The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

26.10.2011 15:09  Представлен эксплойт, способный блокировать работу любого SSL-сервера

Известная немецкая хакерская группа THC представила эксплойт, реализующий DoS-атаку против любого SSL-сервера с задействованием всего одной или нескольких атакующих машин. Уязвимость присутствует во всех известных реализациях SSL и не может быть устранена без переработки принципа работы сервера.

Идея, заложенная в эксплойт, очень проста и основана на том факте, что для установки SSL-соединения серверная сторона тратит в 15 раз больше ресурсов, чем клиентская. Фактически, все что делает эксплойт, это создает бесконечный поток подключений к серверу, что в конечном итоге приводит к исчерпанию ресурсов последнего. THC уверяет, что для введения среднестатистического сервера в состояние отказа в обслуживании понадобится всего 300 SSL-подключений в секунду, которые с легкостью обеспечит стандартный ноутбук, подключенный к сети с помощью DSL-канала. Большая ферма серверов, оснащенная балансировщиком нагрузки сможет выдержать натиск не более чем 20 таких ноутбуков, пропускной канал каждого из которых составляет всего 120 Кбит/с.

Надежной защиты от данного способа атаки пока не существует и вряд ли появится в ближайшем будущем. Максимум, что могут сделать системные администраторы, это отключить механизм SSL-Renegotiation или установить коммерческий SSL Accelerator, благодаря которым удастся повысить производительность SSL-сервера и защититься хотя бы от атак, производимых с одной машины. Разработчики эксплойта утверждают, что производители были поставлены в известность о наличии проблемы ещё в 2003 году, но с тех пор ни один из вендоров не предпринял попыток исправления сложившейся ситуации.

Получить код эксплойта можно с домашней страницы THC, на которой опубликована урезанная версия, которая не будет работать в отношении серверов с отключенным SSL-Renegotiation. При отключении SSL-Renegotiation для совершения атаки потребуется создавать новое TCP-соединение на каждый ресурсоёмкий SSL-handshake. Упрощённую функциональность эксплойта, работающего в ситуации отключения SSL-Renegotiation, можно повторить с помощью стандартного openssl-клиента (главное отличие эксплойта THC в том, что он инициирует серию SSL-handshake в рамках одного TCP-соединения, к чему серверы не подготовлены):


   thc-ssl-dosit() {
       while :; do 
          (while :; do echo R; done) |\
          openssl s_client -connect 127.0.0.1:443 2>/dev/null;
       done
    }


  1. Главная ссылка к новости (http://thehackerschoice.wordpr...)
  2. OpenNews: В протоколах SSL/TLS найдена критическая уязвимость
  3. OpenNews: Легко эксплуатируемая DoS-уязвимость в HTTP-сервере Apache
  4. OpenNews: Обнаружен обманный SSL-сертификат для сервисов Google (дополнение: осуществлен взлом CA)
  5. OpenNews: Представлен первый успешный способ атаки на SSL/TLS
  6. OpenNews: Tor и Firefox не подвержены атаке против SSL/TLS
Автор новости: Evgeny Zobnin
Тип: Проблемы безопасности
Ключевые слова: security, exploit, ssl, dos
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Александр (??), 15:36, 26/10/2011 [ответить] [показать ветку] [···]    [к модератору]
  • +1 +/
    Нда... печально.
     
     
  • 2.6, anonymous (??), 15:52, 26/10/2011 [^] [ответить]    [к модератору]
  • +/
    А где этот ссл отдельно применяется ?

    К примеру в любом https и ftps можно левой

     
     
  • 3.8, anonymous (??), 15:54, 26/10/2011 [^] [ответить]     [к модератору]
  • +1 +/
    ногой сделать лимит на конекты вообще и с одного ип а еще можно иптаблес... весь текст скрыт [показать]
     
     
  • 4.14, Аноним (-), 16:07, 26/10/2011 [^] [ответить]     [к модератору]  
  • +1 +/
    Ну так это на раз обходится пускаем атаку через torify или socksify и разворачи... весь текст скрыт [показать]
     
     
  • 5.16, Аноним (-), 16:10, 26/10/2011 [^] [ответить]     [к модератору]  
  • +1 +/
    Айпишники выходных узлов тора не забанены только у ленивого админа Я, например,... весь текст скрыт [показать]
     
     
  • 6.30, Аноним (-), 16:59, 26/10/2011 [^] [ответить]     [к модератору]  
  • +1 +/
    Ага, пц как трудно Вот только что для прикола нашел гуглингом 5 действующик сок... весь текст скрыт [показать]
     
     
  • 7.67, Аноним (-), 19:13, 26/10/2011 [^] [ответить]     [к модератору]  
  • +1 +/
    Думаю, админу, чтобы забанить их, понадобится куда меньше времени и усилий, чем ... весь текст скрыт [показать]
     
     
  • 8.100, 8 (?), 00:54, 27/10/2011 [^] [ответить]    [к модератору]  
  • +/
    интересно, а бахнуть этим эксплоитом по, примерно, половине таких SSL OpenProxy через вторую половину - сложно?

