ხაფანგი (tarpit) შემომავალი SSH კავშირებისთვის

საიდუმლო არ არის, რომ ინტერნეტი ძალიან მტრული გარემოა. როგორც კი სერვერს აამაღლებთ, ის მყისიერად ექვემდებარება მასიურ შეტევებს და მრავალჯერად სკანირებას. Მაგალითად თაფლი დაცვის თანამშრომლებისგან თქვენ შეგიძლიათ შეაფასოთ ამ ნაგვის ტრაფიკის მასშტაბები. სინამდვილეში, საშუალო სერვერზე, ტრაფიკის 99% შეიძლება იყოს მავნე.

Tarpit არის ხაფანგის პორტი, რომელიც გამოიყენება შემომავალი კავშირების შესანელებლად. თუ მესამე მხარის სისტემა დაუკავშირდება ამ პორტს, თქვენ ვერ შეძლებთ სწრაფად დახუროთ კავშირი. მას მოუწევს ფუჭად დახარჯოს თავისი სისტემის რესურსები და დაელოდო კავშირის დროის ამოწურვას, ან ხელით შეწყვიტოს იგი.

ყველაზე ხშირად, ტარპიტები გამოიყენება დაცვისთვის. ტექნიკა პირველად შეიქმნა კომპიუტერული ჭიებისგან დასაცავად. ახლა კი მისი გამოყენება შესაძლებელია სპამერებისა და მკვლევარების სიცოცხლის გასაფუჭებლად, რომლებიც დაკავებულნი არიან ზედიზედ ყველა IP მისამართის ფართო სკანირებით (მაგალითები Habré-ზე: Австрия, უკრაინის).

სისტემის ერთ-ერთ ადმინისტრატორს, სახელად კრის ველონსს, როგორც ჩანს, მობეზრდა ამ სირცხვილის ყურება - და მან დაწერა პატარა პროგრამა დაუსრულებელი, tarpit SSH-სთვის, რომელიც ანელებს შემომავალ კავშირებს. პროგრამა ხსნის პორტს (სატესტო ნაგულისხმევი პორტი არის 2222) და პრეტენზიას აძლევს SSH სერვერს, მაგრამ სინამდვილეში ის ამყარებს გაუთავებელ კავშირს შემომავალ კლიენტთან, სანამ ის არ დათმობს. ეს შეიძლება გაგრძელდეს რამდენიმე დღის ან მეტი ხნის განმავლობაში, სანამ კლიენტი არ ჩამოვარდება.

კომუნალური პროგრამის დაყენება:

$ make
$ ./endlessh &
$ ssh -p2222 localhost

სწორად განხორციელებული ტარპიტი თავდამსხმელს უფრო მეტ რესურსს წაართმევს, ვიდრე თქვენგან. მაგრამ საქმე რესურსებზეც კი არ არის. ავტორი წერსრომ პროგრამა არის დამოკიდებული. ამჟამად მას 27 კლიენტი ჰყავს ჩარჩენილი, ზოგიერთი მათგანი დაკავშირებულია კვირაობით. აქტივობის პიკზე 1378 კლიენტი 20 საათის განმავლობაში იყო ხაფანგში!

ოპერაციულ რეჟიმში, Endlessh სერვერი უნდა იყოს დაინსტალირებული ჩვეულებრივ პორტ 22-ზე, სადაც ხულიგნები მასობრივად აკაკუნებს. უსაფრთხოების სტანდარტული რეკომენდაციები ყოველთვის გვირჩევენ SSH-ს სხვა პორტში გადატანას, რაც დაუყოვნებლივ ამცირებს ჟურნალების ზომას სიდიდის რიგითობით.

