اچو ته توهان کي هڪ سٺي ڪهاڻي ٻڌايان ته ڪيئن "ٽين پارٽين" اسان جي گراهڪن جي ڪم ۾ مداخلت ڪرڻ جي ڪوشش ڪئي، ۽ اهو مسئلو ڪيئن حل ڪيو ويو.
اهو سڀ ڪيئن شروع ٿيو
اهو سڀ ڪجهه 31 آڪٽوبر جي صبح جو، مهيني جي آخري ڏينهن تي شروع ٿيو، جڏهن ڪيترن ئي ماڻهن کي تڪڙو ۽ اهم مسئلن کي حل ڪرڻ لاء وقت جي ضرورت آهي.
ڀائيوارن مان هڪ، جيڪو ڪلائنٽ جي ڪيترن ئي ورچوئل مشينن کي رکي ٿو جيڪو هو اسان جي ڪلائوڊ ۾ خدمت ڪري ٿو، ٻڌايو ته 9:10 کان 9:20 تائين اسان جي يوڪريني سائيٽ تي هلندڙ ڪيترن ئي ونڊوز سرورز ريموٽ رسائي سروس سان ڪنيڪشن قبول نه ڪيا، استعمال ڪندڙ قابل نه هئا انهن جي ڊيسڪ ٽاپ ۾ لاگ ان ٿيڻ لاء، پر ڪجهه منٽن کان پوء مسئلو پاڻ کي حل ڪرڻ لڳي.
اسان ڪميونيڪيشن چينلز جي آپريشن تي انگ اکر اٿاريا، پر ڪو به ٽريفڪ اضافو يا ناڪامي نه ملي. اسان ڪمپيوٽنگ وسيلن تي لوڊ تي انگن اکرن کي ڏٺو - ڪابه غير معمولي. ۽ اهو ڇا هو؟
پوءِ هڪ ٻيو پارٽنر، جيڪو اسان جي ڪلائوڊ ۾ اٽڪل سؤ کان وڌيڪ سرورز جي ميزباني ڪري ٿو، ساڳيا ئي مسئلا ٻڌايو جيڪي انهن جي ڪجهه گراهڪ ياد ڪيا آهن، ۽ اهو ظاهر ٿيو ته عام طور تي سرور پهچ وارا هئا (پنگ ٽيسٽ ۽ ٻين درخواستن جو صحيح جواب ڏيڻ)، پر انهن سرورن تي سروس ريموٽ رسائي يا ته نوان ڪنيڪشن قبول ڪري ٿي يا انهن کي رد ڪري ٿي، ۽ اسان مختلف سائيٽن تي سرورز جي باري ۾ ڳالهائي رهيا هئاسين، جنهن ڏانهن ٽرئفڪ مختلف ڊيٽا ٽرانسميشن چينلن مان اچي ٿي.
اچو ته هن ٽرئفڪ کي ڏسو. ڪنيڪشن جي درخواست سان گڏ ھڪڙو پيڪٽ سرور تي اچي ٿو:
xx:xx:xx.xxxxxx IP xxx.xxx.xxx.xxx.58355 > 192.168.xxx.xxx.3389: Flags [S], seq 467744439, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
سرور هي پيڪٽ حاصل ڪري ٿو، پر ڪنيڪشن کي رد ڪري ٿو:
xx:xx:xx.xxxxxx IP 192.168.xxx.xxx.3389 > xxx.xxx.xxx.xxx.58355: Flags [R.], seq 0, ack 467744440, win 0, length 0
هن جو مطلب اهو آهي ته مسئلو واضح طور تي انفراسٹرڪچر جي آپريشن ۾ ڪنهن به مسئلن جي سبب نه آهي، پر ڪنهن ٻئي جي ڪري. ٿي سگهي ٿو سڀني صارفين کي ريموٽ ڊيسڪ ٽاپ لائسنس سان مسئلا آهن؟ ٿي سگهي ٿو ڪنهن قسم جو مالويئر انهن جي سسٽم ۾ داخل ٿيڻ ۾ ڪامياب ٿي ويو، ۽ اڄ اهو چالو ڪيو ويو آهي، جيئن اهو ڪجهه سال اڳ هو XData и پيٽريا?
جڏهن اسان ان کي ترتيب ڏئي رهيا هئاسين، اسان ڪيترن ئي گراهڪن ۽ ڀائيوارن کان ساڳئي درخواستون حاصل ڪيون.