    (как бы, риторически)

     
     
  • 9.104, Аноним (-), 01:36, 27/10/2011 [^] [ответить]     [к модератору]  
  • +/
    Гораздо веселее устроить битву каждый против всех - интересное зрелище ликви... весь текст скрыт [показать]
     
  • 9.124, Аноним (-), 11:30, 27/10/2011 [^] [ответить]     [к модератору]  
  • +1 +/
    Капитан информирует прокси пригодные для SSL HTTP 1 1 CONNECT, SOCKS 4 5 вооб... весь текст скрыт [показать]
     
  • 8.138, Аноним (-), 15:52, 27/10/2011 [^] [ответить]     [к модератору]  
  • +/
    На моей памяти, самый упертый админ пытавшийся решать вопросы маханием банхаммер... весь текст скрыт [показать]
     
  • 6.83, Аноним (-), 21:57, 26/10/2011 [^] [ответить]     [к модератору]  
  • +3 +/
    А в чем смысл страдать такой фигней Tor, в основном, используют вполне нормальн... весь текст скрыт [показать]
     
     
  • 7.98, Аноним (-), 00:43, 27/10/2011 [^] [ответить]     [к модератору]  
  • +/
    путем забана всего тора При этом приходится жертвовать интересами параноико... весь текст скрыт [показать]
     
     
  • 8.127, Аноним (-), 13:06, 27/10/2011 [^] [ответить]     [к модератору]  
  • +/
    Ничем не оправданный онанизм для тех кто атакует есть тысячи и тысячи открытых ... весь текст скрыт [показать]
     
  • 8.162, arisu (ok), 12:49, 30/10/2011 [^] [ответить]     [к модератору]  
  • –1 +/
    а если закрыть вообще все порты -- то никто и никогда не нагадит подумай над эт... весь текст скрыт [показать]
     
     
  • 9.165, Andrey Mitrofanov (?), 11:09, 31/10/2011 [^] [ответить]     [к модератору]  
  • +/
    Сплёвываем и стучим по дереву, чтоб не обнаружилась уязвимость в закрывальщике п... весь текст скрыт [показать]
     
     
  • 10.166, arisu (ok), 11:20, 31/10/2011 [^] [ответить]    [к модератору]  
  • +/
    > Лучше %) провод выдернуть.

    т-с-с-с. это же был второй секретный совет за деньги! весь гешефт мне попортил.

     
  • 6.86, Zenitur (ok), 22:21, 26/10/2011 [^] [ответить]    [к модератору]  
  • +/
    Полазить немного с TOR'а, подождать пока поглючит, IP несколько раз сменится. И можно писать на сайт, куда нельзя было писать с TOR'а.
     
  • 4.44, Аноним (-), 17:47, 26/10/2011 [^] [ответить]     [к модератору]  
  • +1 +/
    для ссш эффективной защитой является разве что порткнокинг, но если для админист... весь текст скрыт [показать]
     
     
  • 5.49, Одмин (?), 17:59, 26/10/2011 [^] [ответить]    [к модератору]  
  • +1 +/
    так если об этом будут знать клиенты то и злоумышленники тоже будут знать и knocking будет мало полезен.
     
  • 4.53, alikd (?), 18:04, 26/10/2011 [^] [ответить]    [к модератору]  
  • +2 +/
    TCP-соединение требуется только одно, в рамках которого будет инициировано несколько SSL-handshake сессий. Внимательно новость читайте
     
     
  • 5.66, Аноним (-), 19:09, 26/10/2011 [^] [ответить]     [к модератору]  
  • +/
    А вы-то ее внимательно читали, особенно последний абзац ... весь текст скрыт [показать]
     
     
  • 6.73, Аноним (-), 19:49, 26/10/2011 [^] [ответить]     [к модератору]  
  • +/
    Последний абзац относится только к случаю, когда на сервере отключили SSL-Renego... весь текст скрыт [показать]
     
     
  • 7.97, Аноним (-), 00:40, 27/10/2011 [^] [ответить]    [к модератору]  
  • –1 +/
    > если он включен, а это 99.9999% систем

    В вашей конторе - может быть. В нашей - выключен на 100% систем. Работа такая.

     
     
  • 8.117, Аноним (-), 10:18, 27/10/2011 [^] [ответить]     [к модератору]  
  • +/
    Что это за контора в которой используют на серверах самосборные запатченные верс... весь текст скрыт [показать]
     
     
  • 9.139, Аноним (-), 16:25, 27/10/2011 [^] [ответить]    [к модератору]  
  • +/
    Выдуманная, очевидно же.
     
  • 4.128, Michael Shigorin (ok), 13:12, 27/10/2011 [^] [ответить]     [к модератору]  
  • +/
    Если в рамках одного соединения, то попадаем на анализ пакетов Меньше одного к... весь текст скрыт [показать]
     
     ....нить скрыта, показать (26)

  • 1.5, Аноним (-), 15:46, 26/10/2011 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А SSL-Renegotiation ещё не выкинули из-за какой-то там уязвимости?
     
  • 1.9, Андрей (??), 15:58, 26/10/2011 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Практически все нормальные сервера регулируют количество подключений. И уж тем более количество подключений с одного адреса. Не прокатит.
     
     
  • 2.19, Аноним (-), 16:16, 26/10/2011 [^] [ответить]     [к модератору]  
  • +1 +/
    Один адрес несложно превратить в легион, через тор или проксики, показав шиш в п... весь текст скрыт [показать]
     
     
  • 3.32, rain87 (?), 17:00, 26/10/2011 [^] [ответить]     [к модератору]  
  • +/
    выше уже отписали по поводу торов и проксей для практической реализации атаки, ... весь текст скрыт [показать]
     
     
  • 4.41, Аноним (-), 17:24, 26/10/2011 [^] [ответить]     [к модератору]  
  • +2 +/
    Да нахрен там ботнет, для столь низкоинтенсивной атаки хватит бесплатных проксик... весь текст скрыт [показать]
     
     
  • 5.60, Аноним (-), 18:21, 26/10/2011 [^] [ответить]    [к модератору]  
  • +2 +/
    > Набрать несколько тысяч айпи - реально. Даже даром.

    Ну наберите хотя бы тыщи три, и запостите сюда. А пока это пустая трепотня.

     
     
  • 6.150, Аноним (-), 15:28, 28/10/2011 [^] [ответить]     [к модератору]  
  • +/
    Не, давайте вы лучше пианино для меня полдня потаскаете Если мне понравится как... весь текст скрыт [показать]
     
  • 1.10, mikevmk (??), 16:01, 26/10/2011 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Нюню. Пойдите, свалите https://gmail.com. Ну хоть все вместе.

    Это не эксплоит, а школьный гоп-стоп, и защититься от него лимитом коннектов, делэями и прочими элементарными вещами не просто, а очень просто.

     
     
  • 2.26, Аноним (-), 16:42, 26/10/2011 [^] [ответить]    [к модератору]  
  • +/
    Может, они знали?
     
     
  • 3.33, Аноним (-), 17:01, 26/10/2011 [^] [ответить]     [к модератору]  
  • +1 +/
    Вообще-то THC одна из известнейших и авторитетнейших хакерских групп, в лучшем с... весь текст скрыт [показать]
     
  • 2.163, arisu (ok), 12:52, 30/10/2011 [^] [ответить]    [к модератору]  
  • +/
    > свалите https://gmail.com

    нубло уверено, видимо, что гмыло всё на одном сервере крутится.

     
  • 1.12, Аноним (-), 16:03, 26/10/2011 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    iptables hashlimit ctstate NEW и connlimit легко зарежут такое счастье ... весь текст скрыт [показать]
     
     
  • 2.24, Аноним (-), 16:32, 26/10/2011 [^] [ответить]     [к модератору]  
  • +/
    ну как бы всех вполне устроит если вы сами пошлете ваших юзеров после того как а... весь текст скрыт [показать]
     
     
  • 3.59, Аноним (-), 18:20, 26/10/2011 [^] [ответить]     [к модератору]  
  • +/
    Мы, походу, лузеры - получаем айпишники после согласования кучи бумажек и выплат... весь текст скрыт [показать]
     
     
  • 4.79, Xaionaro (ok), 21:08, 26/10/2011 [^] [ответить]     [к модератору]  
  • +/
    Ну, с IPv6 дела попроще обстоят И я, как и некоторые мои знакомые уже используе... весь текст скрыт [показать]
     
  • 4.151, Аноним (-), 15:30, 28/10/2011 [^] [ответить]     [к модератору]  
  • +/
    Ну вы то их получаете в постоянное пользование, а в случае проксиков и торов они... весь текст скрыт [показать]
     
  • 1.13, AZ_from_Belarus (ok), 16:06, 26/10/2011 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Понравилось 127.0.0.1 и появление в первых же комментариях желающих это запустить. Впрямь как в анекдоте.
     
  • 1.18, koloboid (ok), 16:14, 26/10/2011 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    а что насчет TLS?
     
  • 1.20, Аноним (-), 16:17, 26/10/2011 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    бред. iptables и прочие отменили ?

     
     
  • 2.21, koloboid (ok), 16:26, 26/10/2011 [^] [ответить]    [к модератору]  
  • +2 +/
    не отменили, но и NAT тоже.
     
  • 2.27, Аноним (-), 16:47, 26/10/2011 [^] [ответить]     [к модератору]  
  • +/
    Ну будет таблес резать при атаке как атакующего, так и честных пользователей По... весь текст скрыт [показать]
     
     
  • 3.54, Аноним (-), 18:11, 26/10/2011 [^] [ответить]     [к модератору]  
  • +/
    Тор банится легко и изящно, анонимные прокси - по мере их выявления действитель... весь текст скрыт [показать]
     
     
  • 4.122, Аноним (-), 11:06, 27/10/2011 [^] [ответить]     [к модератору]  
  • +/
    Покажи, как побанить все входные ноды Тор легко и изящно И, кстати, про анонимн... весь текст скрыт [показать]
     
  • 1.22, СуперАноним (?), 16:29, 26/10/2011 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Таким ломовым способом можно любой протокол прикладного уровня завалить. На какой-то потребуется больше ресурсов атакующего, на какой-то меньше.
     
     
  • 2.42, Аноним (-), 17:35, 26/10/2011 [^] [ответить]     [к модератору]  
  • +/
    Все так Просто этот дурной протокол дает атакующему фору в 15 раз по ресурсам ... весь текст скрыт [показать]
     
     
  • 3.129, Michael Shigorin (ok), 13:38, 27/10/2011 [^] [ответить]    [к модератору]  
  • +/
    > Просто этот дурной протокол дает атакующему фору в 15 раз по ресурсам.

    http://c2.com/cgi/wiki?DontRepeatYourself :)

     
  • 1.25, Жорж (?), 16:39, 26/10/2011 [ответить] [показать ветку] [···]    [к модератору]  
  • –3 +/
    Хм, я такой "експлоет" уже много лет пользую против конкурентов. Просто потому что мне казалось что настолько тривиально, что все об этом знают.
     
     
  • 2.36, фклфт (ok), 17:14, 26/10/2011 [^] [ответить]    [к модератору]  
  • +/
    > Хм, я такой "експлоет" уже много лет пользую против конкурентов. Просто потому
    > что мне казалось что настолько тривиально, что все об этом знают.

    я даже могу сказать где вы его купили


     
  • 2.80, Xaionaro (ok), 21:11, 26/10/2011 [^] [ответить]    [к модератору]  
  • +2 +/
    > Хм, я такой "експлоет" уже много лет пользую против конкурентов.

    Нехороший Вы человек. Играть нужно по-честному.


     
     
  • 3.108, фклфт (ok), 07:21, 27/10/2011 [^] [ответить]     [к модератору]  
  • –2 +/
    В бизнесе понятия честность вообще не существует P S я раньше тоже хотел все по... весь текст скрыт [показать]
     
     
  • 4.130, Michael Shigorin (ok), 13:43, 27/10/2011 [^] [ответить]     [к модератору]  
  • +3 +/
    Нормальному человеку на деструктив вообще время жалко тратить Существует, хот... весь текст скрыт [показать]
     
  • 4.157, Аноним (-), 16:54, 28/10/2011 [^] [ответить]     [к модератору]  
  • +1 +/
    Да, а если продолжить эту логику, тогда для конкурента пристрелить вас - наиболе... весь текст скрыт [показать]
     
  • 1.28, Аноним (-), 16:52, 26/10/2011 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    >127.0.0.1

    для самых умных хакеров)

     
  • 1.31, maxkit (ok), 17:00, 26/10/2011 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Оказывается, то, что мне и многим моим коллегам было известно уже много лет - только "открыли"... Чудеса.
     
     
  • 2.37, demimurych (ok), 17:16, 26/10/2011 [^] [ответить]    [к модератору]  
  • +/
    про SSL?
     
  • 2.40, Аноним (-), 17:23, 26/10/2011 [^] [ответить]     [к модератору]  
  • +/
    Вы и ваши коллеги явно не в курсе, что для handshake не нужно создавать новое со... весь текст скрыт [показать]
     
     
  • 3.55, Аноним (-), 18:13, 26/10/2011 [^] [ответить]    [к модератору]  
  • +1 +/
    > Вы и ваши коллеги явно не в курсе, что для handshake не
    > нужно создавать новое соединение.

    И что, неужели не существует никаких способов отменить это? :D

     
  • 2.47, Аноним (-), 17:57, 26/10/2011 [^] [ответить]    [к модератору]  
  • +/
    ОЙ, пафос то какой... я прям испугался
     
  • 1.34, arcade (ok), 17:02, 26/10/2011 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Бред, у меня везде стоит ограничение на количество одновременных подключений на уровне файрволла. Превышающие тихо скатываются в список для блокировки.
     
     
  • 2.39, Аноним (-), 17:22, 26/10/2011 [^] [ответить]     [к модератору]  
  • –1 +/
    И как вам это поможет, если для handshake не создаётся новых соединений ... весь текст скрыт [показать]
     
     
  • 3.45, anonymous (??), 17:53, 26/10/2011 [^] [ответить]    [к модератору]  
  • +/
    А вот Renegotiation отключить - и уже нужно новое соединение для handshake.
     
  • 3.46, Аноним (-), 17:54, 26/10/2011 [^] [ответить]     [к модератору]  
  • +/
    Да просто кучка ламеров заучила пару команд, а ихучать протоколы вломы или умишк... весь текст скрыт [показать]
     
     
  • 4.58, Аноним (-), 18:18, 26/10/2011 [^] [ответить]     [к модератору]  
  • +/
    А еще они не подозревают, что такое renegotiation и что его можно отключить D... весь текст скрыт [показать]
     
     
  • 5.74, Аноним (-), 19:53, 26/10/2011 [^] [ответить]     [к модератору]  
  • +/
    Команды по отключению renegotiation в Apache и nginx в студию Только, pls, без ... весь текст скрыт [показать]
     
     
  • 6.93, Аноним (-), 00:32, 27/10/2011 [^] [ответить]    [к модератору]  
  • +/
    >Только, pls, без патчей на код.

    "Хочу поесть, но не ртом"
    Кто уже успел получить лучики счаться, или просто держит в штате грамотных спецов - давно уже используют патченый openssl.

     
     
  • 7.118, Аноним (-), 10:22, 27/10/2011 [^] [ответить]     [к модератору]  
  • +/
    Ага и при этом жертвуют совместимостью с клиентами и рискуют пропустить обновлен... весь текст скрыт [показать]
     
  • 6.131, Michael Shigorin (ok), 13:50, 27/10/2011 [^] [ответить]     [к модератору]  
  • +/
    Возможно, местами пригодится этот тред http old nabble com TLS-renegotiation-... весь текст скрыт [показать]
     
  • 3.48, Аноним (-), 17:57, 26/10/2011 [^] [ответить]    [к модератору]  
  • +/
    Простите мой сарказм, но что за бред, что значит не создается, пакеты, что по UDP шлются?!
     
     
  • 4.52, Аноним (-), 18:04, 26/10/2011 [^] [ответить]     [к модератору]  
  • +/
    На первый раз прощаю Вы знаете что такое соединение Это IP-отправителя порт-от... весь текст скрыт [показать]
     
     
  • 5.56, Аноним (-), 18:14, 26/10/2011 [^] [ответить]    [к модератору]  
  • +/
    > Новое рукопожатие можно инициировать, НЕ УСТАНАВЛИВАЯ НОВОЕ ПОДКЛЮЧЕНИЕ.

    Ну посмотрим, как вы это сделаете, если я renegotiation на сервере отключу :P

     
     
  • 6.63, Аноним (-), 19:04, 26/10/2011 [^] [ответить]    [к модератору]  
  • +/
    в новости об этом тоже есть упоминание
     
     
  • 7.65, Аноним (-), 19:07, 26/10/2011 [^] [ответить]     [к модератору]  
  • +/
    Да я как бы довожу этот факт до сведения некоторых знатоков , потому что они-то... весь текст скрыт [показать]
     
  • 2.50, Аноним (-), 17:59, 26/10/2011 [^] [ответить]     [к модератору]  
  • +/
    А у вас случайно на уровне фаерволла не стоит лимит на количество MAIL FROM п... весь текст скрыт [показать]
     
     
  • 3.57, Аноним (-), 18:17, 26/10/2011 [^] [ответить]     [к модератору]  
  • +1 +/
    Если SMTP-сервер позволяет ограничить количество писем, передаваемых в рамках од... весь текст скрыт [показать]
     
     
  • 4.77, terr0rist (ok), 20:55, 26/10/2011 [^] [ответить]     [к модератору]  
  • +/
    Угумс, а ещё фаервол - это и ограничитель в рамках одного соединения количеств... весь текст скрыт [показать]
     
     
  • 5.94, Аноним (-), 00:34, 27/10/2011 [^] [ответить]     [к модератору]  
  • +/
    Если код на уровне сервера позволяет жестко привязать эти действия к соединениям... весь текст скрыт [показать]
     
  • 2.110, Жорж (?), 08:17, 27/10/2011 [^] [ответить]     [к модератору]  
  • +/
    Малаца Так и надо делать И тогда, все легитимные пользователи вашего сайта буд... весь текст скрыт [показать]
     
     ....нить скрыта, показать (18)

  • 1.43, Аноним (-), 17:41, 26/10/2011 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    если у кого-то сервера в продакшн кластере можно положить такой фигней,
    так им и надо, подобный эксплойт номер 1 в списке нефунциональной валидации безопасности.
     
  • 1.51, AHoH (?), 18:01, 26/10/2011 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Тор, анонимные прокси и честные пользователи - мне одному кажется что здесь сокрыта какая_то неувязочка ;)
     
     
  • 2.123, Аноним (-), 11:09, 27/10/2011 [^] [ответить]     [к модератору]  
  • +/
    Тебе одному В моей стране блокируются многие легитимные ресурсы инета, в том чи... весь текст скрыт [показать]
     
  • 1.61, pavlinux (ok), 18:25, 26/10/2011 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    # thc-ssl-dos 207.46.232.182 2222 --accept

    SSL: error:12345FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol
    #0: This does not look like SSL!

    # ssh -V
    OpenSSH_5.8p1, OpenSSL 1.0.0c 2 Dec 2010


     
     
  • 2.112, mtr (?), 09:44, 27/10/2011 [^] [ответить]    [к модератору]  
  • +/
    Никогда не понимал людей публично демонстрирующих собственное невежество.

    Да, ssh использует библиотеку openssl, но не использует протокол SSL/TLS.

     
     
  • 3.147, pavlinux (ok), 06:10, 28/10/2011 [^] [ответить]    [к модератору]  
  • +/
    Мне запрещено досить свой сервер?
     
     
  • 4.152, Аноним (-), 15:56, 28/10/2011 [^] [ответить]     [к модератору]  
  • +/
    Нет, просто SSL SSH, сплойт тебе честно сказал что порт куда ты сунулся - SSL... весь текст скрыт [показать]
     
  • 1.68, Aleksey (??), 19:17, 26/10/2011 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Назвать новость стоило видимо "Хакерская группа увеличила мощность ботнетов по заваливанию сайтов в 15 раз"
     
  • 1.69, pavlinux (ok), 19:21, 26/10/2011 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    http://www.links.org/files/no-renegotiation-2.patch
    http://svn.resiprocate.org/rep/ietf-drafts/ekr/tls-patch.diff


    Вроде NGINX этим не болеет.
    http://mailman.nginx.org/pipermail/nginx-ru/2009-November/029461.html

     
     
  • 2.133, Fantomas (??), 14:17, 27/10/2011 [^] [ответить]    [к модератору]  
  • +/
    > Вроде NGINX этим не болеет.

    Ага, вот почему у меня сервера на это не реагируют.
    Хотел писать, что этот эксплоит не работает, а оказывается это все из-за того, что у меня везде НжинХ.

     
  • 2.134, Fantomas (??), 14:20, 27/10/2011 [^] [ответить]    [к модератору]  
  • +/
    А почему тогда в заглавии написали, что он работу любого сервака блокирует?
     
  • 1.70, анон (?), 19:34, 26/10/2011 [ответить] [показать ветку] [···]    [к модератору]  
  • +4 +/
    Мне одному показалось, что кто-то хочет массово продавать "коммерческий SSL Accelerator"?
     
     
  • 2.71, pavlinux (ok), 19:38, 26/10/2011 [^] [ответить]     [к модератору]  
  • +/
    да --- Кстати, у меня дома валяется, купленный на Ебае за 35 BCM5820 - E-Comm... весь текст скрыт [показать]
     
  • 2.72, Аноним (-), 19:39, 26/10/2011 [^] [ответить]     [к модератору]  
  • +/
    Вы так говорите, как будто это что-то плохое У кого хватило глупости не отклю... весь текст скрыт [показать]
     
     
  • 3.75, Аноним (-), 19:59, 26/10/2011 [^] [ответить]     [к модератору]  
  • +/
    Блин достали уже такие специалисты как вы, обвиняющих других в глупости, ни пони... весь текст скрыт [показать]
     
     
  • 4.76, pavlinux (ok), 20:05, 26/10/2011 [^] [ответить]     [к модератору]  
  • +/
    Так не апачь надо патч, а OpenSSL --- Кстати, Waiting for script kiddies to pi... весь текст скрыт [показать]
     
     
  • 5.153, Аноним (-), 16:13, 28/10/2011 [^] [ответить]     [к модератору]  
  • +/
    Павлин, как ты мог Там специально для скрипткиддей воткнут делэй рисующий точки... весь текст скрыт [показать]
     
     
  • 6.158, pavlinux (ok), 17:35, 28/10/2011 [^] [ответить]    [к модератору]  
  • +/
    >> Waiting for script kiddies to piss off................
    >> The force is with those who read the source...
    > Павлин, как ты мог?

    Надо же проверить на чём народ катает.

     
  • 4.95, Аноним (-), 00:36, 27/10/2011 [^] [ответить]     [к модератору]  
  • +/
    Скажу по секрету отключается это не в апаче, а глобально по системе, через ликв... весь текст скрыт [показать]
     
     
  • 5.102, pavlinux (ok), 01:24, 27/10/2011 [^] [ответить]    [к модератору]  
  • +/
    Пруф - это RFC.
     
     
  • 6.105, Аноним (-), 01:38, 27/10/2011 [^] [ответить]    [к модератору]  
  • +/
    > Пруф - это RFC.

    Пруф должен подтверждать. RFC не подтверждает.

     
  • 5.119, Аноним (-), 10:32, 27/10/2011 [^] [ответить]     [к модератору]  
  • +1 +/
    Мда Советую вам изучить логику согласования параметров SSL-линка, загрузив исхо... весь текст скрыт [показать]
     
  • 5.148, pavlinux (ok), 06:11, 28/10/2011 [^] [ответить]     [к модератору]  
  • +/
    http www stunnel org pipermail stunnel-users 2010-November 002852 html FYI I s... весь текст скрыт [показать]
     
  • 5.154, Аноним (-), 16:17, 28/10/2011 [^] [ответить]    [к модератору]  
  • +/
    > через ликвидацию бэкдора в OpenSSL.

    SSL вообще сплошной бекдор: любой CA может выписать сертификат на что угодно, в том числе и в пику другому CA. Чего ликвидировать предлагается?!

     
     ....нить скрыта, показать (12)

  • 1.78, Александр (??), 21:03, 26/10/2011 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    попробовал на своих машинках, beam - 100% одного ядра процессора, при этом сервисы как работали, так и работают, apache/nginx - fail сразу (фэйл эксплоита имею ввиду), exim/dovecot фэйл сразу, тестировал то что по ссылке, сишный код, так что не парьтесь особо.
     
     
  • 2.84, Анонимный аноним через tor (?), 22:02, 26/10/2011 [^] [ответить]    [к модератору]  
  • +/
    спасибо. а можете проверить Lighttpd? спасибо
     
     
  • 3.87, Александр (??), 22:26, 26/10/2011 [^] [ответить]    [к модератору]  
  • +/
    lighttpd к сожалению не использую, так что не проверю, но думаю там тоже предусмотрена какаято проверка валидности запросов.
     
  • 3.92, Анонимный аноним через tor (?), 00:16, 27/10/2011 [^] [ответить]    [к модератору]  
  • +/
    нащёл вот ещё и такое обсуждение:

    http://redmine.lighttpd.net/boards/2/topics/4780

     
  • 2.85, Xaionaro (ok), 22:04, 26/10/2011 [^] [ответить]     [к модератору]  
  • +/
    Прошу простить мою безграмотность, я думал, проблема упирается в реализацию SSL,... весь текст скрыт [показать]
     
  • 2.88, авыа (?), 22:30, 26/10/2011 [^] [ответить]    [к модератору]  
  • +/
    а попробуйте законектиться по ssh )
     
     
  • 3.89, авыа (?), 22:32, 26/10/2011 [^] [ответить]    [к модератору]  
  • +1 +/
    во блин это про ssl )
     
  • 1.101, Анонимный аноним через tor (?), 01:09, 27/10/2011 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    надеюсь этот замечательный пример покажет что нЕфига делигировать на сервер кучу обязанностей по обработки соеденения :-)

    ...например если часть криптографических обязанностей переместить на клиентскую сторону, и при этом [предположим] клиент НЕ захочет КАЧЕСТВЕНО исполнять их -- то в результате кому от этого будет хуже(?)... самому клиенту! :-)

     
     
  • 2.103, pavlinux (ok), 01:26, 27/10/2011 [^] [ответить]     [к модератору]  
  • +/
    Клиент пойдёт и потратит своё бабло в другом месте, ибо монополий сейчас ой как ... весь текст скрыт [показать]
     
     
  • 3.143, Xasd (ok), 16:50, 27/10/2011 [^] [ответить]     [к модератору]  
  • +/
    клиент в данном случае это программы типа Firefox Chromium Vasya-Pupkin-SSL-Su... весь текст скрыт [показать]
     
  • 1.106, Humka (??), 01:58, 27/10/2011 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Этому багу сто лет в обед. Он уже исправлен в nginx, по этому админы спите спокойно, а скрипт киддис перестаньте страдать фигней и идите спать.
     
  • 1.107, Ромарио (?), 02:58, 27/10/2011 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Странно это все как-то как не пытался увалить свой Apache на CentOs етим експлоидом не вышло, и через баш создавал цикл с разными конектами - встретил файрвол и бинарик качал он ругнулся сразу на отсутствие negotiation... Типа пронесло или че? :D
     
  • 1.109, Аноним (-), 07:43, 27/10/2011 [ответить] [показать ветку] [···]    [к модератору]  
  • –3 +/
    А я знаю еще один способ Dos'a, надо зажать кнопку F5. Думаю этот медтод не менее эффективный :D
     
  • 1.111, Feerik (ok), 09:41, 27/10/2011 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Ну, как вариант, берем iptables и делаем так:

    iptables -A INPUT -p tcp -i $INTERNET --dport 443 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

    iptables -A INPUT -p tcp -i $INTERNET --dport 443 -m conntrack --ctstate NEW -m limit --limit 32/sec --limit-burst 32 -j ACCEPT

    Т.е. за одну секунду, через iptables пролезет не более 32 попыток установки новых соединений. Ну, если хотите, сделайте не более 150ти. Сомневаюсь, что у кого-то из сдесь присутствующих, за секунду подключается более 150 юзеров. Т.е. ноутбук, с тремя сотнями новых подключений идет лесом.

     
     
  • 2.114, mtr (?), 09:46, 27/10/2011 [^] [ответить]     [к модератору]  
  • +1 +/
    Еще один чукча-писатель вылез Обсуждение новости таки прочитайте и больше так н... весь текст скрыт [показать]
     
     
  • 3.115, Feerik (ok), 09:59, 27/10/2011 [^] [ответить]    [к модератору]  
  • +/
    Почитал, живых примеров не увидел.

    А теперь толстячок, скажи конкретно, что тебе в моем примере не понравилось и почему он может не сработать, или твои комментарии вообще ниачем.

     
     
  • 4.116, Аноним (-), 10:18, 27/10/2011 [^] [ответить]     [к модератору]  
  • +/
    Все просто Если ты ограничиваешь подключения с одного ip, то, к твоему сведению... весь текст скрыт [показать]
     
     
  • 5.120, Feerik (ok), 10:34, 27/10/2011 [^] [ответить]     [к модератору]  
  • –1 +/
    По крайней мере сервер не задосят, что уже хорошо и уже собственно решение пробл... весь текст скрыт [показать]
     
     
  • 6.132, Michael Shigorin (ok), 14:03, 27/10/2011 [^] [ответить]     [к модератору]  
  • +/
    Так уже надцать раз объяснили проблема не в LA на сервере, а в конечном результ... весь текст скрыт [показать]
     
  • 6.164, arisu (ok), 13:04, 30/10/2011 [^] [ответить]     [к модератору]  
  • +/
    есть мнение, что проще поставить сервер в сейф, предварительно выдернув сетевые ... весь текст скрыт [показать]
     
  • 4.121, Аноним (-), 10:37, 27/10/2011 [^] [ответить]     [к модератору]  
  • +/
    SSL-handshake выполняется внутри уже установленного _одного_ соединения, т е но... весь текст скрыт [показать]
     
     
  • 5.125, Feerik (ok), 11:36, 27/10/2011 [^] [ответить]     [к модератору]  
  • +/
    http httpd apache org docs 2 2 mod mod_ssl html SSLInsecureRenegotiation Dire... весь текст скрыт [показать]
     
     
  • 6.126, Аноним (-), 11:55, 27/10/2011 [^] [ответить]     [к модератору]  
  • +/
    Эта настройка не отключает Renegotiation полностью, а лишь позволяет отключить в... весь текст скрыт [показать]
     
     ....нить скрыта, показать (9)

  • 1.135, Kodirr (?), 14:24, 27/10/2011 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Поправьте меня, но разве нельзя ограничить "ресурсы" для каждого соединения простым выставлением приоритетов? Количеством соединений будет заведовать IPTables, а сам сервер ограничит аппетит потоков. Понятно, что это снизит отзывчивость системы, но это не смертельно - с нею всё ещё можно работать и заодно забанивать "эксплойт-аторов".
     
  • 1.141, Аноним (-), 16:42, 27/10/2011 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Все такие все специалисты, умные аж жуть Забанят, они всех нападающих по IP А ... весь текст скрыт [показать]
     
     
  • 2.155, Аноним (-), 16:27, 28/10/2011 [^] [ответить]     [к модератору]  
  • +/
    Точно, забанить нафиг все наты beeline, mts и megafon А то их бандвиза тоже хва... весь текст скрыт [показать]
     
  • 1.142, Konwin (ok), 16:42, 27/10/2011 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Я смотрю большинство отписавшихся не осилили прочитать новость. А новость вот в чём - в рамках ОДНОЙ TCP сессии можно завалить SSL сервер. И чем вам помогут лимиты, когда соединение будет ОДНО?
     
     
  • 2.144, Аноним (-), 16:52, 27/10/2011 [^] [ответить]     [к модератору]  
  • +/
    Так ты и сам не дочитал Даже при отключенном SSL-Renegotiation при множителе x... весь текст скрыт [показать]
     
  • 1.145, GMS (?), 19:46, 27/10/2011 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Ну, тут можно еще поковырять сами tcp пакеты на предмет большого количества SSL-Handshake (-m string). Я сам раньше думал, что парсинг содержимого пакетов убьёт канал, а намедни пришлось заюзать - падения производительности не заметил.
     
  • 1.149, coresh (ok), 12:14, 28/10/2011 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Лог результата работы эксплоита продолжительностью ~1-2 минуты с default Limit parallel connections=400 на lighttpd/1.4.29 (ssl):
    Резюме: Сайт в течении теста работал, тормоза: незначительные
            Главное: Проц. грузился под 100%
            Далее тест не проводился


    Waiting for script kiddies to piss off................
    The force is with those who read the source...
    Handshakes 0 [0.00 h/s], 1 Conn, 0 Err
    Handshakes 61 [65.72 h/s], 400 Conn, 0 Err
    Handshakes 242 [181.28 h/s], 400 Conn, 0 Err

    ...

    Handshakes 40695 [252.11 h/s], 400 Conn, 0 Err
    Handshakes 40963 [268.03 h/s], 400 Conn, 0 Err
    Handshakes 41245 [282.17 h/s], 400 Conn, 0 Err


     
     
  • 2.156, Аноним (-), 16:40, 28/10/2011 [^] [ответить]    [к модератору]  
  • +2 +/
    > Waiting for script kiddies to piss off................

    THC написал годный детектор скрипткиддисов :)))

     
  • 1.159, Аноним (159), 12:53, 29/10/2011 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Ерунда Любой почти скрипт на сервере точно так же можно задоссить т к ресу... весь текст скрыт [показать]
     
     
  • 2.160, XoRe (ok), 22:55, 29/10/2011 [^] [ответить]    [к модератору]  
  • +/
    > Метод борьбы точно такой же - банить IP адреса.

    А ещё, на выбор:
    - переписать проблемную часть.
    - включить кеширование.
    - добавить мощностей.

    Банить, имхо, в последнюю очередь.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor