🥇 येणार्‍या SSH कनेक्शनसाठी ट्रॅप (टार्पिट)

इंटरनेट हे अत्यंत प्रतिकूल वातावरण आहे हे गुपित नाही. आपण सर्व्हर वाढवताच, त्यावर त्वरित मोठ्या प्रमाणात हल्ले आणि एकाधिक स्कॅन केले जातात. उदाहरणार्थ सुरक्षा रक्षकांकडून हनीपॉट या कचऱ्याच्या वाहतुकीचे प्रमाण किती असेल याचा अंदाज तुम्ही लावू शकता. खरं तर, सरासरी सर्व्हरवर, 99% रहदारी दुर्भावनापूर्ण असू शकते.

टार्पिट एक ट्रॅप पोर्ट आहे ज्याचा वापर इनकमिंग कनेक्शन कमी करण्यासाठी केला जातो. जर तृतीय-पक्ष प्रणाली या पोर्टशी कनेक्ट होत असेल, तर तुम्ही त्वरित कनेक्शन बंद करू शकणार नाही. तिला तिची सिस्टीम संसाधने वाया घालवावी लागतील आणि कनेक्शन कालबाह्य होईपर्यंत प्रतीक्षा करावी लागेल किंवा व्यक्तिचलितपणे समाप्त करावी लागेल.

बर्याचदा, tarpits संरक्षणासाठी वापरले जातात. संगणकातील वर्म्सपासून संरक्षण करण्यासाठी हे तंत्र प्रथम विकसित करण्यात आले. आणि आता हे स्पॅमर आणि संशोधकांचे जीवन उध्वस्त करण्यासाठी वापरले जाऊ शकते जे सलग सर्व IP पत्त्यांच्या विस्तृत स्कॅनिंगमध्ये गुंतलेले आहेत (हॅब्रेवरील उदाहरणे: ऑस्ट्रिया, युक्रेन).

ख्रिस वेलन्स नावाच्या सिस्टम प्रशासकांपैकी एक हा अपमान पाहून कंटाळला - आणि त्याने एक छोटासा कार्यक्रम लिहिला अंतहीन, SSH साठी एक टार्पिट जे इनकमिंग कनेक्शन कमी करते. प्रोग्राम एक पोर्ट उघडतो (चाचणीसाठी डीफॉल्ट पोर्ट 2222 आहे) आणि एसएसएच सर्व्हर असल्याचे भासवतो, परंतु प्रत्यक्षात तो येईपर्यंत येणार्या क्लायंटशी अंतहीन कनेक्शन स्थापित करतो. क्लायंट बंद होईपर्यंत हे अनेक दिवस किंवा त्याहून अधिक काळ चालू राहू शकते.

युटिलिटीची स्थापना:

$ make
$ ./endlessh &
$ ssh -p2222 localhost

योग्यरित्या अंमलात आणलेले टार्पिट आक्रमणकर्त्याकडून तुमच्यापेक्षा जास्त संसाधने घेईल. पण तो संसाधनांचाही मुद्दा नाही. लेखक तो लिहितोकी कार्यक्रम व्यसनाधीन आहे. सध्या यात २७ क्लायंट अडकले आहेत, त्यापैकी काही आठवड्यांपासून जोडलेले आहेत. क्रियाकलापाच्या शिखरावर, 27 क्लायंट 1378 तास अडकले होते!

ऑपरेटिंग मोडमध्ये, एंडलेश सर्व्हरला नेहमीच्या पोर्ट 22 वर स्थापित करणे आवश्यक आहे, जेथे गुंड मोठ्या प्रमाणात ठोठावतात. मानक सुरक्षा शिफारशी नेहमी SSH ला वेगळ्या पोर्टवर हलवण्याचा सल्ला देतात, ज्यामुळे लॉगचा आकार त्वरित क्रमाने कमी होतो.

ख्रिस वेलन्स म्हणतात की त्याचा कार्यक्रम तपशीलाच्या एका परिच्छेदाचा उपयोग करतो आरएफसी 4253 SSH प्रोटोकॉलला. TCP कनेक्शन स्थापित झाल्यानंतर लगेच, परंतु क्रिप्टोग्राफी लागू करण्यापूर्वी, दोन्ही पक्षांनी एक ओळख स्ट्रिंग पाठवणे आवश्यक आहे. आणि एक टीप देखील आहे: "व्हर्जन पंक्ती पाठवण्यापूर्वी सर्व्हर डेटाच्या इतर पंक्ती पाठवू शकतो". आणि मर्यादा नाही या डेटाच्या व्हॉल्यूमवर, आपल्याला फक्त प्रत्येक ओळीने प्रारंभ करणे आवश्यक आहे SSH-.

एंडलेश प्रोग्राम नेमके हेच करतो: ते पाठवते अंतहीन यादृच्छिकपणे व्युत्पन्न केलेल्या डेटाचा प्रवाह, जे RFC 4253 चे पालन करतात, म्हणजेच प्रमाणीकरणापूर्वी पाठवा आणि प्रत्येक ओळ यासह सुरू होते SSH- आणि ओळीच्या शेवटच्या वर्णासह 255 वर्णांपेक्षा जास्त नाही. सर्वसाधारणपणे, सर्व काही मानकांनुसार आहे.

डीफॉल्टनुसार, प्रोग्राम पॅकेट पाठवताना 10 सेकंद थांबतो. हे क्लायंटला कालबाह्य होण्यापासून प्रतिबंधित करते, त्यामुळे क्लायंट कायमचा अडकला जाईल.

क्रिप्टोग्राफी लागू करण्यापूर्वी डेटा पाठविला जात असल्याने, प्रोग्राम अत्यंत सोपा आहे. यास कोणतेही सिफर लागू करण्याची आवश्यकता नाही आणि एकाधिक प्रोटोकॉलचे समर्थन करते.

लेखकाने हे सुनिश्चित करण्याचा प्रयत्न केला की युटिलिटी कमीतकमी संसाधने वापरते आणि मशीनवर पूर्णपणे लक्ष न देता कार्य करते. आधुनिक अँटीव्हायरस आणि इतर "सुरक्षा प्रणाली" च्या विपरीत, ते आपला संगणक धीमा करू नये. थोड्या अधिक धूर्त सॉफ्टवेअरच्या अंमलबजावणीमुळे त्याने रहदारी आणि मेमरी वापर दोन्ही कमी करण्यात व्यवस्थापित केले. जर याने नवीन कनेक्शनवर एक वेगळी प्रक्रिया सुरू केली, तर संभाव्य हल्लेखोर मशीनवरील संसाधने संपवण्यासाठी एकाधिक कनेक्शन उघडून DDoS हल्ला करू शकतात. प्रति कनेक्शन एक थ्रेड देखील सर्वोत्तम पर्याय नाही, कारण कर्नल थ्रेड्स व्यवस्थापित करण्यासाठी संसाधने वाया घालवेल.

म्हणूनच क्रिस वेलन्सने एंडलेशसाठी सर्वात हलका पर्याय निवडला: सिंगल-थ्रेडेड सर्व्हर poll(2), जेथे ट्रॅपमधील क्लायंट अक्षरशः कोणतीही अतिरिक्त संसाधने वापरत नाहीत, कर्नलमधील सॉकेट ऑब्जेक्ट मोजत नाहीत आणि एंडलेशमध्ये ट्रॅकिंगसाठी आणखी 78 बाइट्स. प्रत्येक क्लायंटसाठी रिसीव्ह आणि सेंड बफर वाटू नये म्हणून, एंडलेश डायरेक्ट ऍक्सेस सॉकेट उघडतो आणि जवळजवळ संपूर्ण ऑपरेटिंग सिस्टम TCP/IP स्टॅकला मागे टाकून TCP पॅकेट्सचे थेट भाषांतर करतो. इनकमिंग बफरची अजिबात गरज नाही, कारण आम्हाला येणार्‍या डेटामध्ये रस नाही.

लेखक म्हणतो की त्याच्या कार्यक्रमाच्या वेळी माहित नाही Python च्या asycio आणि इतर tarpits च्या अस्तित्वाबद्दल. त्याला asycio बद्दल माहित असल्यास, तो पायथनमध्ये फक्त 18 ओळींमध्ये त्याची उपयुक्तता लागू करू शकेल:

import asyncio
import random

async def handler(_reader, writer):
try:
while True:
await asyncio.sleep(10)
writer.write(b'%xrn' % random.randint(0, 2**32))
await writer.drain()
except ConnectionResetError:
pass

async def main():
server = await asyncio.start_server(handler, '0.0.0.0', 2222)
async with server:
await server.serve_forever()

asyncio.run(main())

टार्पिट लिहिण्यासाठी Asyncio आदर्श आहे. उदाहरणार्थ, हा हुक फायरफॉक्स, क्रोम किंवा इतर कोणताही क्लायंट गोठवेल जो तुमच्या HTTP सर्व्हरशी अनेक तास कनेक्ट करण्याचा प्रयत्न करत आहे:

import asyncio
import random

async def handler(_reader, writer):
writer.write(b'HTTP/1.1 200 OKrn')
try:
while True:
await asyncio.sleep(5)
header = random.randint(0, 2**32)
value = random.randint(0, 2**32)
writer.write(b'X-%x: %xrn' % (header, value))
await writer.drain()
except ConnectionResetError:
pass

async def main():
server = await asyncio.start_server(handler, '0.0.0.0', 8080)
async with server:
await server.serve_forever()

asyncio.run(main())

ऑनलाइन गुंडांना शिक्षा करण्यासाठी Tarpit हे एक उत्तम साधन आहे. त्याउलट, विशिष्ट सर्व्हरच्या असामान्य वर्तनाकडे त्यांचे लक्ष वेधण्याचा काही धोका आहे हे खरे आहे. कोणीतरी बदला घेण्याचा विचार करू शकतो आणि तुमच्या IP वर लक्ष्यित DDoS हल्ला. तथापि, आतापर्यंत अशी कोणतीही प्रकरणे आढळली नाहीत आणि टार्पिट उत्कृष्ट कार्य करतात.

हब:
पायथन, माहिती सुरक्षा, सॉफ्टवेअर, सिस्टम प्रशासन

टॅग्ज:
SSH, Endless, tarpit, tarpit, trap, asycio
इनकमिंग एसएसएच कनेक्शनसाठी ट्रॅप (टार्पिट).

ख्रिस वेलन्स नावाच्या सिस्टम प्रशासकांपैकी एक हा अपमान पाहून कंटाळला - आणि त्याने एक छोटासा कार्यक्रम लिहिला अंतहीन, SSH साठी एक टार्पिट जे इनकमिंग कनेक्शन कमी करते. प्रोग्राम एक पोर्ट उघडतो (चाचणीसाठी डीफॉल्ट पोर्ट 2222 आहे) आणि एसएसएच सर्व्हर असल्याचे भासवतो, परंतु प्रत्यक्षात तो येईपर्यंत येणार्या क्लायंटशी अंतहीन कनेक्शन स्थापित करतो. क्लायंट बंद होईपर्यंत हे अनेक दिवस किंवा त्याहून अधिक काळ चालू राहू शकते.

युटिलिटीची स्थापना:

$ make
$ ./endlessh &
$ ssh -p2222 localhost

import asyncio
import random

async def handler(_reader, writer):
try:
while True:
await asyncio.sleep(10)
writer.write(b'%xrn' % random.randint(0, 2**32))
await writer.drain()
except ConnectionResetError:
pass

async def main():
server = await asyncio.start_server(handler, '0.0.0.0', 2222)
async with server:
await server.serve_forever()

asyncio.run(main())

import asyncio
import random

async def handler(_reader, writer):
writer.write(b'HTTP/1.1 200 OKrn')
try:
while True:
await asyncio.sleep(5)
header = random.randint(0, 2**32)
value = random.randint(0, 2**32)
writer.write(b'X-%x: %xrn' % (header, value))
await writer.drain()
except ConnectionResetError:
pass

async def main():
server = await asyncio.start_server(handler, '0.0.0.0', 8080)
async with server:
await server.serve_forever()

asyncio.run(main())

स्त्रोत: www.habr.com

इनकमिंग एसएसएच कनेक्शनसाठी ट्रॅप (टार्पिट).

एक टिप्पणी जोडा Отменить ответ