들어오는 SSH 연결을 위한 트랩(타르핏)

인터넷이 매우 적대적인 환경이라는 것은 비밀이 아닙니다. 서버를 올리자마자 즉시 대규모 공격과 여러 차례의 스캔을 받게 됩니다. 예를 들어 경비원의 허니팟 이 쓰레기 트래픽의 규모를 추정할 수 있습니다. 실제로 평균적인 서버에서는 트래픽의 99%가 악성일 수 있습니다.

Tarpit은 들어오는 연결 속도를 늦추는 데 사용되는 트랩 포트입니다. 타사 시스템이 이 포트에 연결된 경우 연결을 빠르게 종료할 수 없습니다. 시스템 리소스를 낭비하고 연결 시간이 초과될 때까지 기다리거나 수동으로 연결을 종료해야 합니다.

대부분의 경우 방수포는 보호를 위해 사용됩니다. 이 기술은 컴퓨터 웜으로부터 보호하기 위해 처음 개발되었습니다. 이제 이는 모든 IP 주소를 연속적으로 광범위하게 스캐닝하는 스패머와 연구원의 삶을 망치는 데 사용될 수 있습니다(Habré의 예: 오스트리아, 우크라이나).

Chris Wellons라는 시스템 관리자 중 한 명은 분명히 이 수치를 지켜보는 데 지쳤으며 작은 프로그램을 작성했습니다. 끝없는, 들어오는 연결 속도를 늦추는 SSH용 tarpit입니다. 프로그램은 포트(테스트용 기본 포트는 2222)를 열고 SSH 서버인 척하지만 실제로는 들어오는 클라이언트가 포기할 때까지 끝없는 연결을 설정합니다. 이는 클라이언트가 떨어질 때까지 며칠 이상 계속될 수 있습니다.

유틸리티 설치:

$ make
$ ./endlessh &
$ ssh -p2222 localhost

적절하게 구현된 타핏은 사용자보다 공격자로부터 더 많은 리소스를 소모합니다. 하지만 자원의 문제도 아닙니다. 작가 기록프로그램이 중독성이 있다는 것입니다. 현재 27명의 클라이언트가 갇혀 있고 그 중 일부는 몇 주 동안 연결되어 있습니다. 활동이 최고조에 달했을 때 1378명의 클라이언트가 20시간 동안 갇혀 있었습니다!

작동 모드에서는 훌리건이 한꺼번에 노크하는 일반 포트 22에 Endlessh 서버를 설치해야 합니다. 표준 보안 권장 사항은 항상 SSH를 다른 포트로 이동하여 로그 크기를 즉시 줄일 것을 권장합니다.

Chris Wellons는 자신의 프로그램이 사양의 한 단락을 활용한다고 말합니다. RFC 4253 SSH 프로토콜에. TCP 연결이 설정된 직후, 암호화가 적용되기 전에 양 당사자는 식별 문자열을 보내야 합니다. 그리고 다음과 같은 참고 사항도 있습니다. "서버는 버전 행을 보내기 전에 다른 데이터 행을 보낼 수 있습니다.". 그리고 제한 없음 이 데이터의 양에 따라 각 줄을 다음으로 시작하면 됩니다. SSH-.

이것이 바로 Endlessh 프로그램이 하는 일입니다. 보냄 끝이없는 무작위로 생성된 데이터 스트림, RFC 4253을 준수합니다. 즉, 인증 전에 전송되며 각 줄은 다음으로 시작됩니다. SSH- 줄 끝 문자를 포함하여 255자를 초과할 수 없습니다. 일반적으로 모든 것이 표준에 따릅니다.

기본적으로 프로그램은 패킷 전송 사이에 10초를 기다립니다. 이렇게 하면 클라이언트가 시간 초과되는 것을 방지할 수 있으므로 클라이언트가 영원히 갇히게 됩니다.

암호화가 적용되기 전에 데이터가 전송되므로 프로그램이 매우 간단합니다. 암호를 구현할 필요가 없으며 여러 프로토콜을 지원합니다.

작성자는 유틸리티가 최소한의 리소스를 소비하고 시스템에서 완전히 눈에 띄지 않게 작동하도록 노력했습니다. 최신 바이러스 백신 및 기타 "보안 시스템"과 달리 컴퓨터 속도가 느려지지 않습니다. 그는 약간 더 교묘한 소프트웨어 구현으로 인해 트래픽과 메모리 소비를 모두 최소화했습니다. 단순히 새 연결에서 별도의 프로세스를 시작하는 경우 잠재적인 공격자는 여러 연결을 열어 시스템의 리소스를 소진시켜 DDoS 공격을 시작할 수 있습니다. 연결당 하나의 스레드도 최선의 선택이 아닙니다. 커널이 스레드를 관리하는 데 리소스를 낭비하기 때문입니다.

이것이 바로 Chris Wellons가 Endlessh를 위해 가장 가벼운 옵션인 단일 스레드 서버를 선택한 이유입니다. poll(2)여기서 트랩의 클라이언트는 커널의 소켓 개체와 Endlessh에서 추적하기 위한 추가 78바이트를 계산하지 않고 사실상 추가 리소스를 소비하지 않습니다. 각 클라이언트에 대해 수신 및 송신 버퍼를 할당할 필요가 없도록 Endlessh는 직접 액세스 소켓을 열고 거의 전체 운영 체제 TCP/IP 스택을 우회하여 TCP 패킷을 직접 변환합니다. 들어오는 데이터에 관심이 없기 때문에 들어오는 버퍼는 전혀 필요하지 않습니다.

저자는 프로그램 당시에 이렇게 말했습니다. 몰랐다. Python의 asycio 및 기타 tarpit의 존재에 대해 설명합니다. 그가 asycio에 대해 알고 있다면 Python에서 단 18줄만으로 유틸리티를 구현할 수 있습니다.

import asyncio
import random

async def handler(_reader, writer):
try:
while True:
await asyncio.sleep(10)
writer.write(b'%xrn' % random.randint(0, 2**32))
await writer.drain()
except ConnectionResetError:
pass

async def main():
server = await asyncio.start_server(handler, '0.0.0.0', 2222)
async with server:
await server.serve_forever()

asyncio.run(main())

Asyncio는 타핏 작성에 이상적입니다. 예를 들어, 이 후크는 Firefox, Chrome 또는 HTTP 서버에 연결을 시도하는 기타 클라이언트를 몇 시간 동안 정지시킵니다.

import asyncio
import random

async def handler(_reader, writer):
writer.write(b'HTTP/1.1 200 OKrn')
try:
while True:
await asyncio.sleep(5)
header = random.randint(0, 2**32)
value = random.randint(0, 2**32)
writer.write(b'X-%x: %xrn' % (header, value))
await writer.drain()
except ConnectionResetError:
pass

async def main():
server = await asyncio.start_server(handler, '0.0.0.0', 8080)
async with server:
await server.serve_forever()

asyncio.run(main())

Tarpit은 온라인 괴롭힘을 처벌하는 훌륭한 도구입니다. 사실, 반대로 특정 서버의 비정상적인 동작에 주의를 끌 위험이 있습니다. 어떤 사람 복수를 생각할지도 몰라 그리고 귀하의 IP에 대한 표적 DDoS 공격. 그러나 지금까지 그러한 사례는 없었으며 타핏은 훌륭하게 작동합니다.

허브:
Python, 정보보안, 소프트웨어, 시스템 관리

태그 :
SSH, Endlessh, 타르핏, 타르핏, 트랩, 아시시오
들어오는 SSH 연결을 위한 트랩(타르핏)

인터넷이 매우 적대적인 환경이라는 것은 비밀이 아닙니다. 서버를 올리자마자 즉시 대규모 공격과 여러 차례의 스캔을 받게 됩니다. 예를 들어 경비원의 허니팟 이 쓰레기 트래픽의 규모를 추정할 수 있습니다. 실제로 평균적인 서버에서는 트래픽의 99%가 악성일 수 있습니다.

Tarpit은 들어오는 연결 속도를 늦추는 데 사용되는 트랩 포트입니다. 타사 시스템이 이 포트에 연결된 경우 연결을 빠르게 종료할 수 없습니다. 시스템 리소스를 낭비하고 연결 시간이 초과될 때까지 기다리거나 수동으로 연결을 종료해야 합니다.

대부분의 경우 방수포는 보호를 위해 사용됩니다. 이 기술은 컴퓨터 웜으로부터 보호하기 위해 처음 개발되었습니다. 이제 이는 모든 IP 주소를 연속적으로 광범위하게 스캐닝하는 스패머와 연구원의 삶을 망치는 데 사용될 수 있습니다(Habré의 예: 오스트리아, 우크라이나).

Chris Wellons라는 시스템 관리자 중 한 명은 분명히 이 수치를 지켜보는 데 지쳤으며 작은 프로그램을 작성했습니다. 끝없는, 들어오는 연결 속도를 늦추는 SSH용 tarpit입니다. 프로그램은 포트(테스트용 기본 포트는 2222)를 열고 SSH 서버인 척하지만 실제로는 들어오는 클라이언트가 포기할 때까지 끝없는 연결을 설정합니다. 이는 클라이언트가 떨어질 때까지 며칠 이상 계속될 수 있습니다.

유틸리티 설치:

$ make
$ ./endlessh &
$ ssh -p2222 localhost

적절하게 구현된 타핏은 사용자보다 공격자로부터 더 많은 리소스를 소모합니다. 하지만 자원의 문제도 아닙니다. 작가 기록프로그램이 중독성이 있다는 것입니다. 현재 27명의 클라이언트가 갇혀 있고 그 중 일부는 몇 주 동안 연결되어 있습니다. 활동이 최고조에 달했을 때 1378명의 클라이언트가 20시간 동안 갇혀 있었습니다!

작동 모드에서는 훌리건이 한꺼번에 노크하는 일반 포트 22에 Endlessh 서버를 설치해야 합니다. 표준 보안 권장 사항은 항상 SSH를 다른 포트로 이동하여 로그 크기를 즉시 줄일 것을 권장합니다.

Chris Wellons는 자신의 프로그램이 사양의 한 단락을 활용한다고 말합니다. RFC 4253 SSH 프로토콜에. TCP 연결이 설정된 직후, 암호화가 적용되기 전에 양 당사자는 식별 문자열을 보내야 합니다. 그리고 다음과 같은 참고 사항도 있습니다. "서버는 버전 행을 보내기 전에 다른 데이터 행을 보낼 수 있습니다.". 그리고 제한 없음 이 데이터의 양에 따라 각 줄을 다음으로 시작하면 됩니다. SSH-.

이것이 바로 Endlessh 프로그램이 하는 일입니다. 보냄 끝이없는 무작위로 생성된 데이터 스트림, RFC 4253을 준수합니다. 즉, 인증 전에 전송되며 각 줄은 다음으로 시작됩니다. SSH- 줄 끝 문자를 포함하여 255자를 초과할 수 없습니다. 일반적으로 모든 것이 표준에 따릅니다.

기본적으로 프로그램은 패킷 전송 사이에 10초를 기다립니다. 이렇게 하면 클라이언트가 시간 초과되는 것을 방지할 수 있으므로 클라이언트가 영원히 갇히게 됩니다.

암호화가 적용되기 전에 데이터가 전송되므로 프로그램이 매우 간단합니다. 암호를 구현할 필요가 없으며 여러 프로토콜을 지원합니다.

작성자는 유틸리티가 최소한의 리소스를 소비하고 시스템에서 완전히 눈에 띄지 않게 작동하도록 노력했습니다. 최신 바이러스 백신 및 기타 "보안 시스템"과 달리 컴퓨터 속도가 느려지지 않습니다. 그는 약간 더 교묘한 소프트웨어 구현으로 인해 트래픽과 메모리 소비를 모두 최소화했습니다. 단순히 새 연결에서 별도의 프로세스를 시작하는 경우 잠재적인 공격자는 여러 연결을 열어 시스템의 리소스를 소진시켜 DDoS 공격을 시작할 수 있습니다. 연결당 하나의 스레드도 최선의 선택이 아닙니다. 커널이 스레드를 관리하는 데 리소스를 낭비하기 때문입니다.

이것이 바로 Chris Wellons가 Endlessh를 위해 가장 가벼운 옵션인 단일 스레드 서버를 선택한 이유입니다. poll(2)여기서 트랩의 클라이언트는 커널의 소켓 개체와 Endlessh에서 추적하기 위한 추가 78바이트를 계산하지 않고 사실상 추가 리소스를 소비하지 않습니다. 각 클라이언트에 대해 수신 및 송신 버퍼를 할당할 필요가 없도록 Endlessh는 직접 액세스 소켓을 열고 거의 전체 운영 체제 TCP/IP 스택을 우회하여 TCP 패킷을 직접 변환합니다. 들어오는 데이터에 관심이 없기 때문에 들어오는 버퍼는 전혀 필요하지 않습니다.

저자는 프로그램 당시에 이렇게 말했습니다. 몰랐다. Python의 asycio 및 기타 tarpit의 존재에 대해 설명합니다. 그가 asycio에 대해 알고 있다면 Python에서 단 18줄만으로 유틸리티를 구현할 수 있습니다.

import asyncio
import random

async def handler(_reader, writer):
try:
while True:
await asyncio.sleep(10)
writer.write(b'%xrn' % random.randint(0, 2**32))
await writer.drain()
except ConnectionResetError:
pass

async def main():
server = await asyncio.start_server(handler, '0.0.0.0', 2222)
async with server:
await server.serve_forever()

asyncio.run(main())

Asyncio는 타핏 작성에 이상적입니다. 예를 들어, 이 후크는 Firefox, Chrome 또는 HTTP 서버에 연결을 시도하는 기타 클라이언트를 몇 시간 동안 정지시킵니다.

import asyncio
import random

async def handler(_reader, writer):
writer.write(b'HTTP/1.1 200 OKrn')
try:
while True:
await asyncio.sleep(5)
header = random.randint(0, 2**32)
value = random.randint(0, 2**32)
writer.write(b'X-%x: %xrn' % (header, value))
await writer.drain()
except ConnectionResetError:
pass

async def main():
server = await asyncio.start_server(handler, '0.0.0.0', 8080)
async with server:
await server.serve_forever()

asyncio.run(main())

Tarpit은 온라인 괴롭힘을 처벌하는 훌륭한 도구입니다. 사실, 반대로 특정 서버의 비정상적인 동작에 주의를 끌 위험이 있습니다. 어떤 사람 복수를 생각할지도 몰라 그리고 귀하의 IP에 대한 표적 DDoS 공격. 그러나 지금까지 그러한 사례는 없었으며 타핏은 훌륭하게 작동합니다.

출처 : habr.com