RDP සේවාවන්ට DDoS ප්‍රහාරය: හඳුනාගෙන සටන් කරන්න. Tucha වෙතින් සාර්ථක අත්දැකීමක්

"තුන්වන පාර්ශ්වයන්" අපගේ ගනුදෙනුකරුවන්ගේ කාර්යයට බාධා කිරීමට උත්සාහ කළ ආකාරය සහ මෙම ගැටළුව විසඳාගත් ආකාරය පිළිබඳ සිසිල් කතාවක් අපි ඔබට කියමු.

ඒ සියල්ල ආරම්භ වූ ආකාරය

ඒ සියල්ල ආරම්භ වූයේ මාසයේ අවසාන දිනය වන ඔක්තෝබර් 31 වන දින උදෑසන වන අතර, බොහෝ දෙනෙකුට හදිසි සහ වැදගත් ගැටළු විසඳීමට කාලය තිබිය යුතුය.

ඔහු සේවය කරන සේවාදායකයන්ගේ අතථ්‍ය යන්ත්‍ර කිහිපයක් අපගේ වලාකුළෙහි තබා ගන්නා එක් හවුල්කරුවෙකු වාර්තා කළේ 9:10 සිට 9:20 දක්වා අපගේ යුක්‍රේන වෙබ් අඩවියේ ක්‍රියාත්මක වන වින්ඩෝස් සේවාදායකයන් කිහිපයක් දුරස්ථ ප්‍රවේශ සේවාවට සම්බන්ධතා පිළි නොගත් බවත්, පරිශීලකයින්ට නොහැකි වූ බවත්ය. ඔවුන්ගේ ඩෙස්ක්ටොප් වලට ලොග් වීමට, නමුත් මිනිත්තු කිහිපයකට පසු ගැටළුව විසඳා ඇති බවක් පෙනෙන්නට තිබුණි.

අපි සන්නිවේදන නාලිකාවල ක්‍රියාකාරිත්වය පිළිබඳ සංඛ්‍යාලේඛන මතු කළ නමුත්, කිසිදු රථවාහන තදබදයක් හෝ අසාර්ථක වීමක් සොයා ගත්තේ නැත. අපි පරිගණක සම්පත් මත පැටවීම පිළිබඳ සංඛ්යා ලේඛන දෙස බැලුවෙමු - විෂමතා නොමැත. ඒ මොකක්ද?

අපගේ වලාකුළෙහි තවත් සේවාදායකයන් සියයක් පමණ සත්කාරකත්වය සපයන තවත් හවුල්කරුවෙකු, ඔවුන්ගේ සමහර සේවාදායකයින් සටහන් කළ ගැටළුම වාර්තා කළ අතර, සාමාන්‍යයෙන් සේවාදායකයන්ට ප්‍රවේශ විය හැකි බව පෙනී ගියේය (පිං පරීක්ෂණයට සහ වෙනත් ඉල්ලීම්වලට නිසි ප්‍රතිචාර දැක්වීම), නමුත් මෙම සේවාදායකවල ඇති සේවා දුරස්ථ ප්‍රවේශය නව සම්බන්ධතා පිළිගනී හෝ ඒවා ප්‍රතික්ෂේප කරයි, සහ අපි විවිධ වෙබ් අඩවිවල සේවාදායකයන් ගැන කතා කළෙමු, විවිධ දත්ත සම්ප්‍රේෂණ නාලිකා වලින් ලැබෙන ගමනාගමනය.

අපි බලමු මේ ට්‍රැෆික් එක. සම්බන්ධතා ඉල්ලීමක් සහිත පැකට්ටුවක් සේවාදායකයට පැමිණේ:

xx:xx:xx.xxxxxx IP xxx.xxx.xxx.xxx.58355 > 192.168.xxx.xxx.3389: Flags [S], seq 467744439, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0

සේවාදායකයට මෙම පැකට්ටුව ලැබේ, නමුත් සම්බන්ධතාවය ප්‍රතික්ෂේප කරයි:

xx:xx:xx.xxxxxx IP 192.168.xxx.xxx.3389 > xxx.xxx.xxx.xxx.58355: Flags [R.], seq 0, ack 467744440, win 0, length 0

මෙයින් අදහස් කරන්නේ ගැටලුව පැහැදිලිවම යටිතල ව්‍යුහයේ ක්‍රියාකාරිත්වයේ කිසිදු ගැටළුවක් නිසා නොව වෙනත් දෙයක් නිසා ඇති වූවක් බවයි. සමහර විට සියලුම පරිශීලකයින්ට දුරස්ථ ඩෙස්ක්ටොප් බලපත්‍ර සමඟ ගැටලු තිබේද? සමහර විට යම් ආකාරයක අනිෂ්ට මෘදුකාංග ඔවුන්ගේ පද්ධතිවලට විනිවිද යාමට සමත් විය, සහ අද එය සක්‍රිය කර ඇත, එය වසර කිහිපයකට පෙර මෙන් XData и පෙටියා?

අපි එය නිරාකරණය කරමින් සිටියදී, තවත් සේවාදායකයින් සහ හවුල්කරුවන් කිහිප දෙනෙකුගෙන් අපට සමාන ඉල්ලීම් ලැබුණි.
ඇත්තටම මේ යන්ත්‍රවල මොකද වෙන්නේ?

මුරපදය අනුමාන කිරීමට දරන උත්සාහයන් පිළිබඳ පණිවිඩ වලින් සිදුවීම් ලොග පිරී ඇත:

සාමාන්‍යයෙන්, එවැනි උත්සාහයන් දුරස්ථ ප්‍රවේශ සේවාව සඳහා සම්මත වරාය (3389) භාවිතා කරන සියලුම සේවාදායකයන් මත ලියාපදිංචි වී ඇති අතර සෑම තැනකම ප්‍රවේශ වීමට අවසර ඇත. පවතින සියලුම සම්බන්ධතා ස්ථාන නිරන්තරයෙන් පරිලෝකනය කර මුරපදය අනුමාන කිරීමට උත්සාහ කරන බොට් වලින් අන්තර්ජාලය පිරී ඇත (“123” වෙනුවට සංකීර්ණ මුරපද භාවිතා කිරීම අපි තරයේ නිර්දේශ කරන්නේ එබැවිනි). කෙසේ වෙතත්, එදින මෙම උත්සාහයන් වල තීව්රතාවය වැඩි විය.

ඉදිරියට යන්නේ කෙසේද?

අවසාන පරිශීලකයින් විශාල සංඛ්‍යාවක් වෙනත් වරායකට මාරු වීම සඳහා සැකසුම් වෙනස් කිරීමට ගනුදෙනුකරුවන් බොහෝ කාලයක් ගත කරන බව නිර්දේශ කරන්නේද? හොඳ අදහසක් නොවේ, පාරිභෝගිකයින් සතුටු නොවනු ඇත. VPN හරහා පමණක් ප්‍රවේශයට ඉඩ දීම නිර්දේශ කරන්නද? කඩිමුඩියේ සහ භීතියකින්, IPSec සම්බන්ධතා ඇති කර නොගත් අය සඳහා ඉහළ නැංවීම - සමහර විට එවැනි සතුටක් සේවාදායකයින්ට සිනාසෙන්නේ නැත. මම කිව යුතුයි, මෙය ඕනෑම අවස්ථාවක දේවභක්තික දෙයක් වුවද, අපි සැමවිටම සේවාදායකය පුද්ගලික ජාලයක සඟවා තැබීමට නිර්දේශ කරන අතර සැකසුම් සමඟ උදව් කිරීමට සූදානම්ව සිටින අතර එය තනිවම හඳුනා ගැනීමට කැමති අය සඳහා අපි උපදෙස් බෙදා ගනිමු. අපගේ වලාකුළෙහි IPSec/L2TP සැකසීම සඳහා වෙබ් අඩවියෙන් අඩවියට හෝ මාර්ග ප්‍රකාරයට - Warrior, සහ ඕනෑම කෙනෙකුට තමන්ගේම Windows සේවාදායකයේ VPN සේවාවක් සැකසීමට අවශ්‍ය නම්, ඔවුන් සැම විටම සකසන්නේ කෙසේද යන්න පිළිබඳ උපදෙස් බෙදා ගැනීමට සූදානම්ය සම්මත RAS හෝ OpenVPN. එහෙත්, අපි කෙතරම් සිසිල් වුවත්, පරිශීලකයින් සඳහා අවම ආතතියකින් හැකි ඉක්මනින් ගැටළුව විසඳා ගැනීමට අපට අවශ්‍ය වූ බැවින්, සේවාදායකයින් අතර අධ්‍යාපනික කටයුතු සිදු කිරීමට මෙය හොඳම කාලය නොවේ.

අපි ක්‍රියාත්මක කළ විසඳුම පහත පරිදි විය. 3389 වරායට TCP සම්බන්ධතාවයක් ස්ථාපිත කිරීමට දරන සියලු උත්සාහයන් නිරීක්ෂණය කිරීමට සහ තත්පර 150 ක් ඇතුළත අපගේ ජාලයේ විවිධ සර්වර් 16කට වඩා වැඩි ප්‍රමාණයක් සමඟ සම්බන්ධතා ඇති කර ගැනීමට උත්සාහ කරන ලිපිනයන් තෝරා ගැනීමට හැකි වන පරිදි අපි ගමනාගමනය පසුකර යාමේ විශ්ලේෂණයක් සකසා ඇත. - මේවා ප්‍රහාරයේ මූලාශ්‍ර වේ ( ඇත්ත වශයෙන්ම, එක් සේවාදායකයෙකුට හෝ හවුල්කරුවෙකුට එකම මූලාශ්‍රයකින් බොහෝ සේවාදායකයන් සමඟ සම්බන්ධතා ඇති කර ගැනීමට සැබෑ අවශ්‍යතාවයක් තිබේ නම්, ඔබට සෑම විටම එවැනි ප්‍රභවයන් “සුදු ලැයිස්තුවට” එක් කළ හැකිය. මෙම තත්පර 150 සඳහා එක් පන්තියේ C ජාලයක, ලිපින 32 කට වඩා හඳුනාගෙන තිබේ නම්, සම්පූර්ණ ජාලය අවහිර කිරීම අර්ථවත් කරයි. අවහිර කිරීම දින 3 ක් සඳහා සකසා ඇති අතර, මෙම කාලය තුළ දී ඇති මූලාශ්‍රයකින් ප්‍රහාරයක් සිදු නොකළේ නම්, මෙම මූලාශ්‍රය ස්වයංක්‍රීයව "කළු ලැයිස්තුවෙන්" ඉවත් කරනු ලැබේ. අවහිර කළ මූලාශ්‍ර ලැයිස්තුව සෑම තත්පර 300කට වරක් යාවත්කාලීන වේ.

මෙම ලැයිස්තුව මෙම ලිපිනයෙන් ලබා ගත හැකිය: https://secure.tucha.ua/global-filter/banned/rdp_ddos, ඔබට එය මත පදනම්ව ඔබේ ACL ගොඩනගා ගත හැකිය.

එවැනි පද්ධතියක ප්‍රභව කේතය බෙදා ගැනීමට අපි සූදානම්; එහි ඕනෑවට වඩා සංකීර්ණ කිසිවක් නොමැත (මේවා දණහිස මත වචනාර්ථයෙන් පැය කිහිපයකින් සම්පාදනය කරන ලද සරල ස්ක්‍රිප්ට් කිහිපයකි), ඒ සමඟම එය අනුවර්තනය කළ හැකි අතර භාවිතා නොකරන්න. එවැනි ප්‍රහාරයකින් ආරක්ෂා වීමට පමණක් නොව, ජාලය පරිලෝකනය කිරීමේ ඕනෑම උත්සාහයක් හඳුනා ගැනීමට සහ අවහිර කිරීමට: මෙම සබැඳිය අනුගමනය කරන්න.

ඊට අමතරව, අපි අධීක්ෂණ පද්ධතියේ සැකසුම් වලට යම් යම් වෙනස්කම් සිදු කර ඇති අතර, එය RDP සම්බන්ධතාවයක් ස්ථාපිත කිරීමට උත්සාහ කිරීම සඳහා අපගේ වලාකුළෙහි ඇති අතථ්‍ය සේවාදායකයන්ගේ පාලන කණ්ඩායමක ප්‍රතික්‍රියාව වඩාත් සමීපව නිරීක්ෂණය කරයි: ප්‍රතික්‍රියාවක් තුළ සිදු නොවන්නේ නම් දෙවනුව, මෙය අවධානය යොමු කිරීමට හේතුවකි.

විසඳුම තරමක් ඵලදායී බවට පත් විය: ගනුදෙනුකරුවන් සහ හවුල්කරුවන්ගෙන් සහ අධීක්ෂණ පද්ධතියෙන් තවත් පැමිණිලි නොමැත. නව ලිපින සහ සම්පූර්ණ ජාල නිතිපතා අසාදු ලේඛනයට එකතු කරනු ලැබේ, එයින් ඇඟවෙන්නේ ප්‍රහාරය දිගටම පවතින නමුත් අපගේ සේවාදායකයින්ගේ කාර්යයට තවදුරටත් බලපාන්නේ නැති බවයි.

ඉලක්කම් වල ආරක්ෂාව ඇත

වෙනත් ක්‍රියාකරුවන්ටද එවැනිම ගැටලුවකට මුහුණ දී ඇති බව අද අපට දැනගන්නට ලැබිණි. මයික්‍රොසොෆ්ට් දුරස්ථ ප්‍රවේශ සේවාවේ කේතයට යම් යම් වෙනස්කම් සිදු කර ඇති බව යමෙක් තවමත් විශ්වාස කරයි (ඔබට මතක නම්, අපි පළමු දිනයේ එකම දේ සැක කළෙමු, නමුත් අපි මෙම අනුවාදය ඉතා ඉක්මනින් ප්‍රතික්ෂේප කළෙමු) සහ ඉක්මනින් විසඳුමක් සෙවීමට හැකි සෑම දෙයක්ම කිරීමට පොරොන්දු වේ. . සමහර අය ගැටලුව නොසලකා හරින අතර සේවාදායකයින්ට තමන්වම ආරක්ෂා කර ගැනීමට උපදෙස් දෙයි (සම්බන්ධතා වරාය වෙනස් කිරීම, සේවාදායකය පුද්ගලික ජාලයක සඟවන්න සහ යනාදිය). පළමු දිනයේදීම, අපි මෙම ගැටළුව විසඳුවා පමණක් නොව, අපි සංවර්ධනය කිරීමට සැලසුම් කරන වඩාත් ගෝලීය තර්ජන හඳුනාගැනීමේ පද්ධතියක් සඳහා යම් පදනමක් නිර්මාණය කළෙමු.

නිශ්ශබ්දව නොසිටින, ගං ඉවුරේ ඉඳගෙන සතුරෙකුගේ මළ සිරුරක් ඒ දිගේ පාවෙනතුරු බලා නොසිට, නමුත් වහාම ගැටලුව කෙරෙහි අපගේ අවධානය යොමු කළ සේවාදායකයින්ට සහ හවුල්කරුවන්ට විශේෂ ස්තූතිය, එය තුරන් කිරීමට අපට අවස්ථාව ලබා දුන්නේය. එය එදිනම.

මූලාශ්රය: www.habr.com