Ayo dadi crita sing apik babagan carane "pihak katelu" nyoba ngganggu pelanggan, lan carane masalah iki ditanggulangi.
Carane iku kabeh diwiwiti
Iku kabeh diwiwiti ing esuk 31 Oktober, dina pungkasan sasi, nalika akeh banget kudu duwe wektu kanggo nutup masalah urgent lan penting.
Salah sawijining mitra, sing njaga sawetara mesin virtual saka klien sing dilayani ing awan kita, nglaporake yen saka 9:10 nganti 9:20, sawetara server Windows sing mlaku ing situs Ukrainia bebarengan ora nampa sambungan menyang layanan akses remot , pangguna ora bisa ngakses desktop, nanging sawise sawetara menit masalah katon ilang dhewe.
Kita ngunggahake statistik saluran komunikasi, nanging ora nemokake lalu lintas utawa gagal. Kita nliti statistik beban sumber daya komputasi - ora ana anomali. Lan apa iku?
Banjur mitra liyane, sing dadi tuan rumah satus server liyane ing awan kita, nglaporake masalah sing padha karo sawetara klien sing nyathet, nanging ternyata umume server kasedhiya (bener nanggapi ping-test lan panjaluk liyane), nanging layanan kasebut akses remot ing server iki salah siji nampa sambungan anyar utawa nolak wong-wong mau, nalika kita padha ngomong bab server ing situs beda, lalu lintas sing teka saka saluran transmisi data beda.
Ayo ndeleng lalu lintas iki. Paket kanthi panjalukan kanggo nggawe sambungan teka ing server:
xx:xx:xx.xxxxxx IP xxx.xxx.xxx.xxx.58355 > 192.168.xxx.xxx.3389: Flags [S], seq 467744439, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
Server nampa paket iki, nanging sambungan ditolak:
xx:xx:xx.xxxxxx IP 192.168.xxx.xxx.3389 > xxx.xxx.xxx.xxx.58355: Flags [R.], seq 0, ack 467744440, win 0, length 0
Iki tegese masalah kasebut kanthi jelas ora disebabake dening malfunctions ing infrastruktur, nanging ana liyane. Mungkin kabeh pangguna duwe masalah karo lisensi desktop remot? Mungkin sawetara jinis malware bisa nyusup menyang sistem, lan saiki wis diaktifake, kaya sawetara taun kepungkur. XData ΠΈ Petya?
Nalika ngurutake, kita nampa panjalukan sing padha saka sawetara klien lan mitra liyane.
Apa bener mengkono ing mesin iki?
Log acara kebak pesen babagan nyoba ngira sandhi:
Biasane, nyoba kasebut mlebu ing kabeh server ing ngendi port standar (3389) digunakake kanggo layanan akses remot lan akses saka ngendi wae diijini. Internet kebak bot-bot sing terus-terusan mindai kabeh titik sambungan sing kasedhiya lan nyoba kanggo guess sandhi (iki alesan ngapa disaranake nggunakake sandhi Komplek tinimbang "123"). Nanging, intensitas upaya kasebut ing dina iku dhuwur banget.
Carane nerusake?
Rekomendasi sing pelanggan nglampahi akèh wektu ngganti setelan saka nomer ageng pangguna pungkasan supaya ngalih menyang port beda? Ora apik, pelanggan ora bakal seneng. Rekomendasi ngidini akses mung liwat VPN? Kanthi cepet-cepet lan gupuh, mundhakaken sambungan IPSec kanggo wong-wong sing durung wungu - mbok menawa rasa seneng kuwi ora mesem ing pelanggan. Sanajan, aku kudu ngomong, iki minangka perkara amal ing kasus apa wae, kita tansah nyaranake ndhelikake server ing jaringan pribadi lan siap mbantu setelan kasebut, lan kanggo wong-wong sing seneng ngerti dhewe, kita nuduhake pandhuane. kanggo nyiyapake IPSec / L2TP ing maya kita ing mode site-to-site utawa road -warrior, lan yen ana wong sing pengin nyetel layanan VPN ing server Windows dhewe, dheweke mesthi siap nuduhake tips babagan carane nyiyapake a RAS standar utawa OpenVPN. Nanging minangka kelangan kita padha, iku dudu wektu paling apik kanggo nindakake pendhidhikan pelanggan amarga kita kudu ndandani masalah kasebut kanthi cepet kanthi gangguan sing sithik kanggo pangguna.
Solusi sing ditindakake yaiku kaya ing ngisor iki. Kita nyiyapake analisis lalu lintas sing dilewati kanthi cara kanggo nglacak kabeh upaya kanggo nggawe sambungan TCP menyang port 3389 lan milih alamat sing nyoba nggawe sambungan karo luwih saka 150 server beda ing jaringan kita sajrone 16 detik - iki sumber serangan (mesthi, yen salah siji saka klien utawa partners duwe perlu nyata kanggo nggawe sambungan karo akeh server saka sumber sing padha, sampeyan bisa tansah nambah sumber kasebut menyang "dhaftar putih." Menapa malih, yen ing kelas siji. Jaringan C kanggo 150 detik iki, luwih saka 32 alamat wis diidentifikasi, iku ndadekake pangertèn kanggo mblokir kabeh jaringan. Pamblokiran disetel kanggo 3 dina, lan yen ora ana serangan digawe saka sumber iki sak iki wektu, sumber iki dibusak saka otomatis "dhaptar ireng" Dhaptar sumber sing diblokir dianyari saben 300 detik.
Dhaptar iki kasedhiya ing kene: , sampeyan bisa mbangun ACLs adhedhasar.
Kita siyap nuduhake kode sumber sistem kasebut, ora ana sing rumit banget (iki sawetara skrip prasaja sing disusun mung sawetara jam "ing dhengkul"), lan ing wektu sing padha bisa diadaptasi. lan digunakake ora mung kanggo nglindhungi saka serangan kasebut, nanging uga kanggo ndeteksi lan ngalangi upaya kanggo mindhai jaringan:
Kajaba iku, kita nggawe sawetara owah-owahan ing setelan sistem ngawasi, sing saiki ngawasi luwih rapet reaksi klompok kontrol server virtual ing maya kita kanggo nyoba kanggo nggawe sambungan RDP: yen reaksi ora tindakake ing detik. , iki alesan kanggo mbayar manungsa waΓ©.
Solusi kasebut cukup efektif: ora ana keluhan maneh saka klien lan mitra, lan saka sistem pemantauan. Alamat anyar lan kabeh jaringan ajeg diselehake ing daftar ireng, sing nuduhake serangan kasebut terus, nanging ora mengaruhi karya klien maneh.
Ana safety ing nomer
Dina iki kita sinau manawa operator liyane ngadhepi masalah sing padha. Ana wong sing isih percaya yen Microsoft nggawe sawetara owah-owahan ing kode layanan akses remot (yen sampeyan ngelingi, kita curiga bab sing padha ing dina pisanan, nanging versi iki langsung ditolak) lan janji bakal nindakake kabeh sing bisa kanggo nemokake solusi. . Sapa wae ora nggatekake masalah kasebut lan menehi saran supaya klien mbela awake dhewe (ngganti port sambungan, ndhelikake server ing jaringan pribadi, lan liya-liyane). Lan ing dina pisanan, kita ora mung ngrampungake masalah iki, nanging uga nggawe dhasar kanggo sistem deteksi ancaman sing luwih global sing bakal dikembangake.
Matur nuwun khusus kanggo para pelanggan lan mitra sing ora meneng lan ora lungguh ing pinggir kali nunggu mayit mungsuh ngambang ing sawijining dina, nanging langsung narik perhatian marang masalah kasebut, sing menehi kesempatan kanggo ngilangi ing dina sing padha.
Source: www.habr.com