🥇 आगमन SSH जडानहरूको लागि जाल (टार्पिट)

यो कुनै गोप्य छैन कि इन्टरनेट एक धेरै प्रतिकूल वातावरण हो। तपाईंले सर्भर उठाउने बित्तिकै, यो तुरुन्तै ठूलो आक्रमण र बहु स्क्यानको अधीनमा हुन्छ। उदाहरणका लागि सुरक्षा गार्डहरूबाट मह तपाईले यो फोहोर ट्राफिकको स्केल अनुमान गर्न सक्नुहुन्छ। वास्तवमा, औसत सर्भरमा, ट्राफिकको 99% दुर्भावनापूर्ण हुन सक्छ।

Tarpit एउटा जाल पोर्ट हो जुन आगमन जडानहरू कम गर्न प्रयोग गरिन्छ। यदि तेस्रो-पक्ष प्रणाली यस पोर्टमा जडान हुन्छ भने, तपाईँले द्रुत रूपमा जडान बन्द गर्न सक्षम हुनुहुने छैन। उनले आफ्नो प्रणाली स्रोतहरू बर्बाद गर्नुपर्नेछ र जडान टाइमआउट नभएसम्म पर्खनु पर्नेछ, वा म्यानुअल रूपमा यसलाई समाप्त गर्नुहोस्।

प्रायजसो, टार्पिटहरू सुरक्षाको लागि प्रयोग गरिन्छ। यो प्रविधि पहिलो पटक कम्प्युटर कीराहरूबाट जोगाउन विकसित गरिएको थियो। र अब यो स्प्यामरहरू र अनुसन्धानकर्ताहरूको जीवन बर्बाद गर्न प्रयोग गर्न सकिन्छ जो पङ्क्तिमा सबै आईपी ठेगानाहरूको व्यापक स्क्यानिङमा संलग्न छन् (हब्रेमा उदाहरणहरू: Austria, युक्रेन).

क्रिस वेलोन्स नामक प्रणाली प्रशासकहरू मध्ये एक यो अपमान देखेर थकित भए - र उनले एउटा सानो कार्यक्रम लेखे। अन्तहीन, SSH को लागि एक tarpit जसले आगमन जडानहरू सुस्त बनाउँछ। कार्यक्रमले एउटा पोर्ट खोल्छ (परीक्षणको लागि पूर्वनिर्धारित पोर्ट 2222 हो) र SSH सर्भर भएको बहाना गर्दछ, तर वास्तवमा यसले आगमन क्लाइन्टसँग अन्तहीन जडान स्थापित गर्दछ जबसम्म यो छोड्दैन। यो धेरै दिन वा धेरै दिनसम्म जारी रहन सक्छ जबसम्म क्लाइन्ट बन्द हुँदैन।

उपयोगिता को स्थापना:

$ make
$ ./endlessh &
$ ssh -p2222 localhost

राम्रोसँग लागू गरिएको टार्पिटले आक्रमणकारीबाट तपाईबाट भन्दा बढी स्रोतहरू लिनेछ। तर स्रोतसाधनको कुरा पनि होइन । लेखक तिनी लेख्छन्कि कार्यक्रम लत छ। अहिले यसमा २७ जना ग्राहकहरू फसेका छन्, तीमध्ये केही हप्तादेखि जोडिएका छन्। गतिविधिको शिखरमा, 27 ग्राहकहरू 1378 घण्टाको लागि फसेका थिए!

अपरेटिङ मोडमा, Endless सर्भरलाई सामान्य पोर्ट 22 मा स्थापना गर्न आवश्यक छ, जहाँ गुण्डाहरूले सामूहिक रूपमा दस्तक दिन्छन्। मानक सुरक्षा सिफारिसहरूले सधैं SSH लाई फरक पोर्टमा सार्न सल्लाह दिन्छ, जसले तुरुन्तै परिमाणको अर्डरद्वारा लगहरूको आकार घटाउँछ।

क्रिस वेलोन्स भन्छन् कि उनको कार्यक्रमले विनिर्देशको एउटा अनुच्छेद शोषण गर्दछ RFC 4253 SSH प्रोटोकलमा। TCP जडान स्थापित भएपछि तुरुन्तै, तर क्रिप्टोग्राफी लागू गर्नु अघि, दुबै पक्षहरूले पहिचान स्ट्रिङ पठाउनु पर्छ। र त्यहाँ एक नोट पनि छ: "सर्भरले संस्करण पङ्क्ति पठाउनु अघि डाटाका अन्य पङ्क्तिहरू पठाउन सक्छ"। र कुनै सीमा छैन यस डेटाको भोल्युममा, तपाइँले प्रत्येक लाइनको साथ सुरु गर्न आवश्यक छ SSH-.