კრის უელონსი ამბობს, რომ მისი პროგრამა იყენებს სპეციფიკაციის ერთ პუნქტს RFC 4253 SSH პროტოკოლამდე. TCP კავშირის დამყარებისთანავე, მაგრამ კრიპტოგრაფიის გამოყენებამდე, ორივე მხარემ უნდა გაგზავნოს საიდენტიფიკაციო სტრიქონი. და ასევე არის შენიშვნა: "სერვერმა შეიძლება გაგზავნოს მონაცემების სხვა სტრიქონები ვერსიის მწკრივის გაგზავნამდე". და არანაირი ზღვარი ამ მონაცემების მოცულობაზე, თქვენ უბრალოდ უნდა დაიწყოთ თითოეული ხაზი SSH-.

ეს არის ზუსტად ის, რასაც Endlessh პროგრამა აკეთებს: ის აგზავნის გაუთავებელი შემთხვევით გენერირებული მონაცემების ნაკადი, რომლებიც შეესაბამება RFC 4253-ს, ანუ იგზავნება ავტორიზაციამდე და თითოეული ხაზი იწყება SSH- და არ აღემატება 255 სიმბოლოს, ხაზის ბოლო სიმბოლოს ჩათვლით. ზოგადად, ყველაფერი სტანდარტის მიხედვითაა.

ნაგულისხმევად, პროგრამა ელოდება 10 წამს პაკეტების გაგზავნას შორის. ეს ხელს უშლის კლიენტის დროის ამოწურვას, ასე რომ კლიენტი სამუდამოდ დარჩება ხაფანგში.

ვინაიდან მონაცემები იგზავნება კრიპტოგრაფიის გამოყენებამდე, პროგრამა ძალიან მარტივია. მას არ სჭირდება რაიმე შიფრების დანერგვა და მხარს უჭერს მრავალ პროტოკოლს.

ავტორი ცდილობდა უზრუნველყოს, რომ კომუნალური პროგრამა მოიხმარს მინიმალურ რესურსებს და სრულიად შეუმჩნევლად მუშაობს მანქანაზე. თანამედროვე ანტივირუსებისგან და სხვა „უსაფრთხოების სისტემებისგან“ განსხვავებით, მან არ უნდა შეანელოს თქვენი კომპიუტერი. მან მოახერხა ტრაფიკის და მეხსიერების მოხმარების მინიმუმამდე შემცირება ოდნავ უფრო მზაკვრული პროგრამული უზრუნველყოფის დანერგვის გამო. თუ ის უბრალოდ წამოიწყებდა ცალკე პროცესს ახალ კავშირზე, მაშინ პოტენციურ თავდამსხმელებს შეუძლიათ განახორციელონ DDoS შეტევა მრავალი კავშირის გახსნით, რათა გამოწურონ რესურსები მანქანაზე. ერთი ძაფი თითო კავშირზე ასევე არ არის საუკეთესო ვარიანტი, რადგან ბირთვი ხარჯავს რესურსებს ძაფების მართვაში.

ამიტომაც კრის უელონსმა აირჩია ყველაზე მსუბუქი ვარიანტი Endlessh-ისთვის: ერთნაკადიანი სერვერი poll(2), სადაც ხაფანგში მყოფი კლიენტები პრაქტიკულად არ მოიხმარენ დამატებით რესურსებს, არ ჩავთვლით სოკეტის ობიექტს ბირთვში და კიდევ 78 ბაიტს Endlessh-ში თრექინგისთვის. თითოეული კლიენტისთვის მიღებისა და გაგზავნის ბუფერების გამოყოფის თავიდან ასაცილებლად, Endlessh ხსნის პირდაპირი წვდომის სოკეტს და პირდაპირ თარგმნის TCP პაკეტებს, გვერდის ავლით თითქმის მთელი ოპერაციული სისტემის TCP/IP დასტას. შემომავალი ბუფერი საერთოდ არ არის საჭირო, რადგან ჩვენ არ გვაინტერესებს შემომავალი მონაცემები.

ამის ავტორი მისი გადაცემის დროს ამბობს არ ვიცოდი პითონის ასიკიო და სხვა ტარპიტების არსებობის შესახებ. თუ მან იცოდა asycio-ს შესახებ, მას შეეძლო დაენერგა თავისი სასარგებლო პროგრამა პითონში მხოლოდ 18 სტრიქონში:

import asyncio
import random

async def handler(_reader, writer):
try:
while True:
await asyncio.sleep(10)
writer.write(b'%xrn' % random.randint(0, 2**32))
await writer.drain()
except ConnectionResetError:
pass

async def main():
server = await asyncio.start_server(handler, '0.0.0.0', 2222)
async with server:
await server.serve_forever()

asyncio.run(main())

Asyncio იდეალურია ტარპიტების დასაწერად. მაგალითად, ეს ჰუკ გაყინავს Firefox-ს, Chrome-ს ან ნებისმიერ სხვა კლიენტს, რომელიც ცდილობს დაუკავშირდეს თქვენს HTTP სერვერს მრავალი საათის განმავლობაში:

import asyncio
import random

async def handler(_reader, writer):
writer.write(b'HTTP/1.1 200 OKrn')
try:
while True:
await asyncio.sleep(5)
header = random.randint(0, 2**32)
value = random.randint(0, 2**32)
writer.write(b'X-%x: %xrn' % (header, value))
await writer.drain()
except ConnectionResetError:
pass

async def main():
server = await asyncio.start_server(handler, '0.0.0.0', 8080)
async with server:
await server.serve_forever()

asyncio.run(main())

Tarpit არის შესანიშნავი ინსტრუმენტი ონლაინ ბულინგის დასჯისთვის. მართალია, არსებობს გარკვეული რისკი, პირიქით, მათი ყურადღების მიქცევა კონკრეტული სერვერის უჩვეულო ქცევაზე. ვინმეს შეიძლება შურისძიებაზე იფიქროს და მიზნობრივი DDoS შეტევა თქვენს IP-ზე. თუმცა, ჯერჯერობით ასეთი შემთხვევები არ ყოფილა და ტარპიტები მშვენივრად მუშაობს.

ჰაბები:
პითონი, ინფორმაციის უსაფრთხოება, პროგრამული უზრუნველყოფა, სისტემის ადმინისტრირება

Tags:
SSH, Endlessh, tarpit, tarpit, trap, asycio
ხაფანგი (tarpit) შემომავალი SSH კავშირებისთვის

საიდუმლო არ არის, რომ ინტერნეტი ძალიან მტრული გარემოა. როგორც კი სერვერს აამაღლებთ, ის მყისიერად ექვემდებარება მასიურ შეტევებს და მრავალჯერად სკანირებას. Მაგალითად თაფლი დაცვის თანამშრომლებისგან თქვენ შეგიძლიათ შეაფასოთ ამ ნაგვის ტრაფიკის მასშტაბები. სინამდვილეში, საშუალო სერვერზე, ტრაფიკის 99% შეიძლება იყოს მავნე.

Tarpit არის ხაფანგის პორტი, რომელიც გამოიყენება შემომავალი კავშირების შესანელებლად. თუ მესამე მხარის სისტემა დაუკავშირდება ამ პორტს, თქვენ ვერ შეძლებთ სწრაფად დახუროთ კავშირი. მას მოუწევს ფუჭად დახარჯოს თავისი სისტემის რესურსები და დაელოდო კავშირის დროის ამოწურვას, ან ხელით შეწყვიტოს იგი.

ყველაზე ხშირად, ტარპიტები გამოიყენება დაცვისთვის. ტექნიკა პირველად შეიქმნა კომპიუტერული ჭიებისგან დასაცავად. ახლა კი მისი გამოყენება შესაძლებელია სპამერებისა და მკვლევარების სიცოცხლის გასაფუჭებლად, რომლებიც დაკავებულნი არიან ზედიზედ ყველა IP მისამართის ფართო სკანირებით (მაგალითები Habré-ზე: Австрия, უკრაინის).

სისტემის ერთ-ერთ ადმინისტრატორს, სახელად კრის ველონსს, როგორც ჩანს, მობეზრდა ამ სირცხვილის ყურება - და მან დაწერა პატარა პროგრამა დაუსრულებელი, tarpit SSH-სთვის, რომელიც ანელებს შემომავალ კავშირებს. პროგრამა ხსნის პორტს (სატესტო ნაგულისხმევი პორტი არის 2222) და პრეტენზიას აძლევს SSH სერვერს, მაგრამ სინამდვილეში ის ამყარებს გაუთავებელ კავშირს შემომავალ კლიენტთან, სანამ ის არ დათმობს. ეს შეიძლება გაგრძელდეს რამდენიმე დღის ან მეტი ხნის განმავლობაში, სანამ კლიენტი არ ჩამოვარდება.

კომუნალური პროგრამის დაყენება:

$ make
$ ./endlessh &
$ ssh -p2222 localhost

სწორად განხორციელებული ტარპიტი თავდამსხმელს უფრო მეტ რესურსს წაართმევს, ვიდრე თქვენგან. მაგრამ საქმე რესურსებზეც კი არ არის. ავტორი წერსრომ პროგრამა არის დამოკიდებული. ამჟამად მას 27 კლიენტი ჰყავს ჩარჩენილი, ზოგიერთი მათგანი დაკავშირებულია კვირაობით. აქტივობის პიკზე 1378 კლიენტი 20 საათის განმავლობაში იყო ხაფანგში!

ოპერაციულ რეჟიმში, Endlessh სერვერი უნდა იყოს დაინსტალირებული ჩვეულებრივ პორტ 22-ზე, სადაც ხულიგნები მასობრივად აკაკუნებს. უსაფრთხოების სტანდარტული რეკომენდაციები ყოველთვის გვირჩევენ SSH-ს სხვა პორტში გადატანას, რაც დაუყოვნებლივ ამცირებს ჟურნალების ზომას სიდიდის რიგითობით.

კრის უელონსი ამბობს, რომ მისი პროგრამა იყენებს სპეციფიკაციის ერთ პუნქტს RFC 4253 SSH პროტოკოლამდე. TCP კავშირის დამყარებისთანავე, მაგრამ კრიპტოგრაფიის გამოყენებამდე, ორივე მხარემ უნდა გაგზავნოს საიდენტიფიკაციო სტრიქონი. და ასევე არის შენიშვნა: "სერვერმა შეიძლება გაგზავნოს მონაცემების სხვა სტრიქონები ვერსიის მწკრივის გაგზავნამდე". და არანაირი ზღვარი ამ მონაცემების მოცულობაზე, თქვენ უბრალოდ უნდა დაიწყოთ თითოეული ხაზი SSH-.

ეს არის ზუსტად ის, რასაც Endlessh პროგრამა აკეთებს: ის აგზავნის გაუთავებელი შემთხვევით გენერირებული მონაცემების ნაკადი, რომლებიც შეესაბამება RFC 4253-ს, ანუ იგზავნება ავტორიზაციამდე და თითოეული ხაზი იწყება SSH- და არ აღემატება 255 სიმბოლოს, ხაზის ბოლო სიმბოლოს ჩათვლით. ზოგადად, ყველაფერი სტანდარტის მიხედვითაა.

ნაგულისხმევად, პროგრამა ელოდება 10 წამს პაკეტების გაგზავნას შორის. ეს ხელს უშლის კლიენტის დროის ამოწურვას, ასე რომ კლიენტი სამუდამოდ დარჩება ხაფანგში.

ვინაიდან მონაცემები იგზავნება კრიპტოგრაფიის გამოყენებამდე, პროგრამა ძალიან მარტივია. მას არ სჭირდება რაიმე შიფრების დანერგვა და მხარს უჭერს მრავალ პროტოკოლს.

ავტორი ცდილობდა უზრუნველყოს, რომ კომუნალური პროგრამა მოიხმარს მინიმალურ რესურსებს და სრულიად შეუმჩნევლად მუშაობს მანქანაზე. თანამედროვე ანტივირუსებისგან და სხვა „უსაფრთხოების სისტემებისგან“ განსხვავებით, მან არ უნდა შეანელოს თქვენი კომპიუტერი. მან მოახერხა ტრაფიკის და მეხსიერების მოხმარების მინიმუმამდე შემცირება ოდნავ უფრო მზაკვრული პროგრამული უზრუნველყოფის დანერგვის გამო. თუ ის უბრალოდ წამოიწყებდა ცალკე პროცესს ახალ კავშირზე, მაშინ პოტენციურ თავდამსხმელებს შეუძლიათ განახორციელონ DDoS შეტევა მრავალი კავშირის გახსნით, რათა გამოწურონ რესურსები მანქანაზე. ერთი ძაფი თითო კავშირზე ასევე არ არის საუკეთესო ვარიანტი, რადგან ბირთვი ხარჯავს რესურსებს ძაფების მართვაში.

ამიტომაც კრის უელონსმა აირჩია ყველაზე მსუბუქი ვარიანტი Endlessh-ისთვის: ერთნაკადიანი სერვერი poll(2), სადაც ხაფანგში მყოფი კლიენტები პრაქტიკულად არ მოიხმარენ დამატებით რესურსებს, არ ჩავთვლით სოკეტის ობიექტს ბირთვში და კიდევ 78 ბაიტს Endlessh-ში თრექინგისთვის. თითოეული კლიენტისთვის მიღებისა და გაგზავნის ბუფერების გამოყოფის თავიდან ასაცილებლად, Endlessh ხსნის პირდაპირი წვდომის სოკეტს და პირდაპირ თარგმნის TCP პაკეტებს, გვერდის ავლით თითქმის მთელი ოპერაციული სისტემის TCP/IP დასტას. შემომავალი ბუფერი საერთოდ არ არის საჭირო, რადგან ჩვენ არ გვაინტერესებს შემომავალი მონაცემები.

ამის ავტორი მისი გადაცემის დროს ამბობს არ ვიცოდი პითონის ასიკიო და სხვა ტარპიტების არსებობის შესახებ. თუ მან იცოდა asycio-ს შესახებ, მას შეეძლო დაენერგა თავისი სასარგებლო პროგრამა პითონში მხოლოდ 18 სტრიქონში:

import asyncio
import random

async def handler(_reader, writer):
try:
while True:
await asyncio.sleep(10)
writer.write(b'%xrn' % random.randint(0, 2**32))
await writer.drain()
except ConnectionResetError:
pass

async def main():
server = await asyncio.start_server(handler, '0.0.0.0', 2222)
async with server:
await server.serve_forever()

asyncio.run(main())

Asyncio იდეალურია ტარპიტების დასაწერად. მაგალითად, ეს ჰუკ გაყინავს Firefox-ს, Chrome-ს ან ნებისმიერ სხვა კლიენტს, რომელიც ცდილობს დაუკავშირდეს თქვენს HTTP სერვერს მრავალი საათის განმავლობაში:

import asyncio
import random

async def handler(_reader, writer):
writer.write(b'HTTP/1.1 200 OKrn')
try:
while True:
await asyncio.sleep(5)
header = random.randint(0, 2**32)
value = random.randint(0, 2**32)
writer.write(b'X-%x: %xrn' % (header, value))
await writer.drain()
except ConnectionResetError:
pass

async def main():
server = await asyncio.start_server(handler, '0.0.0.0', 8080)
async with server:
await server.serve_forever()

asyncio.run(main())

Tarpit არის შესანიშნავი ინსტრუმენტი ონლაინ ბულინგის დასჯისთვის. მართალია, არსებობს გარკვეული რისკი, პირიქით, მათი ყურადღების მიქცევა კონკრეტული სერვერის უჩვეულო ქცევაზე. ვინმეს შეიძლება შურისძიებაზე იფიქროს და მიზნობრივი DDoS შეტევა თქვენს IP-ზე. თუმცა, ჯერჯერობით ასეთი შემთხვევები არ ყოფილა და ტარპიტები მშვენივრად მუშაობს.

წყარო: www.habr.com