انهن مشينن تي اصل ۾ ڇا ٿيندو؟
ايونٽ لاگز پاسورڊ جو اندازو لڳائڻ جي ڪوشش بابت پيغامن سان ڀريل آهن:
عام طور تي، اهڙيون ڪوششون سڀني سرورن تي رجسٽر ٿيل آهن جتي معياري پورٽ (3389) ريموٽ رسائي سروس لاء استعمال ڪيو ويندو آهي ۽ هر جڳهه کان رسائي جي اجازت هوندي آهي. انٽرنيٽ بوٽن سان ڀريل آهي جيڪي مسلسل سڀني دستياب ڪنيڪشن پوائنٽن کي اسڪين ڪري رهيا آهن ۽ پاسورڊ جو اندازو لڳائڻ جي ڪوشش ڪندا آهن (اهو ئي سبب آهي ته اسان "123" جي بدران پيچيده پاسورڊ استعمال ڪرڻ جي صلاح ڏيو ٿا). بهرحال، انهن ڪوششن جي شدت ان ڏينهن تمام گهڻي هئي.
ڪيئن اڳتي وڌو؟
تجويز ڪيو ته گراهڪ گهڻو وقت گذاريندا آهن سيٽنگون تبديل ڪرڻ لاءِ وڏي تعداد جي آخري استعمال ڪندڙن لاءِ مختلف بندرگاهن تي سوئچ ڪرڻ لاءِ؟ سٺو خيال ناهي، گراهڪ خوش نه ٿيندا. صرف وي پي اين ذريعي رسائي جي اجازت ڏيڻ جي صلاح ڏيو؟ تڪڙ ۽ گهٻراهٽ ۾، انهن لاءِ IPSec ڪنيڪشن وڌائڻ جن وٽ نه آهي - شايد اهڙي خوشي گراهڪن تي به مسڪرائي نه ٿي. جيتوڻيڪ، مون کي ضرور چوڻ گهرجي، هي ڪنهن به صورت ۾ هڪ خدائي شيء آهي، اسان هميشه هڪ نجي نيٽ ورڪ ۾ سرور کي لڪائڻ جي صلاح ڏيو ٿا ۽ سيٽنگن ۾ مدد ڪرڻ لاء تيار آهيون، ۽ انهن لاء جيڪي ان کي پاڻ تي ڄاڻڻ چاهيندا آهن، اسان هدايتون حصيداري ڪندا آهيون. IPSec/L2TP کي سيٽ ڪرڻ لاءِ اسان جي ڪلائوڊ ۾ سائيٽ-ٽو-سائيٽ يا روڊ موڊ-واريئر، ۽ جيڪڏهن ڪو ماڻهو پنهنجي ونڊوز سرور تي وي پي اين سروس قائم ڪرڻ چاهي ٿو، ته هو هميشه لاءِ تيار آهن ته ڪيئن سيٽ اپ ڪرڻ بابت صلاحون شيئر ڪرڻ لاءِ معياري RAS يا OpenVPN. پر، ڪابه ڳالهه نه آهي ته اسان ڪيترو به ٿڌو هجون، اهو بهترين وقت نه هو ڪلائنٽ جي وچ ۾ تعليمي ڪم ڪرڻ جو، ڇو ته اسان کي استعمال ڪندڙن لاءِ گهٽ ۾ گهٽ دٻاءُ سان جيترو جلدي ٿي سگهي مسئلو حل ڪرڻ جي ضرورت هئي.
جنهن جو حل اسان لاڳو ڪيو هو هن ريت هو. اسان ٽريفڪ جي گذرڻ جو هڪ تجزيو اهڙي طرح قائم ڪيو آهي جيئن بندرگاهه 3389 تي TCP ڪنيڪشن قائم ڪرڻ جي سڀني ڪوششن جي نگراني ڪري ۽ ان مان پتو چونڊيو وڃي ته 150 سيڪنڊن اندر، اسان جي نيٽ ورڪ تي 16 کان وڌيڪ مختلف سرورن سان ڪنيڪشن قائم ڪرڻ جي ڪوشش ڪئي وڃي. - اهي آهن حملي جا ذريعا (يقيناً، جيڪڏهن ڪنهن ڪلائنٽ يا ڀائيوارن کي هڪ ئي ذريعن کان ڪيترن ئي سرورن سان رابطا قائم ڪرڻ جي حقيقي ضرورت آهي، ته توهان هميشه اهڙن ذريعن کي ”سفيد لسٽ“ ۾ شامل ڪري سگهو ٿا. جيڪڏهن انهن 150 سيڪنڊن لاءِ هڪ ڪلاس سي نيٽ ورڪ ۾، 32 کان وڌيڪ ايڊريس جي نشاندهي ڪئي وئي آهي، ته اهو سمجهه ۾ اچي ٿو ته سڄي نيٽ ورڪ کي بلاڪ ڪيو وڃي، بلاڪنگ 3 ڏينهن لاءِ مقرر ڪئي وئي آهي، ۽ جيڪڏهن ان دوران ڪنهن ڏنل ذريعن کان ڪو حملو نه ڪيو ويو آهي، هي ذريعو خودڪار طريقي سان "ڪارو فهرست" مان هٽايو ويندو آهي. بلاڪ ڪيل ذريعن جي فهرست هر 300 سيڪنڊن ۾ اپڊيٽ ڪئي ويندي آهي.
هي فهرست هن ايڊريس تي موجود آهي: ، توهان ان جي بنياد تي پنهنجا ACLs ٺاهي سگهو ٿا.
اسان اهڙي سسٽم جو سورس ڪوڊ شيئر ڪرڻ لاءِ تيار آهيون؛ ان ۾ ڪا به تمام گهڻي پيچيدگي نه آهي (اهي ڪيترائي سادي اسڪرپٽ آهن جيڪي لفظي طور تي گوڏن تي ڪجهه ڪلاڪن ۾ مرتب ٿيل آهن)، ۽ ساڳئي وقت ان کي ترتيب ڏئي سگهجي ٿو ۽ استعمال نه ڪيو وڃي. صرف اهڙي حملي کان بچائڻ لاء، پر نيٽ ورڪ کي اسڪين ڪرڻ جي ڪنهن به ڪوشش کي ڳولڻ ۽ بلاڪ ڪرڻ لاء پڻ:
ان کان علاوه، اسان مانيٽرنگ سسٽم جي سيٽنگن ۾ ڪجھ تبديليون ڪيون آھن، جيڪي ھاڻي اسان جي ڪلائوڊ ۾ ورچوئل سرورز جي ڪنٽرول گروپ جي رد عمل کي وڌيڪ ويجھي سان مانيٽر ڪري رھيا آھن آر ڊي پي ڪنيڪشن قائم ڪرڻ جي ڪوشش لاءِ: جيڪڏھن رد عمل عمل ۾ نه اچي ٻيو، اهو ڌيان ڏيڻ جو هڪ سبب آهي.
اهو حل ڪافي اثرائتو ثابت ٿيو: ٻنهي گراهڪن ۽ ڀائيوارن کان، ۽ مانيٽرنگ سسٽم کان وڌيڪ شڪايتون نه آهن. نوان ايڊريس ۽ سمورا نيٽ ورڪ باقاعدي بليڪ لسٽ ۾ شامل ڪيا ويا آهن، جنهن مان ظاهر ٿئي ٿو ته حملو جاري آهي، پر هاڻي اسان جي گراهڪن جي ڪم کي متاثر نه ڪندو.
تعداد ۾ حفاظت آهي
اڄ اسان سکيو ته ٻين آپريٽرن کي به ساڳيو مسئلو آهي. ڪو اڃا تائين يقين رکي ٿو ته Microsoft ريموٽ رسائي سروس جي ڪوڊ ۾ ڪجهه تبديليون ڪيون آهن (جيڪڏهن توهان کي ياد آهي، اسان پهرين ڏينهن تي ساڳئي شيء تي شڪ ڪيو، پر اسان تمام جلدي هن نسخي کي رد ڪري ڇڏيو) ۽ جلدي حل ڳولڻ لاء هر ممڪن ڪرڻ جو واعدو ڪيو. . ڪجهه ماڻهو صرف مسئلي کي نظر انداز ڪن ٿا ۽ گراهڪن کي صلاح ڏين ٿا ته هو پنهنجو پاڻ کي بچائڻ لاء (ڪنيڪشن پورٽ تبديل ڪريو، سرور کي نجي نيٽ ورڪ ۾ لڪايو، وغيره). ۽ پهرين ئي ڏينهن تي، اسان نه رڳو اهو مسئلو حل ڪيو، پر هڪ وڌيڪ عالمي خطري جي پتو لڳائڻ واري نظام لاءِ پڻ ڪجهه بنيادي ڪم پيدا ڪيو جنهن کي اسان ترقي ڪرڻ جو منصوبو ڪريون ٿا.
خاص ڪري گراهڪن ۽ ساٿين جا ٿورائتا آهيون جيڪي خاموش نه رهيا ۽ درياءَ جي ڪناري تي نه ويهڻ جو انتظار ڪندا رهيا ته هڪ ڏينهن دشمن جي لاش ترندي، پر فوري طور تي اسان جو ڌيان ان مسئلي ڏانهن ڇڪايو، جنهن اسان کي ختم ڪرڻ جو موقعو ڏنو. اهو ساڳئي ڏينهن تي.
جو ذريعو: www.habr.com