यो वास्तवमा Endless कार्यक्रम के गर्छ: यो पठाउँछ अन्तहीन अनियमित रूपमा उत्पन्न डाटा को प्रवाह, जसले RFC 4253 को पालना गर्दछ, अर्थात्, प्रमाणीकरण अघि पठाउनुहोस्, र प्रत्येक रेखा बाट सुरु हुन्छ SSH- र रेखा समाप्त हुने क्यारेक्टर सहित 255 वर्णहरू भन्दा बढी हुँदैन। सामान्यतया, सबै कुरा मानक अनुसार छ।

पूर्वनिर्धारित रूपमा, कार्यक्रमले प्याकेटहरू पठाउने बीचमा 10 सेकेन्ड पर्खन्छ। यसले क्लाइन्टलाई टाइम आउट हुनबाट रोक्छ, त्यसैले क्लाइन्ट सधैंभरि फँस्नेछ।

क्रिप्टोग्राफी लागू गर्नु अघि डाटा पठाइएको हुनाले, कार्यक्रम अत्यन्त सरल छ। यसले कुनै पनि साइफरहरू लागू गर्न आवश्यक पर्दैन र धेरै प्रोटोकलहरूलाई समर्थन गर्दछ।

लेखकले यो सुनिश्चित गर्न प्रयास गरे कि उपयोगिताले न्यूनतम स्रोतहरू उपभोग गर्छ र मेसिनमा पूर्णतया ध्यान नदिई काम गर्दछ। आधुनिक एन्टिभाइरसहरू र अन्य "सुरक्षा प्रणालीहरू" को विपरीत, यसले तपाइँको कम्प्युटरलाई ढिलो गर्नु हुँदैन। उसले अलि बढी चालाक सफ्टवेयर कार्यान्वयनको कारण दुबै ट्राफिक र मेमोरी खपत कम गर्न व्यवस्थित गर्यो। यदि यसले नयाँ जडानमा एक अलग प्रक्रिया सुरु गर्यो भने, सम्भावित आक्रमणकारीहरूले मेसिनमा स्रोतहरू निकास गर्न धेरै जडानहरू खोलेर DDoS आक्रमण सुरु गर्न सक्छन्। प्रति जडान एउटा थ्रेड पनि उत्तम विकल्प होइन, किनभने कर्नेलले थ्रेडहरू व्यवस्थापन गर्ने स्रोतहरू बर्बाद गर्नेछ।

यसैले क्रिस वेलोन्सले Endlessh को लागि सबैभन्दा हल्का विकल्प रोजे: एकल-थ्रेडेड सर्भर poll(2), जहाँ जालमा रहेका ग्राहकहरूले कर्नेलमा सकेट वस्तुको गणना नगर्ने र Endless मा ट्र्याकिङका लागि अर्को ७८ बाइटहरू वस्तुतः कुनै अतिरिक्त स्रोतहरू उपभोग गर्दैनन्। प्रत्येक ग्राहकको लागि प्राप्त र पठाउने बफरहरू आवंटित गर्नबाट बच्न, Endlessh ले प्रत्यक्ष पहुँच सकेट खोल्छ र लगभग सम्पूर्ण अपरेटिङ सिस्टम TCP/IP स्ट्याकलाई बाइपास गर्दै, TCP प्याकेटहरू सीधा अनुवाद गर्दछ। आगमन बफर सबै आवश्यक छैन, किनभने हामी आगमन डाटा मा रुचि छैन।

लेखकले आफ्नो कार्यक्रमको समयमा भने थाहा थिएन Python को asycio र अन्य tarpits को अस्तित्व को बारे मा। यदि उसलाई asycio बारे थाहा थियो भने, उसले पाइथनमा केवल 18 लाइनहरूमा आफ्नो उपयोगिता लागू गर्न सक्छ:

import asyncio
import random

async def handler(_reader, writer):
try:
while True:
await asyncio.sleep(10)
writer.write(b'%xrn' % random.randint(0, 2**32))
await writer.drain()
except ConnectionResetError:
pass

async def main():
server = await asyncio.start_server(handler, '0.0.0.0', 2222)
async with server:
await server.serve_forever()

asyncio.run(main())

Asyncio tarpits लेख्नको लागि आदर्श हो। उदाहरणका लागि, यो हुकले फायरफक्स, क्रोम, वा कुनै अन्य क्लाइन्टलाई फ्रिज गर्नेछ जुन तपाईंको HTTP सर्भरमा धेरै घण्टाको लागि जडान गर्न प्रयास गरिरहेको छ:

import asyncio
import random

async def handler(_reader, writer):
writer.write(b'HTTP/1.1 200 OKrn')
try:
while True:
await asyncio.sleep(5)
header = random.randint(0, 2**32)
value = random.randint(0, 2**32)
writer.write(b'X-%x: %xrn' % (header, value))
await writer.drain()
except ConnectionResetError:
pass

async def main():
server = await asyncio.start_server(handler, '0.0.0.0', 8080)
async with server:
await server.serve_forever()

asyncio.run(main())

Tarpit अनलाइन बुलीहरूलाई सजाय दिनको लागि उत्कृष्ट उपकरण हो। साँचो, त्यहाँ केहि जोखिम छ, यसको विपरित, एक विशेष सर्भरको असामान्य व्यवहारमा उनीहरूको ध्यान आकर्षित गर्ने। कोही बदला लिने बारे सोच्न सक्छ र तपाईंको IP मा लक्षित DDoS आक्रमण। यद्यपि, अहिलेसम्म त्यस्ता केसहरू छैनन्, र टार्पिटहरूले राम्रो काम गर्छन्।

केन्द्रहरू:
पाइथन, सूचना सुरक्षा, सफ्टवेयर, प्रणाली प्रशासन

टैग:
SSH, Endless, tarpit, tarpit, जाल, asycio
आगमन SSH जडानहरूको लागि जाल (tarpit)

क्रिस वेलोन्स नामक प्रणाली प्रशासकहरू मध्ये एक यो अपमान देखेर थकित भए - र उनले एउटा सानो कार्यक्रम लेखे। अन्तहीन, SSH को लागि एक tarpit जसले आगमन जडानहरू सुस्त बनाउँछ। कार्यक्रमले एउटा पोर्ट खोल्छ (परीक्षणको लागि पूर्वनिर्धारित पोर्ट 2222 हो) र SSH सर्भर भएको बहाना गर्दछ, तर वास्तवमा यसले आगमन क्लाइन्टसँग अन्तहीन जडान स्थापित गर्दछ जबसम्म यो छोड्दैन। यो धेरै दिन वा धेरै दिनसम्म जारी रहन सक्छ जबसम्म क्लाइन्ट बन्द हुँदैन।

उपयोगिता को स्थापना:

$ make
$ ./endlessh &
$ ssh -p2222 localhost

import asyncio
import random

async def handler(_reader, writer):
try:
while True:
await asyncio.sleep(10)
writer.write(b'%xrn' % random.randint(0, 2**32))
await writer.drain()
except ConnectionResetError:
pass

async def main():
server = await asyncio.start_server(handler, '0.0.0.0', 2222)
async with server:
await server.serve_forever()

asyncio.run(main())

import asyncio
import random

async def handler(_reader, writer):
writer.write(b'HTTP/1.1 200 OKrn')
try:
while True:
await asyncio.sleep(5)
header = random.randint(0, 2**32)
value = random.randint(0, 2**32)
writer.write(b'X-%x: %xrn' % (header, value))
await writer.drain()
except ConnectionResetError:
pass

async def main():
server = await asyncio.start_server(handler, '0.0.0.0', 8080)
async with server:
await server.serve_forever()

asyncio.run(main())

स्रोत: www.habr.com

आगमन SSH जडानहरूको लागि जाल (tarpit)

एक टिप्पणी थप्न Отменить ответ