数週間接続されているクライアントもいます。 活動のピーク時には、1378 人のクライアントが 20 時間閉じ込められました。

動作モードでは、Endlessh サーバーは、フーリガンが一斉に攻撃する通常のポート 22 にインストールする必要があります。 標準のセキュリティ推奨事項では、SSH を別のポートに移動することを常に推奨しています。これにより、ログのサイズが即座に桁違いに減少します。

Chris Wellons 氏は、彼のプログラムは仕様の XNUMX つの段落を悪用していると述べています RFC 4253 SSHプロトコルに接続します。 TCP 接続が確立された直後、暗号化が適用される前に、双方が識別文字列を送信する必要があります。 そして、次のような注意書きもあります。 「サーバーはバージョン行を送信する前に、他のデータ行を送信してもよいです」。 と 制限なし このデータの量に関しては、各行を次のように始めるだけで済みます。 SSH-.

これはまさに Endlessh プログラムが行うことです。 送信します 果てしない ランダムに生成されたデータのストリームこれは RFC 4253 に準拠しており、認証前に送信され、各行は次で始まります。 SSH- 行末文字を含めて 255 文字を超えてはなりません。 一般に、すべてが標準に従っています。

デフォルトでは、プログラムはパケットを送信するまでに 10 秒待機します。 これにより、クライアントがタイムアウトになることがなくなり、クライアントは永久にトラップされることになります。

暗号化が適用される前にデータが送信されるため、プログラムは非常に単純です。 暗号を実装する必要はなく、複数のプロトコルをサポートします。

作成者は、ユーティリティが最小限のリソースを消費し、マシン上でまったく気付かれずに動作することを保証しようとしました。 最新のウイルス対策ソフトやその他の「セキュリティ システム」とは異なり、コンピュータの速度が低下することはありません。 彼は、もう少し巧妙なソフトウェア実装により、トラフィックとメモリ消費の両方を最小限に抑えることができました。 新しい接続で別のプロセスを起動しただけの場合、潜在的な攻撃者は複数の接続を開いてマシン上のリソースを使い果たすことで DDoS 攻撃を開始する可能性があります。 カーネルがスレッドを管理するリソースを無駄にするため、接続ごとに XNUMX つのスレッドを使用することも最適なオプションではありません。

だからこそ、Chris Wellons は Endlessh に最も軽量なオプション、つまりシングルスレッド サーバーを選択しました。 poll(2)ここで、トラップ内のクライアントは、カーネル内のソケット オブジェクトと Endlessh での追跡用のさらに 78 バイトを除いて、追加のリソースを実質的に消費しません。 各クライアントに受信バッファと送信バッファを割り当てる必要がないように、Endlessh はダイレクト アクセス ソケットを開き、オペレーティング システムの TCP/IP スタックのほぼ全体をバイパスして TCP パケットを直接変換します。 受信データには興味がないので、受信バッファはまったく必要ありません。

著者は番組の時点でこう言っています。 知らなかった Python の asycio やその他の tarpit の存在について。 asycio について知っていれば、Python のわずか 18 行でユーティリティを実装できます。

import asyncio
import random

async def handler(_reader, writer):
try:
while True:
await asyncio.sleep(10)
writer.write(b'%xrn' % random.randint(0, 2**32))
await writer.drain()
except ConnectionResetError:
pass

async def main():
server = await asyncio.start_server(handler, '0.0.0.0', 2222)
async with server:
await server.serve_forever()

asyncio.run(main())

Asyncio はターピットを書くのに最適です。 たとえば、このフックは、HTTP サーバーに長時間接続しようとする Firefox、Chrome、またはその他のクライアントをフリーズします。

import asyncio
import random

async def handler(_reader, writer):
writer.write(b'HTTP/1.1 200 OKrn')
try:
while True:
await asyncio.sleep(5)
header = random.randint(0, 2**32)
value = random.randint(0, 2**32)
writer.write(b'X-%x: %xrn' % (header, value))
await writer.drain()
except ConnectionResetError:
pass

async def main():
server = await asyncio.start_server(handler, '0.0.0.0', 8080)
async with server:
await server.serve_forever()

asyncio.run(main())

Tarpit は、オンラインのいじめっ子を罰するための優れたツールです。 確かに、逆に、特定のサーバーの異常な動作に注意を向けてしまうリスクはあります。 誰か 復讐を考えるかもしれない そしてIPに対する標的型DDoS攻撃。 しかし、今のところそのようなケースはなく、タールピットは非常に効果的です。

ハブ:
Python、情報セキュリティ、ソフトウェア、システム管理

タグ：
SSH、エンドレス、ターピット、ターピット、トラップ、アサイシオ
受信 SSH 接続用のトラップ (タールピット)

インターネットが非常に敵対的な環境であることは周知の事実です。 サーバーを立ち上げるとすぐに、大規模な攻撃と複数のスキャンにさらされます。 例えば 警備員からのハニーポット このガベージ トラフィックの規模を推定できます。 実際、平均的なサーバーでは、トラフィックの 99% が悪意のあるものである可能性があります。

Tarpit は、受信接続の速度を低下させるために使用されるトラップ ポートです。 サードパーティ システムがこのポートに接続している場合、接続をすぐに閉じることはできません。 システム リソースを無駄にして接続がタイムアウトになるまで待つか、手動で接続を終了する必要があります。

ほとんどの場合、ターピットは保護のために使用されます。 この技術は、最初はコンピュータ ワームから保護するために開発されました。 そして今では、これを使用して、すべての IP アドレスを連続して大規模にスキャンするスパマーや研究者の生活を台無しにすることができます (ハブレの例: オーストリア, ウクライナ).

Chris Wellons という名前のシステム管理者の XNUMX 人は、明らかにこの恥辱を見るのにうんざりしていた - そして彼は小さなプログラムを書いた エンドレス、受信接続を遅くする SSH 用のタールピット。 このプログラムはポート (テスト用のデフォルト ポートは 2222) を開き、SSH サーバーのふりをしますが、実際には、受信クライアントとの接続を断念するまで無限の接続を確立します。 これはクライアントが落ちるまで数日以上続く場合があります。

ユーティリティのインストール:

$ make
$ ./endlessh &
$ ssh -p2222 localhost

適切に実装されたタールピットは、あなたからよりも攻撃者からより多くのリソースを奪います。 しかし、それは資源の問題でもありません。 著者 пишетそのプログラムには中毒性があるということ。 現在、27 人のクライアントが閉じ込められており、中には数週間接続されているクライアントもいます。 活動のピーク時には、1378 人のクライアントが 20 時間閉じ込められました。

動作モードでは、Endlessh サーバーは、フーリガンが一斉に攻撃する通常のポート 22 にインストールする必要があります。 標準のセキュリティ推奨事項では、SSH を別のポートに移動することを常に推奨しています。これにより、ログのサイズが即座に桁違いに減少します。

Chris Wellons 氏は、彼のプログラムは仕様の XNUMX つの段落を悪用していると述べています RFC 4253 SSHプロトコルに接続します。 TCP 接続が確立された直後、暗号化が適用される前に、双方が識別文字列を送信する必要があります。 そして、次のような注意書きもあります。 「サーバーはバージョン行を送信する前に、他のデータ行を送信してもよいです」。 と 制限なし このデータの量に関しては、各行を次のように始めるだけで済みます。 SSH-.

これはまさに Endlessh プログラムが行うことです。 送信します 果てしない ランダムに生成されたデータのストリームこれは RFC 4253 に準拠しており、認証前に送信され、各行は次で始まります。 SSH- 行末文字を含めて 255 文字を超えてはなりません。 一般に、すべてが標準に従っています。

デフォルトでは、プログラムはパケットを送信するまでに 10 秒待機します。 これにより、クライアントがタイムアウトになることがなくなり、クライアントは永久にトラップされることになります。

暗号化が適用される前にデータが送信されるため、プログラムは非常に単純です。 暗号を実装する必要はなく、複数のプロトコルをサポートします。

作成者は、ユーティリティが最小限のリソースを消費し、マシン上でまったく気付かれずに動作することを保証しようとしました。 最新のウイルス対策ソフトやその他の「セキュリティ システム」とは異なり、コンピュータの速度が低下することはありません。 彼は、もう少し巧妙なソフトウェア実装により、トラフィックとメモリ消費の両方を最小限に抑えることができました。 新しい接続で別のプロセスを起動しただけの場合、潜在的な攻撃者は複数の接続を開いてマシン上のリソースを使い果たすことで DDoS 攻撃を開始する可能性があります。 カーネルがスレッドを管理するリソースを無駄にするため、接続ごとに XNUMX つのスレッドを使用することも最適なオプションではありません。

だからこそ、Chris Wellons は Endlessh に最も軽量なオプション、つまりシングルスレッド サーバーを選択しました。 poll(2)ここで、トラップ内のクライアントは、カーネル内のソケット オブジェクトと Endlessh での追跡用のさらに 78 バイトを除いて、追加のリソースを実質的に消費しません。 各クライアントに受信バッファと送信バッファを割り当てる必要がないように、Endlessh はダイレクト アクセス ソケットを開き、オペレーティング システムの TCP/IP スタックのほぼ全体をバイパスして TCP パケットを直接変換します。 受信データには興味がないので、受信バッファはまったく必要ありません。

著者は番組の時点でこう言っています。 知らなかった Python の asycio やその他の tarpit の存在について。 asycio について知っていれば、Python のわずか 18 行でユーティリティを実装できます。

import asyncio
import random

async def handler(_reader, writer):
try:
while True:
await asyncio.sleep(10)
writer.write(b'%xrn' % random.randint(0, 2**32))
await writer.drain()
except ConnectionResetError:
pass

async def main():
server = await asyncio.start_server(handler, '0.0.0.0', 2222)
async with server:
await server.serve_forever()

asyncio.run(main())

Asyncio はターピットを書くのに最適です。 たとえば、このフックは、HTTP サーバーに長時間接続しようとする Firefox、Chrome、またはその他のクライアントをフリーズします。

import asyncio
import random

async def handler(_reader, writer):
writer.write(b'HTTP/1.1 200 OKrn')
try:
while True:
await asyncio.sleep(5)
header = random.randint(0, 2**32)
value = random.randint(0, 2**32)
writer.write(b'X-%x: %xrn' % (header, value))
await writer.drain()
except ConnectionResetError:
pass

async def main():
server = await asyncio.start_server(handler, '0.0.0.0', 8080)
async with server:
await server.serve_forever()

asyncio.run(main())

Tarpit は、オンラインのいじめっ子を罰するための優れたツールです。 確かに、逆に、特定のサーバーの異常な動作に注意を向けてしまうリスクはあります。 誰か 復讐を考えるかもしれない そしてIPに対する標的型DDoS攻撃。 しかし、今のところそのようなケースはなく、タールピットは非常に効果的です。

出所： habr.com