The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Представлен эксплойт, способный блокировать работу любого SSL-сервера

26.10.2011 15:09

Известная немецкая хакерская группа THC представила эксплойт, реализующий DoS-атаку против любого SSL-сервера с задействованием всего одной или нескольких атакующих машин. Уязвимость присутствует во всех известных реализациях SSL и не может быть устранена без переработки принципа работы сервера.

Идея, заложенная в эксплойт, очень проста и основана на том факте, что для установки SSL-соединения серверная сторона тратит в 15 раз больше ресурсов, чем клиентская. Фактически, все что делает эксплойт, это создает бесконечный поток подключений к серверу, что в конечном итоге приводит к исчерпанию ресурсов последнего. THC уверяет, что для введения среднестатистического сервера в состояние отказа в обслуживании понадобится всего 300 SSL-подключений в секунду, которые с легкостью обеспечит стандартный ноутбук, подключенный к сети с помощью DSL-канала. Большая ферма серверов, оснащенная балансировщиком нагрузки сможет выдержать натиск не более чем 20 таких ноутбуков, пропускной канал каждого из которых составляет всего 120 Кбит/с.

Надежной защиты от данного способа атаки пока не существует и вряд ли появится в ближайшем будущем. Максимум, что могут сделать системные администраторы, это отключить механизм SSL-Renegotiation или установить коммерческий SSL Accelerator, благодаря которым удастся повысить производительность SSL-сервера и защититься хотя бы от атак, производимых с одной машины. Разработчики эксплойта утверждают, что производители были поставлены в известность о наличии проблемы ещё в 2003 году, но с тех пор ни один из вендоров не предпринял попыток исправления сложившейся ситуации.

Получить код эксплойта можно с домашней страницы THC, на которой опубликована урезанная версия, которая не будет работать в отношении серверов с отключенным SSL-Renegotiation. При отключении SSL-Renegotiation для совершения атаки потребуется создавать новое TCP-соединение на каждый ресурсоёмкий SSL-handshake. Упрощённую функциональность эксплойта, работающего в ситуации отключения SSL-Renegotiation, можно повторить с помощью стандартного openssl-клиента (главное отличие эксплойта THC в том, что он инициирует серию SSL-handshake в рамках одного TCP-соединения, к чему серверы не подготовлены):


   thc-ssl-dosit() {
       while :; do 
          (while :; do echo R; done) |\
          openssl s_client -connect 127.0.0.1:443 2>/dev/null;
       done
    }


  1. Главная ссылка к новости (http://thehackerschoice.wordpr...)
  2. OpenNews: В протоколах SSL/TLS найдена критическая уязвимость
  3. OpenNews: Легко эксплуатируемая DoS-уязвимость в HTTP-сервере Apache
  4. OpenNews: Обнаружен обманный SSL-сертификат для сервисов Google (дополнение: осуществлен взлом CA)
  5. OpenNews: Представлен первый успешный способ атаки на SSL/TLS
  6. OpenNews: Tor и Firefox не подвержены атаке против SSL/TLS
Автор новости: Evgeny Zobnin
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/32136-security
Ключевые слова: security, exploit, ssl, dos
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (141) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Александр (??), 15:36, 26/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Нда... печально.
     
     
  • 2.6, anonymous (??), 15:52, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    А где этот ссл отдельно применяется ?

    К примеру в любом https и ftps можно левой

     
     
  • 3.8, anonymous (??), 15:54, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А где этот ссл отдельно применяется ?
    > К примеру в любом https и ftps можно левой

    ... ногой сделать лимит на конекты вообще и с одного ип ...

    а еще можно иптаблесом бородить .... ну как ссш бородят.


     
     
  • 4.14, Аноним (-), 16:07, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну так это на раз обходится: пускаем атаку через torify или socksify и разворачиваем 1 айпи в целую толпень. При этом интенсивность долбежа будет высока в сумме но низка в пересчете на соединение. Доступно любому школьнику с ноутом, как бы. А банить тысячи айпи всех прокси и выходных нод тора можно и задолбаться. Так что в ворота админов забит невкусный гол, и что плохо, вратаря на воротах нет, и взять неоткуда :(.Единственное решение разве что совсем вырубить ссл, но...
     
     
  • 5.16, Аноним (-), 16:10, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ну так это на раз обходится: пускаем атаку через torify или socksify
    > и разворачиваем 1 айпи в целую толпень. При этом интенсивность долбежа
    > будет высока в сумме но низка в пересчете на соединение. Доступно
    > любому школьнику с ноутом, как бы. А банить тысячи айпи всех
    > прокси и выходных нод тора можно и задолбаться. Так что в
    > ворота админов забит невкусный гол, и что плохо, вратаря на воротах
    > нет, и взять неоткуда :(.Единственное решение разве что совсем вырубить ссл,
    > но...

    Айпишники выходных узлов тора не забанены только у ленивого админа. Я, например, каждые пять минут по крону тягаю эти списки с их официальных стат-серверов и обновляю ipsetы.
    А бесплатную открытую проксю, да еще с поддержкой SSL, найти не просто трудно, а очень трудно.

     
     
  • 6.30, Аноним (-), 16:59, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ага, пц как трудно Вот только что для прикола нашел гуглингом 5 действующик сок... большой текст свёрнут, показать
     
     
  • 7.67, Аноним (-), 19:13, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ага, пц как трудно. Вот только что для прикола нашел гуглингом 5
    > действующик сокс4 и 5 ... с телефона вообще. Проверил - работают.

    Думаю, админу, чтобы забанить их, понадобится куда меньше времени и усилий, чем приложили вы при их поиске.

    > А если это поставить на поток (кагбэ есть куча прог для этого, если вы ыдруг не знали), за пару часов можно ненапряжно наловить несколько тысяч айпи чисто нахаляву.

    Ну продемонстрируйте нам эти чудеса, а то пока только болтология выходит.

    > Хотя вроде бывают и те кто платит за элитные прочеканые и отсортированные базы.

    Приходилось иметь дело. Как правило, туфта полная. Держатся они только на том факте, что через интернет морду лохотронщику не набьешь.

     
     
  • 8.100, 8 (?), 00:54, 27/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    интересно, а бахнуть этим эксплоитом по, примерно, половине таких SSL OpenProxy ... текст свёрнут, показать
     
     
  • 9.104, Аноним (-), 01:36, 27/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Гораздо веселее устроить битву каждый против всех - интересное зрелище ликви... текст свёрнут, показать
     
  • 9.124, Аноним (-), 11:30, 27/10/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Капитан информирует прокси пригодные для SSL HTTP 1 1 CONNECT, SOCKS 4 5 вооб... текст свёрнут, показать
     
  • 8.138, Аноним (-), 15:52, 27/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    На моей памяти, самый упертый админ пытавшийся решать вопросы маханием банхаммер... большой текст свёрнут, показать
     
  • 6.83, Аноним (-), 21:57, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Айпишники выходных узлов тора не забанены только у ленивого админа.

    А в чем смысл страдать такой фигней?

    Tor, в основном, используют вполне нормальные люди, которые хотят анонимности. И полтора школьника, которые хочется насрать, но это легко лечится.

    Атакуют-то, один фиг, на добрые 99% - с ботнетов и прочих затрояненных хостов.

     
     
  • 7.98, Аноним (-), 00:43, 27/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Tor, в основном, используют вполне нормальные люди, которые хотят анонимности. И полтора
    > школьника, которые хочется насрать, но это легко лечится.

    ... путем забана всего тора. При этом приходится жертвовать интересами параноиков, т.к. другого выхода просто нет, к сожалению.

    > Атакуют-то, один фиг, на добрые 99% - с ботнетов и прочих затрояненных хостов.

    Это да. И тут, кстати, не так уж важно соотношение затрачиваемых ресурсов сервера и клиента, если оно в пределах 0.01-100 - кому надо, купит нужное количество хостов не поморщившись.

     
     
  • 8.127, Аноним (-), 13:06, 27/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Ничем не оправданный онанизм для тех кто атакует есть тысячи и тысячи открытых ... текст свёрнут, показать
     
  • 8.162, arisu (ok), 12:49, 30/10/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    а если закрыть вообще все порты -- то никто и никогда не нагадит подумай над эт... текст свёрнут, показать
     
     
  • 9.165, Andrey Mitrofanov (?), 11:09, 31/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Сплёвываем и стучим по дереву, чтоб не обнаружилась уязвимость в закрывальщике п... текст свёрнут, показать
     
     
  • 10.166, arisu (ok), 11:20, 31/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    т-с-с-с это же был второй секретный совет за деньги весь гешефт мне попортил ... текст свёрнут, показать
     
  • 6.86, Zenitur (ok), 22:21, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Полазить немного с TOR'а, подождать пока поглючит, IP несколько раз сменится. И можно писать на сайт, куда нельзя было писать с TOR'а.
     
  • 4.44, Аноним (-), 17:47, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > а еще можно иптаблесом бородить .... ну как ссш бородят.

    для ссш эффективной защитой является разве что порткнокинг, но если для административного сервиса это еще ок, то для публичного ресурса на ссл порту это совсем не вариант. Представляете себе допустим банк рассказывающий клиентам как телнетиком на пару портов стукануться?:)))

     
     
  • 5.49, Одмин (?), 17:59, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    так если об этом будут знать клиенты то и злоумышленники тоже будут знать и knocking будет мало полезен.
     
  • 4.53, alikd (?), 18:04, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    TCP-соединение требуется только одно, в рамках которого будет инициировано несколько SSL-handshake сессий. Внимательно новость читайте
     
     
  • 5.66, Аноним (-), 19:09, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > TCP-соединение требуется только одно, в рамках которого будет инициировано несколько SSL-handshake сессий. Внимательно новость читайте

    А вы-то ее внимательно читали, особенно последний абзац?
    > При отключении SSL-Renegotiation для совершения атаки потребуется создавать новое TCP-соединение на каждый ресурсоёмкий SSL-handshake.

     
     
  • 6.73, Аноним (-), 19:49, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > А вы-то ее внимательно читали, особенно последний абзац?
    >> При отключении SSL-Renegotiation для совершения атаки потребуется создавать новое TCP-соединение на каждый ресурсоёмкий SSL-handshake.

    Последний абзац относится только к случаю, когда на сервере отключили SSL-Renegotiation, если он включен, а это 99.9999% систем, никакого наводнения новыми соединениями не требуется.

     
     
  • 7.97, Аноним (-), 00:40, 27/10/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > если он включен, а это 99.9999% систем

    В вашей конторе - может быть. В нашей - выключен на 100% систем. Работа такая.

     
     
  • 8.117, Аноним (-), 10:18, 27/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Что это за контора в которой используют на серверах самосборные запатченные верс... текст свёрнут, показать
     
     
  • 9.139, Аноним (-), 16:25, 27/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Выдуманная, очевидно же ... текст свёрнут, показать
     
  • 4.128, Michael Shigorin (ok), 13:12, 27/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > К примеру в любом https и ftps можно левой ногой сделать лимит на конекты вообще
    > и с одного ип ...

    Если в рамках одного соединения, то попадаем на анализ пакетов.  Меньше одного коннекшена на IP разрешать довольно непрактично.

    PS: "я буду дочитывать тред перед тем, как писать..." (c)

     

     ....большая нить свёрнута, показать (26)

  • 1.5, Аноним (-), 15:46, 26/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А SSL-Renegotiation ещё не выкинули из-за какой-то там уязвимости?
     
  • 1.9, Андрей (??), 15:58, 26/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Практически все нормальные сервера регулируют количество подключений. И уж тем более количество подключений с одного адреса. Не прокатит.
     
     
  • 2.19, Аноним (-), 16:16, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Практически все нормальные сервера регулируют количество подключений. И уж тем более количество
    > подключений с одного адреса. Не прокатит.

    Один адрес несложно превратить в легион, через тор или проксики, показав шиш в плане лимитов с 1 ипа - спасет только от тех кто не может заменить 1 команду на 2. А лимиты на сервер вообще? Ну, допустим атакующий выбрал на себя весь лимит на свою групку айпишников. Дальше что? Сервак шлет в * "избыточных" юзерей? Так это и есть цель атаки, какая разница что вы сами своих юзеров послать осилили? На результат (сервер недоступен юзерам) это не влияет. Цель атаки достигнута.

     
     
  • 3.32, rain87 (?), 17:00, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    выше уже отписали по поводу торов и проксей. для практической реализации атаки, как и прежде, нужен ботнет. правда, по видимому, достаточно значительно более меньшего ботнета чем для реализации традиционной ДДОС атаки
     
     
  • 4.41, Аноним (-), 17:24, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > выше уже отписали по поводу торов и проксей. для практической реализации атаки,
    > как и прежде, нужен ботнет. правда, по видимому, достаточно значительно более
    > меньшего ботнета чем для реализации традиционной ДДОС атаки

    Да нахрен там ботнет, для столь низкоинтенсивной атаки хватит бесплатных проксиков, коих в интернете горы. Набрать несколько тысяч айпи - реально. Даже даром. А траффика много и не надо. В качестве бонуса, слишком жесткие лимиты имеют свойство накрывать честных юзерей, создавая проблем админам/саппортам.

    В общем то мысль была в том что не лечится гниль фундамента путем подкраски фасада. А протокол с фактором усиления ресурсной атаки в 15 раз - гниль в фундаменте! Атакующему на старте дадена 15-кратная фора по ресурсам!!!

     
     
  • 5.60, Аноним (-), 18:21, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Набрать несколько тысяч айпи - реально. Даже даром.

    Ну наберите хотя бы тыщи три, и запостите сюда. А пока это пустая трепотня.

     
     
  • 6.150, Аноним (-), 15:28, 28/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну наберите хотя бы тыщи три, и запостите сюда. А пока это пустая трепотня.

    Не, давайте вы лучше пианино для меня полдня потаскаете? Если мне понравится как вы это делаете - я может быть вам даже "спасибо" за показ такого шоу скажу :). Примерно такой же по скромности запрос :D

     

  • 1.10, mikevmk (??), 16:01, 26/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Нюню. Пойдите, свалите https://gmail.com. Ну хоть все вместе.

    Это не эксплоит, а школьный гоп-стоп, и защититься от него лимитом коннектов, делэями и прочими элементарными вещами не просто, а очень просто.

     
     
  • 2.26, Аноним (-), 16:42, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Может, они знали?
     
     
  • 3.33, Аноним (-), 17:01, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вообще-то THC одна из известнейших и авторитетнейших хакерских групп, в лучшем смысле этого слова. В этом треде есть комментаторы, которые ещё не родились, в то время когда THC уже творили. На их счету около 100 выявленных проблем безопасности.
     
  • 2.163, arisu (ok), 12:52, 30/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > свалите https://gmail.com

    нубло уверено, видимо, что гмыло всё на одном сервере крутится.

     

  • 1.12, Аноним (-), 16:03, 26/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Уязвимость присутствует во всех известных реализациях SSL и не может быть устранена без переработки принципа работы сервера.

    iptables hashlimit (ctstate NEW) и connlimit легко зарежут такое счастье.

     
     
  • 2.24, Аноним (-), 16:32, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >>Уязвимость присутствует во всех известных реализациях SSL и не может быть устранена без переработки принципа работы сервера.
    > iptables hashlimit (ctstate NEW) и connlimit легко зарежут такое счастье.

    ну как бы всех вполне устроит если вы сами пошлете ваших юзеров после того как атакующий высадит лимиты через пачку айпишников которую может получить даже школьник:). Да, тор и проксики тормозные, ну так тут то как раз фокус в том что много и не надо.

     
     
  • 3.59, Аноним (-), 18:20, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > через пачку айпишников которую может получить даже школьник:)

    Мы, походу, лузеры - получаем айпишники после согласования кучи бумажек и выплаты неслабых бабок :( А тут школьники их тысячами бесплатно получают. Видимо, что-то не так мы делаем.

     
     
  • 4.79, Xaionaro (ok), 21:08, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Мы, походу, лузеры - получаем айпишники после согласования кучи бумажек и выплаты неслабых бабок :(

    Ну, с IPv6 дела попроще обстоят. И я, как и некоторые мои знакомые уже используем и осваиваем этот IPv6

     
  • 4.151, Аноним (-), 15:30, 28/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > что-то не так мы делаем.

    Ну вы то их получаете в постоянное пользование, а в случае проксиков и торов они не лично ваши и не на постоянной основе. Некоторая разница, но для указанного применения - несущественно.

     

  • 1.13, AZ_from_Belarus (ok), 16:06, 26/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Понравилось 127.0.0.1 и появление в первых же комментариях желающих это запустить. Впрямь как в анекдоте.
     
  • 1.18, koloboid (ok), 16:14, 26/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а что насчет TLS?
     
  • 1.20, Аноним (-), 16:17, 26/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    бред. iptables и прочие отменили ?

     
     
  • 2.21, koloboid (ok), 16:26, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    не отменили, но и NAT тоже.
     
  • 2.27, Аноним (-), 16:47, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > бред. iptables и прочие отменили ?

    Ну будет таблес резать при атаке как атакующего, так и честных пользователей. Потому что фиг различишь низкоинтенсивные конекты с кучи айпи. При таком надо будет уже вручную анализировать можно ли как-то отличить. Как вы понимаете, атакующего вполне устроит держать малоинтенсивную атаку размазанную через кучу нод тора или прокси с целью выюзывания лимитов. Это небольшая нагрузка, 1 ноута достаточно. А честных юзеров ваш суперфильтр пошлет сам ;). Для юзера не так уж важно, не ответит сервак потому что перегружен, или потому что лимиты порубали его как лишнего.

     
     
  • 3.54, Аноним (-), 18:11, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Как вы понимаете, атакующего вполне устроит держать малоинтенсивную атаку размазанную через кучу нод тора или прокси с целью выюзывания лимитов.

    Тор банится легко и изящно, анонимные прокси - по мере их выявления (действительно работающих, да еще с поддержкой SSL, в интернете очень мало).

     
     
  • 4.122, Аноним (-), 11:06, 27/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Покажи, как побанить все входные ноды Тор легко и изящно?

    И, кстати, про анонимные проски ля-ля-то не надо. Зайди на proxy.org и реально поинтересуйся поиском анонимных прокси с поддержкой SSL. Посмотри, что и сколько найдешь. Сотня за час находится с ленцой ручками.

     

  • 1.22, СуперАноним (?), 16:29, 26/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Таким ломовым способом можно любой протокол прикладного уровня завалить. На какой-то потребуется больше ресурсов атакующего, на какой-то меньше.
     
     
  • 2.42, Аноним (-), 17:35, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Таким ломовым способом можно любой протокол прикладного уровня завалить. На какой-то потребуется
    > больше ресурсов атакующего, на какой-то меньше.

    Все так. Просто этот дурной протокол дает атакующему фору в 15 раз по ресурсам. В то время как нормальный протокол должен стремиться ну как максимум к фактору 1. Если коэффициент более 1, это называется "усиление атаки". Рычаг с 15-кратным плечом позволит озадачить копеечным нетбуком огромный многопроцессорный гроб.

     
     
  • 3.129, Michael Shigorin (ok), 13:38, 27/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Просто этот дурной протокол дает атакующему фору в 15 раз по ресурсам.

    http://c2.com/cgi/wiki?DontRepeatYourself :)

     

  • 1.25, Жорж (?), 16:39, 26/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Хм, я такой "експлоет" уже много лет пользую против конкурентов. Просто потому что мне казалось что настолько тривиально, что все об этом знают.
     
     
  • 2.36, фклфт (ok), 17:14, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Хм, я такой "експлоет" уже много лет пользую против конкурентов. Просто потому
    > что мне казалось что настолько тривиально, что все об этом знают.

    я даже могу сказать где вы его купили


     
  • 2.80, Xaionaro (ok), 21:11, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Хм, я такой "експлоет" уже много лет пользую против конкурентов.

    Нехороший Вы человек. Играть нужно по-честному.


     
     
  • 3.108, фклфт (ok), 07:21, 27/10/2011 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Нехороший Вы человек. Играть нужно по-честному.

    В бизнесе понятия честность вообще не существует
    P.S. я раньше тоже хотел все по честному работать и зарабатывать но вот блин мы не в Швейцарии живем

     
     
  • 4.130, Michael Shigorin (ok), 13:43, 27/10/2011 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >> Играть нужно по-честному.

    Нормальному человеку на деструктив вообще время жалко тратить...

    > В бизнесе понятия честность вообще не существует

    Существует, хотя встречается редко (и редко выживает).  Например, в Киеве и Москве знаю минимум по одному сборщику железа, которым это понятие не чуждо.  Если кому надо -- пишите почтой :)

     
  • 4.157, Аноним (-), 16:54, 28/10/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > В бизнесе понятия честность вообще не существует

    Да, а если продолжить эту логику, тогда для конкурента пристрелить вас - наиболее дешевый и оптимальный вариант. Расход бабок на пули и порох минимальны по сравнению с убытками от вас.

     

  • 1.28, Аноним (-), 16:52, 26/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    >127.0.0.1

    для самых умных хакеров)

     
  • 1.31, maxkit (ok), 17:00, 26/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Оказывается, то, что мне и многим моим коллегам было известно уже много лет - только "открыли"... Чудеса.
     
     
  • 2.37, demimurych (ok), 17:16, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    про SSL?
     
  • 2.40, Аноним (-), 17:23, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Оказывается, то, что мне и многим моим коллегам было известно уже много
    > лет - только "открыли"... Чудеса.

    Вы и ваши коллеги явно не в курсе, что для handshake не нужно создавать новое соединение.

     
     
  • 3.55, Аноним (-), 18:13, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Вы и ваши коллеги явно не в курсе, что для handshake не
    > нужно создавать новое соединение.

    И что, неужели не существует никаких способов отменить это? :D

     
  • 2.47, Аноним (-), 17:57, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    ОЙ, пафос то какой... я прям испугался
     

  • 1.34, arcade (ok), 17:02, 26/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Бред, у меня везде стоит ограничение на количество одновременных подключений на уровне файрволла. Превышающие тихо скатываются в список для блокировки.
     
     
  • 2.39, Аноним (-), 17:22, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Бред, у меня везде стоит ограничение на количество одновременных подключений на уровне
    > файрволла. Превышающие тихо скатываются в список для блокировки.

    И как вам это поможет, если для handshake не создаётся новых соединений ?

     
     
  • 3.45, anonymous (??), 17:53, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    А вот Renegotiation отключить - и уже нужно новое соединение для handshake.
     
  • 3.46, Аноним (-), 17:54, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > И как вам это поможет, если для handshake не создаётся новых соединений ?

    Да просто кучка ламеров заучила пару команд, а ихучать протоколы вломы или умишка не хватает. Поэтому о том что tcp для ssl лишь некий транспортный тоннель - ламерюки
    не прдозревают.

     
     
  • 4.58, Аноним (-), 18:18, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Да просто кучка ламеров заучила пару команд, а ихучать протоколы вломы или
    > умишка не хватает. Поэтому о том что tcp для ssl лишь
    > некий транспортный тоннель - ламерюки
    >  не прдозревают.

    А еще они не подозревают, что такое renegotiation и что его можно отключить :D

     
     
  • 5.74, Аноним (-), 19:53, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > А еще они не подозревают, что такое renegotiation и что его можно
    > отключить :D

    Команды по отключению renegotiation в Apache и nginx в студию. Только, pls, без патчей на код. И еще список SSL-клиентов, которые перестанут работать после отключения renegotiation тоже не забудьте указать.

     
     
  • 6.93, Аноним (-), 00:32, 27/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >Только, pls, без патчей на код.

    "Хочу поесть, но не ртом"
    Кто уже успел получить лучики счаться, или просто держит в штате грамотных спецов - давно уже используют патченый openssl.

     
     
  • 7.118, Аноним (-), 10:22, 27/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Кто уже успел получить лучики счаться, или просто держит в штате грамотных
    > спецов - давно уже используют патченый openssl.

    Ага и при этом жертвуют совместимостью с клиентами и рискуют пропустить обновление с действительно серьёзной дырой в openssl.

     
  • 6.131, Michael Shigorin (ok), 13:50, 27/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > И еще список SSL-клиентов, которые перестанут работать
    > после отключения renegotiation тоже не забудьте указать.

    Возможно, местами пригодится этот тред:
    http://old.nabble.com/TLS-renegotiation-disabling-%3A-mod_ssl-and-OpenSS

     
  • 3.48, Аноним (-), 17:57, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Простите мой сарказм, но что за бред, что значит не создается, пакеты, что по UDP шлются?!
     
     
  • 4.52, Аноним (-), 18:04, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Простите мой сарказм, но что за бред, что значит не создается, пакеты,
    > что по UDP шлются?!

    На первый раз прощаю! Вы знаете что такое соединение? Это IP-отправителя:порт-отправителя + IP-получателя:порт-получателя. Например, 192.168.1.150:4452 <-> 192.168.2.210:443. Дак вот внутри этого соединения и происходит handshake (рукопожатие). Новое рукопожатие можно инициировать, НЕ УСТАНАВЛИВАЯ НОВОЕ ПОДКЛЮЧЕНИЕ. Толку то тут ограничивать кол-во подключений с одного IP?!

     
     
  • 5.56, Аноним (-), 18:14, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Новое рукопожатие можно инициировать, НЕ УСТАНАВЛИВАЯ НОВОЕ ПОДКЛЮЧЕНИЕ.

    Ну посмотрим, как вы это сделаете, если я renegotiation на сервере отключу :P

     
     
  • 6.63, Аноним (-), 19:04, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    в новости об этом тоже есть упоминание
     
     
  • 7.65, Аноним (-), 19:07, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > в новости об этом тоже есть упоминание

    Да я как бы довожу этот факт до сведения некоторых "знатоков", потому что они-то новости наверняка не читали, дальше заголовка первых строчек. Но обсуждают, да.

     
  • 2.50, Аноним (-), 17:59, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Бред, у меня везде стоит ограничение на количество одновременных подключений на уровне
    > файрволла. Превышающие тихо скатываются в список для блокировки.

    А у вас случайно на уровне фаерволла не стоит лимит на количество MAIL FROM:<> по 25 порту? Повторюсь: НА УРОВНЕ ФАЕРВОЛЛА! Вот тут тоже самое на количество "рукопожатий". Короче, курите матчасть, что вам тут объяснять, распинаться, все равно нифига не поймете

     
     
  • 3.57, Аноним (-), 18:17, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А у вас случайно на уровне фаерволла не стоит лимит на количество
    > MAIL FROM:<> по 25 порту? Повторюсь: НА УРОВНЕ ФАЕРВОЛЛА!

    Если SMTP-сервер позволяет ограничить количество писем, передаваемых в рамках одного соединения - ничто не мешает использовать фаерволовские лимиты на количество подключений.

    Аналогично и SSL, позволяет ограничить количество hahdshake/connection единицей.

     
     
  • 4.77, terr0rist (ok), 20:55, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Угумс, а ещё фаервол - это и ограничитель (в рамках одного соединения) количества просмотренных веб-страниц, скачанных архивов или порнухи, ну и конечно, количества логинов в админку в HTTPS, не говоря уже о количестве выполненных команд в телнет и ссш.
    Не путайте, уважаемый аноним, прикладной уровень, на котором работают почтовые и прочие сервера, с транспортным, на котором фаервол.
     
     
  • 5.94, Аноним (-), 00:34, 27/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Угумс, а ещё фаервол - это и ограничитель (в рамках одного соединения)
    > количества просмотренных веб-страниц, скачанных архивов или порнухи, ну и конечно, количества
    > логинов в админку в HTTPS, не говоря уже о количестве выполненных
    > команд в телнет и ссш.

    Если код на уровне сервера позволяет жестко привязать эти действия к соединениям (для каждого действия требуется новое соединение), то пуркуа бы и не па?

     
  • 2.110, Жорж (?), 08:17, 27/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Малаца!
    Так и надо делать.
    И тогда, все легитимные пользователи вашего сайта будут скачены в список для блокировки. Блестяще, эффект експлоета достигнут - сайт вроде работает, но зайти не возможно. Пару дней такого даунтайма и вы вылетаете с работы с формулировкой "профнепригоден".
     

  • 1.43, Аноним (-), 17:41, 26/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    если у кого-то сервера в продакшн кластере можно положить такой фигней,
    так им и надо, подобный эксплойт номер 1 в списке нефунциональной валидации безопасности.
     
  • 1.51, AHoH (?), 18:01, 26/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Тор, анонимные прокси и честные пользователи - мне одному кажется что здесь сокрыта какая_то неувязочка ;)
     
     
  • 2.123, Аноним (-), 11:09, 27/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Тор, анонимные прокси и честные пользователи - мне одному кажется что здесь
    > сокрыта какая_то неувязочка ;)

    Тебе одному. В моей стране блокируются многие легитимные ресурсы инета, в том числе с техническими статьями. Как прикажешь мне, честному пользователю, на них попадать?

     

  • 1.61, pavlinux (ok), 18:25, 26/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    # thc-ssl-dos 207.46.232.182 2222 --accept

    SSL: error:12345FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol
    #0: This does not look like SSL!

    # ssh -V
    OpenSSH_5.8p1, OpenSSL 1.0.0c 2 Dec 2010


     
     
  • 2.112, mtr (?), 09:44, 27/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Никогда не понимал людей публично демонстрирующих собственное невежество.

    Да, ssh использует библиотеку openssl, но не использует протокол SSL/TLS.

     
     
  • 3.147, pavlinux (ok), 06:10, 28/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Мне запрещено досить свой сервер?
     
     
  • 4.152, Аноним (-), 15:56, 28/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Мне запрещено досить свой сервер?

    Нет, просто SSL != SSH, сплойт тебе честно сказал что порт куда ты сунулся - SSLем кажется не является. И походу он прав. В следующий раз попробуй закрутить гвоздь отверткой и расскажи что получилось. Будет примерно настолько же умно :)

     

  • 1.68, Aleksey (??), 19:17, 26/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Назвать новость стоило видимо "Хакерская группа увеличила мощность ботнетов по заваливанию сайтов в 15 раз"
     
  • 1.69, pavlinux (ok), 19:21, 26/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    http://www.links.org/files/no-renegotiation-2.patch
    http://svn.resiprocate.org/rep/ietf-drafts/ekr/tls-patch.diff


    Вроде NGINX этим не болеет.
    http://mailman.nginx.org/pipermail/nginx-ru/2009-November/029461.html

     
     
  • 2.133, Fantomas (??), 14:17, 27/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Вроде NGINX этим не болеет.

    Ага, вот почему у меня сервера на это не реагируют.
    Хотел писать, что этот эксплоит не работает, а оказывается это все из-за того, что у меня везде НжинХ.

     
  • 2.134, Fantomas (??), 14:20, 27/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    А почему тогда в заглавии написали, что он работу любого сервака блокирует?
     

  • 1.70, анон (?), 19:34, 26/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Мне одному показалось, что кто-то хочет массово продавать "коммерческий SSL Accelerator"?
     
     
  • 2.71, pavlinux (ok), 19:38, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    да --- Кстати, у меня дома валяется, купленный на Ебае за 35 BCM5820 - E-Comm... большой текст свёрнут, показать
     
  • 2.72, Аноним (-), 19:39, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Мне одному показалось, что кто-то хочет массово продавать "коммерческий SSL Accelerator"?

    Вы так говорите, как будто это что-то плохое :)
    У кого хватило глупости не отключить renegotiation, не забанить тор и не выставить лимит на коннекты - пусть страдают и платят денежку, се ля ви.

     
     
  • 3.75, Аноним (-), 19:59, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > У кого хватило глупости не отключить renegotiation, не забанить тор и не
    > выставить лимит на коннекты - пусть страдают и платят денежку, се
    > ля ви.

    Блин достали уже такие специалисты как вы, обвиняющих других в глупости, ни понимая элементарных вещей и в теме абсолютно не разбираясь. SSL-Renegotiation в Apache отключается _только_ через левый патч на код и после этого будут наблюдаться малопредсказуемые последствия в виде клиентов,  перестающих работать на ровном месте.

     
     
  • 4.76, pavlinux (ok), 20:05, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Так не апачь надо патч, а OpenSSL --- Кстати, Waiting for script kiddies to pi... большой текст свёрнут, показать
     
     
  • 5.153, Аноним (-), 16:13, 28/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Waiting for script kiddies to piss off................
    > The force is with those who read the source...

    Павлин, как ты мог? Там специально для скрипткиддей воткнут делэй рисующий точки, чтобы кидиссы лишний раз обтекли. А ты то как туда попал?! :))))

     
     
  • 6.158, pavlinux (ok), 17:35, 28/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >> Waiting for script kiddies to piss off................
    >> The force is with those who read the source...
    > Павлин, как ты мог?

    Надо же проверить на чём народ катает.

     
  • 4.95, Аноним (-), 00:36, 27/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > SSL-Renegotiation в Apache отключается _только_ через левый патч на код

    Скажу по секрету: отключается это не в апаче, а глобально по системе, через ликвидацию бэкдора в OpenSSL.

    > и после этого будут наблюдаться малопредсказуемые последствия в виде клиентов,  перестающих работать на ровном месте.

    Пруф?

     
     
  • 5.102, pavlinux (ok), 01:24, 27/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Пруф - это RFC.
     
     
  • 6.105, Аноним (-), 01:38, 27/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Пруф - это RFC.

    Пруф должен подтверждать. RFC не подтверждает.

     
  • 5.119, Аноним (-), 10:32, 27/10/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Скажу по секрету: отключается это не в апаче, а глобально по системе,
    > через ликвидацию бэкдора в OpenSSL.

    Мда. Советую вам изучить логику согласования параметров SSL-линка, загрузив исходники Apache и вдумчиво поизучав содержимое ssl_engine_kernel.c.

     
  • 5.148, pavlinux (ok), 06:11, 28/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Пруф?

    http://www.stunnel.org/pipermail/stunnel-users/2010-November/002852.html

    FYI I still have to run fully patched Apache with
    "SSLInsecureRenegotiation on" due to MSIE still not supporting proper
    optional client cert renegotiation. It's only *2 years* since the
    vulnerability was discovered...

     
  • 5.154, Аноним (-), 16:17, 28/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > через ликвидацию бэкдора в OpenSSL.

    SSL вообще сплошной бекдор: любой CA может выписать сертификат на что угодно, в том числе и в пику другому CA. Чего ликвидировать предлагается?!

     

  • 1.78, Александр (??), 21:03, 26/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    попробовал на своих машинках, beam - 100% одного ядра процессора, при этом сервисы как работали, так и работают, apache/nginx - fail сразу (фэйл эксплоита имею ввиду), exim/dovecot фэйл сразу, тестировал то что по ссылке, сишный код, так что не парьтесь особо.
     
     
  • 2.84, Анонимный аноним через tor (?), 22:02, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    спасибо. а можете проверить Lighttpd? спасибо
     
     
  • 3.87, Александр (??), 22:26, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    lighttpd к сожалению не использую, так что не проверю, но думаю там тоже предусмотрена какаято проверка валидности запросов.
     
  • 3.92, Анонимный аноним через tor (?), 00:16, 27/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    нащёл вот ещё и такое обсуждение:

    http://redmine.lighttpd.net/boards/2/topics/4780

     
  • 2.85, Xaionaro (ok), 22:04, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > попробовал на своих машинках, beam - 100% одного ядра процессора, при этом
    > сервисы как работали, так и работают, apache/nginx - fail сразу (фэйл
    > эксплоита имею ввиду), exim/dovecot фэйл сразу, тестировал то что по ссылке,
    > сишный код, так что не парьтесь особо.

    Прошу простить мою безграмотность, я думал, проблема упирается в реализацию SSL, а не в реализацию сервиса её использующую.

     
  • 2.88, авыа (?), 22:30, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    а попробуйте законектиться по ssh )
     
     
  • 3.89, авыа (?), 22:32, 26/10/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    во блин это про ssl )
     

  • 1.101, Анонимный аноним через tor (?), 01:09, 27/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    надеюсь этот замечательный пример покажет что нЕфига делигировать на сервер кучу обязанностей по обработки соеденения :-)

    ...например если часть криптографических обязанностей переместить на клиентскую сторону, и при этом [предположим] клиент НЕ захочет КАЧЕСТВЕНО исполнять их -- то в результате кому от этого будет хуже(?)... самому клиенту! :-)

     
     
  • 2.103, pavlinux (ok), 01:26, 27/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > кому от этого будет хуже(?)... самому клиенту! :-)

    Клиент пойдёт и потратит своё бабло в другом месте, ибо монополий сейчас ой как мало.
    Это Apple, Google, Маздай делают погоду, вот они могут забить на юзера, придумать свой
    новый протокол и сделать его ISO/POSIX/ANSI


     
     
  • 3.143, Xasd (ok), 16:50, 27/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Клиент пойдёт и потратит своё бабло в другом месте...

    "клиент" в данном случае это программы типа Firefox/Chromium/Vasya-Pupkin-SSL-Super-Utility/<...> ..

    ....чтобы вам было прощще понять -- можете представить фильм Трон (?).. так вот в этом фильме [как вы помните] -- программы особо не ходили никуда тратить бабло :-)

     

  • 1.106, Humka (??), 01:58, 27/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Этому багу сто лет в обед. Он уже исправлен в nginx, по этому админы спите спокойно, а скрипт киддис перестаньте страдать фигней и идите спать.
     
  • 1.107, Ромарио (?), 02:58, 27/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Странно это все как-то как не пытался увалить свой Apache на CentOs етим експлоидом не вышло, и через баш создавал цикл с разными конектами - встретил файрвол и бинарик качал он ругнулся сразу на отсутствие negotiation... Типа пронесло или че? :D
     
  • 1.109, Аноним (-), 07:43, 27/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    А я знаю еще один способ Dos'a, надо зажать кнопку F5. Думаю этот медтод не менее эффективный :D
     
  • 1.111, Feerik (ok), 09:41, 27/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну, как вариант, берем iptables и делаем так:

    iptables -A INPUT -p tcp -i $INTERNET --dport 443 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

    iptables -A INPUT -p tcp -i $INTERNET --dport 443 -m conntrack --ctstate NEW -m limit --limit 32/sec --limit-burst 32 -j ACCEPT

    Т.е. за одну секунду, через iptables пролезет не более 32 попыток установки новых соединений. Ну, если хотите, сделайте не более 150ти. Сомневаюсь, что у кого-то из сдесь присутствующих, за секунду подключается более 150 юзеров. Т.е. ноутбук, с тремя сотнями новых подключений идет лесом.

     
     
  • 2.114, mtr (?), 09:46, 27/10/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ну, как вариант, берем iptables и делаем так:
    > iptables -A INPUT -p tcp -i $INTERNET --dport 443 -m conntrack --ctstate
    > ESTABLISHED,RELATED -j ACCEPT
    > iptables -A INPUT -p tcp -i $INTERNET --dport 443 -m conntrack --ctstate
    > NEW -m limit --limit 32/sec --limit-burst 32 -j ACCEPT
    > Т.е. за одну секунду, через iptables пролезет не более 32 попыток установки
    > новых соединений. Ну, если хотите, сделайте не более 150ти. Сомневаюсь, что
    > у кого-то из сдесь присутствующих, за секунду подключается более 150 юзеров.
    > Т.е. ноутбук, с тремя сотнями новых подключений идет лесом.

    Еще один чукча-писатель вылез. Обсуждение новости таки прочитайте и больше так не делайте.

     
     
  • 3.115, Feerik (ok), 09:59, 27/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Почитал, живых примеров не увидел.

    А теперь толстячок, скажи конкретно, что тебе в моем примере не понравилось и почему он может не сработать, или твои комментарии вообще ниачем.

     
     
  • 4.116, Аноним (-), 10:18, 27/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Все просто. Если ты ограничиваешь подключения с одного ip, то, к твоему сведению, 1000 затрояненных ботов стоят 35$. А если ты ограничиваешь суммарно то лимит быстро исчерпается даже силами одного бота и дальше никто подсоединиться не сможет. Включая обычных пользователей.
     
     
  • 5.120, Feerik (ok), 10:34, 27/10/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Все просто. Если ты ограничиваешь подключения с одного ip, то, к твоему
    > сведению, 1000 затрояненных ботов стоят 35$. А если ты ограничиваешь суммарно
    > то лимит быстро исчерпается даже силами одного бота и дальше никто
    > подсоединиться не сможет. Включая обычных пользователей.

    По крайней мере сервер не задосят, что уже хорошо и уже собственно решение проблемы ддоса сервриса. Но да, встает другая проблема, если лимит соединений будет постоянно исчерпан, то никто нужный не подключиться..... а теперь посмотрим на новую проблему под другим углом - т.е. если досят сервис, досят намеренно, целенаправленно, и очень большим кол-вом машин, то обычно досят те сервисы, от которых и ожидают того, что сервисы помрут, и/или может еще и рута дадут. И в этот саый момент, когда ддос происходит, сервис обычно и так еле работает т.е. новый обычный пользователь один черт не сможет подключиться и сервисом пользоваться.

    Я клоню к тому, что если сервис досят, неважно, получиться у них это или нет сервис в любом случае перегружается и начинает работать еле-еле, т.е. при ддосе, работа обычным пользователям как не крути а не светит. И тут у нас есть выбор - либо мы не фаерволимся, сервис досят - пользователь не работает, сервис умирает, либо мы фаерволимся, сервис досят, пользователь не работает, но сервис остается живой и сдоровый.

    ИМХО, если мы не можем доса избежать, мы в первую очередь должны защитить сервис, а не возможность новых пользователей подключаться. Пока сервис досят, пользователь один фиг не сможет им нормально пользоваться.

     
     
  • 6.132, Michael Shigorin (ok), 14:03, 27/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > По крайней мере сервер не задосят, что уже хорошо и уже собственно
    > решение проблемы ддоса сервриса.

    Так уже надцать раз объяснили: проблема не в LA на сервере, а в конечном результате для искомого клиента.  Т.е. с таким же успехом можно выдернуть джек из eth0 и любоваться на top через eth1.

    > либо мы фаерволимся, сервис досят, пользователь не работает,
    > но сервис остается живой и сдоровый.

    С точки зрения пользователя он совсем мёртвый при таком, т.е. цель DoS достигнута.

     
  • 6.164, arisu (ok), 13:04, 30/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > ИМХО, если мы не можем доса избежать, мы в первую очередь должны
    > защитить сервис, а не возможность новых пользователей подключаться.

    есть мнение, что проще поставить сервер в сейф, предварительно выдернув сетевые кабеля. сервис будет надёжно защищён. а юзеры… да кого они интересуют? главное — сервис защищён!

    понабижало админов локалхоста, блин…

     
  • 4.121, Аноним (-), 10:37, 27/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > А теперь толстячок, скажи конкретно, что тебе в моем примере не понравилось
    > и почему он может не сработать, или твои комментарии вообще ниачем.

    SSL-handshake выполняется внутри уже установленного _одного_ соединения, т.е. новые соединения не создаются и conntrack отловит только один коннект.

     
     
  • 5.125, Feerik (ok), 11:36, 27/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    http httpd apache org docs 2 2 mod mod_ssl html SSLInsecureRenegotiation Dire... большой текст свёрнут, показать
     
     
  • 6.126, Аноним (-), 11:55, 27/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Эта настройка не отключает Renegotiation полностью, а лишь позволяет отключить в... большой текст свёрнут, показать
     

  • 1.135, Kodirr (?), 14:24, 27/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Поправьте меня, но разве нельзя ограничить "ресурсы" для каждого соединения простым выставлением приоритетов? Количеством соединений будет заведовать IPTables, а сам сервер ограничит аппетит потоков. Понятно, что это снизит отзывчивость системы, но это не смертельно - с нею всё ещё можно работать и заодно забанивать "эксплойт-аторов".
     
  • 1.141, Аноним (-), 16:42, 27/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Все такие все специалисты, умные аж жуть. Забанят, они всех нападающих по IP.
    А банить внешние IP провайдеров тоже будете? Если атакуют из Корбины/Билайна то, что сразу бан?
    И через недельку ваш сайт будет открываться только у пользователей Урюпинск-телеком, не иначе.
     
     
  • 2.155, Аноним (-), 16:27, 28/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > А банить внешние IP провайдеров тоже будете? Если атакуют из Корбины/Билайна то,
    > что сразу бан?

    Точно, забанить нафиг все наты beeline, mts и megafon. А то их бандвиза тоже хватит чтобы поднасрать, особенно на 3G.

     

  • 1.142, Konwin (ok), 16:42, 27/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я смотрю большинство отписавшихся не осилили прочитать новость. А новость вот в чём - в рамках ОДНОЙ TCP сессии можно завалить SSL сервер. И чем вам помогут лимиты, когда соединение будет ОДНО?
     
     
  • 2.144, Аноним (-), 16:52, 27/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Так ты и сам не дочитал.
    Даже при отключенном SSL-Renegotiation при множителе x15 на ресурсы, получаем DoS атаку лучше чем SYN-флуд в разы. Экономятся деньги на ботов, плюс, в отличии, от флуда трудно отфильтровать.
     

  • 1.145, GMS (?), 19:46, 27/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну, тут можно еще поковырять сами tcp пакеты на предмет большого количества SSL-Handshake (-m string). Я сам раньше думал, что парсинг содержимого пакетов убьёт канал, а намедни пришлось заюзать - падения производительности не заметил.
     
  • 1.149, coresh (ok), 12:14, 28/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Лог результата работы эксплоита продолжительностью ~1-2 минуты с default Limit parallel connections=400 на lighttpd/1.4.29 (ssl):
    Резюме: Сайт в течении теста работал, тормоза: незначительные
            Главное: Проц. грузился под 100%
            Далее тест не проводился


    Waiting for script kiddies to piss off................
    The force is with those who read the source...
    Handshakes 0 [0.00 h/s], 1 Conn, 0 Err
    Handshakes 61 [65.72 h/s], 400 Conn, 0 Err
    Handshakes 242 [181.28 h/s], 400 Conn, 0 Err

    ...

    Handshakes 40695 [252.11 h/s], 400 Conn, 0 Err
    Handshakes 40963 [268.03 h/s], 400 Conn, 0 Err
    Handshakes 41245 [282.17 h/s], 400 Conn, 0 Err


     
     
  • 2.156, Аноним (-), 16:40, 28/10/2011 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Waiting for script kiddies to piss off................

    THC написал годный детектор скрипткиддисов :)))

     

  • 1.159, Аноним (159), 12:53, 29/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ерунда.
    Любой (почти) скрипт на сервере точно так же можно "задоссить" т.к. ресурсов он расходует больше чем установка коннекта. Это будет ддос атака не на канал сервера, не на сам веб сверве, а на скрипт который на нём работает.

    Метод борьбы точно такой же - банить IP адреса. И успех в этой барьбе определяется скоростью с которой их банять (т.е. тем сколько запросов они сумеют совершить прежде чем они забанять)

    Так что эффективность метода - это 5 ssl коннектов на IP. А теперь посчитайте сколько нужно IP чтобы вывести сервер на час.

     
     
  • 2.160, XoRe (ok), 22:55, 29/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Метод борьбы точно такой же - банить IP адреса.

    А ещё, на выбор:
    - переписать проблемную часть.
    - включить кеширование.
    - добавить мощностей.

    Банить, имхо, в последнюю очередь.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру