The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

26.10.2011 15:09  Представлен эксплойт, способный блокировать работу любого SSL-сервера

Известная немецкая хакерская группа THC представила эксплойт, реализующий DoS-атаку против любого SSL-сервера с задействованием всего одной или нескольких атакующих машин. Уязвимость присутствует во всех известных реализациях SSL и не может быть устранена без переработки принципа работы сервера.

Идея, заложенная в эксплойт, очень проста и основана на том факте, что для установки SSL-соединения серверная сторона тратит в 15 раз больше ресурсов, чем клиентская. Фактически, все что делает эксплойт, это создает бесконечный поток подключений к серверу, что в конечном итоге приводит к исчерпанию ресурсов последнего. THC уверяет, что для введения среднестатистического сервера в состояние отказа в обслуживании понадобится всего 300 SSL-подключений в секунду, которые с легкостью обеспечит стандартный ноутбук, подключенный к сети с помощью DSL-канала. Большая ферма серверов, оснащенная балансировщиком нагрузки сможет выдержать натиск не более чем 20 таких ноутбуков, пропускной канал каждого из которых составляет всего 120 Кбит/с.

Надежной защиты от данного способа атаки пока не существует и вряд ли появится в ближайшем будущем. Максимум, что могут сделать системные администраторы, это отключить механизм SSL-Renegotiation или установить коммерческий SSL Accelerator, благодаря которым удастся повысить производительность SSL-сервера и защититься хотя бы от атак, производимых с одной машины. Разработчики эксплойта утверждают, что производители были поставлены в известность о наличии проблемы ещё в 2003 году, но с тех пор ни один из вендоров не предпринял попыток исправления сложившейся ситуации.

Получить код эксплойта можно с домашней страницы THC, на которой опубликована урезанная версия, которая не будет работать в отношении серверов с отключенным SSL-Renegotiation. При отключении SSL-Renegotiation для совершения атаки потребуется создавать новое TCP-соединение на каждый ресурсоёмкий SSL-handshake. Упрощённую функциональность эксплойта, работающего в ситуации отключения SSL-Renegotiation, можно повторить с помощью стандартного openssl-клиента (главное отличие эксплойта THC в том, что он инициирует серию SSL-handshake в рамках одного TCP-соединения, к чему серверы не подготовлены):


   thc-ssl-dosit() {
       while :; do 
          (while :; do echo R; done) |\
          openssl s_client -connect 127.0.0.1:443 2>/dev/null;
       done
    }


  1. Главная ссылка к новости (http://thehackerschoice.wordpr...)
  2. OpenNews: В протоколах SSL/TLS найдена критическая уязвимость
  3. OpenNews: Легко эксплуатируемая DoS-уязвимость в HTTP-сервере Apache
  4. OpenNews: Обнаружен обманный SSL-сертификат для сервисов Google (дополнение: осуществлен взлом CA)
  5. OpenNews: Представлен первый успешный способ атаки на SSL/TLS
  6. OpenNews: Tor и Firefox не подвержены атаке против SSL/TLS
Автор новости: Evgeny Zobnin
Тип: Проблемы безопасности
Ключевые слова: security, exploit, ssl, dos
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Александр, 15:36, 26/10/2011 [ответить] [смотреть все]
  • +1 +/
    Нда... печально.
     
     
  • 2.6, anonymous, 15:52, 26/10/2011 [^] [ответить] [смотреть все] [показать ветку]
  • +/
    А где этот ссл отдельно применяется К примеру в любом https и ftps можно левой... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.8, anonymous, 15:54, 26/10/2011 [^] [ответить] [смотреть все]  
  • +1 +/
    ногой сделать лимит на конекты вообще и с одного ип а еще можно иптаблес... весь текст скрыт [показать]
     
     
  • 4.14, Аноним, 16:07, 26/10/2011 [^] [ответить] [смотреть все]  
  • +1 +/
    Ну так это на раз обходится пускаем атаку через torify или socksify и разворачи... весь текст скрыт [показать]
     
     
  • 5.16, Аноним, 16:10, 26/10/2011 [^] [ответить] [смотреть все]  
  • +1 +/
    Айпишники выходных узлов тора не забанены только у ленивого админа Я, например,... весь текст скрыт [показать]
     
     
  • 6.30, Аноним, 16:59, 26/10/2011 [^] [ответить] [смотреть все]  
  • +1 +/
    Ага, пц как трудно Вот только что для прикола нашел гуглингом 5 действующик сок... весь текст скрыт [показать]
     
     
  • 7.67, Аноним, 19:13, 26/10/2011 [^] [ответить] [смотреть все]  
  • +1 +/
    Думаю, админу, чтобы забанить их, понадобится куда меньше времени и усилий, чем ... весь текст скрыт [показать]
     
     
  • 8.100, 8, 00:54, 27/10/2011 [^] [ответить] [смотреть все]  
  • +/
    интересно, а бахнуть этим эксплоитом по, примерно, половине таких SSL OpenProxy ... весь текст скрыт [показать]
     
     
  • 9.104, Аноним, 01:36, 27/10/2011 [^] [ответить] [смотреть все]  
  • +/
    Гораздо веселее устроить битву каждый против всех - интересное зрелище ликви... весь текст скрыт [показать]
     
  • 9.124, Аноним, 11:30, 27/10/2011 [^] [ответить] [смотреть все]  
  • +1 +/
    Капитан информирует прокси пригодные для SSL HTTP 1 1 CONNECT, SOCKS 4 5 вооб... весь текст скрыт [показать]
     
  • 8.138, Аноним, 15:52, 27/10/2011 [^] [ответить] [смотреть все]  
  • +/
    На моей памяти, самый упертый админ пытавшийся решать вопросы маханием банхаммер... весь текст скрыт [показать]
     
  • 6.83, Аноним, 21:57, 26/10/2011 [^] [ответить] [смотреть все]  
  • +3 +/
    А в чем смысл страдать такой фигней Tor, в основном, используют вполне нормальн... весь текст скрыт [показать]
     
     
  • 7.98, Аноним, 00:43, 27/10/2011 [^] [ответить] [смотреть все]  
  • +/
    путем забана всего тора При этом приходится жертвовать интересами параноико... весь текст скрыт [показать]
     
     
  • 8.127, Аноним, 13:06, 27/10/2011 [^] [ответить] [смотреть все]  
  • +/
    Ничем не оправданный онанизм для тех кто атакует есть тысячи и тысячи открытых ... весь текст скрыт [показать]
     
  • 8.162, arisu, 12:49, 30/10/2011 [^] [ответить] [смотреть все]  
  • –1 +/
    а если закрыть вообще все порты -- то никто и никогда не нагадит подумай над эт... весь текст скрыт [показать]
     
     
  • 9.165, Andrey Mitrofanov, 11:09, 31/10/2011 [^] [ответить] [смотреть все]  
  • +/
    Сплёвываем и стучим по дереву, чтоб не обнаружилась уязвимость в закрывальщике п... весь текст скрыт [показать]
     
     
  • 10.166, arisu, 11:20, 31/10/2011 [^] [ответить] [смотреть все]  
  • +/
    т-с-с-с это же был второй секретный совет за деньги весь гешефт мне попортил ... весь текст скрыт [показать]
     
  • 6.86, Zenitur, 22:21, 26/10/2011 [^] [ответить] [смотреть все]  
  • +/
    Полазить немного с TOR а, подождать пока поглючит, IP несколько раз сменится И ... весь текст скрыт [показать]
     
  • 4.44, Аноним, 17:47, 26/10/2011 [^] [ответить] [смотреть все]  
  • +1 +/
    для ссш эффективной защитой является разве что порткнокинг, но если для админист... весь текст скрыт [показать]
     
     
  • 5.49, Одмин, 17:59, 26/10/2011 [^] [ответить] [смотреть все]  
  • +1 +/
    так если об этом будут знать клиенты то и злоумышленники тоже будут знать и knoc... весь текст скрыт [показать]
     
  • 4.53, alikd, 18:04, 26/10/2011 [^] [ответить] [смотреть все]  
  • +2 +/
    TCP-соединение требуется только одно, в рамках которого будет инициировано неско... весь текст скрыт [показать]
     
     
  • 5.66, Аноним, 19:09, 26/10/2011 [^] [ответить] [смотреть все]  
  • +/
    А вы-то ее внимательно читали, особенно последний абзац ... весь текст скрыт [показать]
     
     
  • 6.73, Аноним, 19:49, 26/10/2011 [^] [ответить] [смотреть все]  
  • +/
    Последний абзац относится только к случаю, когда на сервере отключили SSL-Renego... весь текст скрыт [показать]
     
     
  • 7.97, Аноним, 00:40, 27/10/2011 [^] [ответить] [смотреть все]  
  • –1 +/
    В вашей конторе - может быть В нашей - выключен на 100 систем Работа такая ... весь текст скрыт [показать]
     
     
  • 8.117, Аноним, 10:18, 27/10/2011 [^] [ответить] [смотреть все]  
  • +/
    Что это за контора в которой используют на серверах самосборные запатченные верс... весь текст скрыт [показать]
     
     
  • 9.139, Аноним, 16:25, 27/10/2011 [^] [ответить] [смотреть все]  
  • +/
    Выдуманная, очевидно же.
     
  • 4.128, Michael Shigorin, 13:12, 27/10/2011 [^] [ответить] [смотреть все]  
  • +/
    Если в рамках одного соединения, то попадаем на анализ пакетов Меньше одного к... весь текст скрыт [показать]
     
  • 1.5, Аноним, 15:46, 26/10/2011 [ответить] [смотреть все]  
  • +/
    А SSL-Renegotiation ещё не выкинули из-за какой-то там уязвимости?
     
  • 1.9, Андрей, 15:58, 26/10/2011 [ответить] [смотреть все]  
  • +1 +/
    Практически все нормальные сервера регулируют количество подключений. И уж тем более количество подключений с одного адреса. Не прокатит.
     
     
  • 2.19, Аноним, 16:16, 26/10/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Один адрес несложно превратить в легион, через тор или проксики, показав шиш в п... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.32, rain87, 17:00, 26/10/2011 [^] [ответить] [смотреть все]  
  • +/
    выше уже отписали по поводу торов и проксей для практической реализации атаки, ... весь текст скрыт [показать]
     
     
  • 4.41, Аноним, 17:24, 26/10/2011 [^] [ответить] [смотреть все]  
  • +2 +/
    Да нахрен там ботнет, для столь низкоинтенсивной атаки хватит бесплатных проксик... весь текст скрыт [показать]
     
     
  • 5.60, Аноним, 18:21, 26/10/2011 [^] [ответить] [смотреть все]  
  • +2 +/
    Ну наберите хотя бы тыщи три, и запостите сюда А пока это пустая трепотня ... весь текст скрыт [показать]
     
     
  • 6.150, Аноним, 15:28, 28/10/2011 [^] [ответить] [смотреть все]  
  • +/
    Не, давайте вы лучше пианино для меня полдня потаскаете Если мне понравится как... весь текст скрыт [показать]
     
  • 1.10, mikevmk, 16:01, 26/10/2011 [ответить] [смотреть все]  
  • +/
    Нюню. Пойдите, свалите https://gmail.com. Ну хоть все вместе.

    Это не эксплоит, а школьный гоп-стоп, и защититься от него лимитом коннектов, делэями и прочими элементарными вещами не просто, а очень просто.

     
     
  • 2.26, Аноним, 16:42, 26/10/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Может, они знали?
     
     
  • 3.33, Аноним, 17:01, 26/10/2011 [^] [ответить] [смотреть все]  
  • +1 +/
    Вообще-то THC одна из известнейших и авторитетнейших хакерских групп, в лучшем с... весь текст скрыт [показать]
     
  • 2.163, arisu, 12:52, 30/10/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    нубло уверено, видимо, что гмыло всё на одном сервере крутится ... весь текст скрыт [показать] [показать ветку]
     
  • 1.12, Аноним, 16:03, 26/10/2011 [ответить] [смотреть все]  
  • +/
    iptables hashlimit ctstate NEW и connlimit легко зарежут такое счастье ... весь текст скрыт [показать]
     
     
  • 2.24, Аноним, 16:32, 26/10/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    ну как бы всех вполне устроит если вы сами пошлете ваших юзеров после того как а... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.59, Аноним, 18:20, 26/10/2011 [^] [ответить] [смотреть все]  
  • +/
    Мы, походу, лузеры - получаем айпишники после согласования кучи бумажек и выплат... весь текст скрыт [показать]
     
     
  • 4.79, Xaionaro, 21:08, 26/10/2011 [^] [ответить] [смотреть все]  
  • +/
    Ну, с IPv6 дела попроще обстоят И я, как и некоторые мои знакомые уже используе... весь текст скрыт [показать]
     
  • 4.151, Аноним, 15:30, 28/10/2011 [^] [ответить] [смотреть все]  
  • +/
    Ну вы то их получаете в постоянное пользование, а в случае проксиков и торов они... весь текст скрыт [показать]
     
  • 1.13, AZ_from_Belarus, 16:06, 26/10/2011 [ответить] [смотреть все]  
  • +2 +/
    Понравилось 127.0.0.1 и появление в первых же комментариях желающих это запустить. Впрямь как в анекдоте.
     
  • 1.18, koloboid, 16:14, 26/10/2011 [ответить] [смотреть все]  
  • +/
    а что насчет TLS?
     
  • 1.20, Аноним, 16:17, 26/10/2011 [ответить] [смотреть все]  
  • –1 +/
    бред. iptables и прочие отменили ?

     
     
  • 2.21, koloboid, 16:26, 26/10/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    не отменили, но и NAT тоже.
     
  • 2.27, Аноним, 16:47, 26/10/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ну будет таблес резать при атаке как атакующего, так и честных пользователей По... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.54, Аноним, 18:11, 26/10/2011 [^] [ответить] [смотреть все]  
  • +/
    Тор банится легко и изящно, анонимные прокси - по мере их выявления действитель... весь текст скрыт [показать]
     
     
  • 4.122, Аноним, 11:06, 27/10/2011 [^] [ответить] [смотреть все]  
  • +/
    Покажи, как побанить все входные ноды Тор легко и изящно И, кстати, про анонимн... весь текст скрыт [показать]
     
  • 1.22, СуперАноним, 16:29, 26/10/2011 [ответить] [смотреть все]  
  • +1 +/
    Таким ломовым способом можно любой протокол прикладного уровня завалить. На какой-то потребуется больше ресурсов атакующего, на какой-то меньше.
     
     
  • 2.42, Аноним, 17:35, 26/10/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Все так Просто этот дурной протокол дает атакующему фору в 15 раз по ресурсам ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.129, Michael Shigorin, 13:38, 27/10/2011 [^] [ответить] [смотреть все]  
  • +/
    http c2 com cgi wiki DontRepeatYourself ... весь текст скрыт [показать]
     
  • 1.25, Жорж, 16:39, 26/10/2011 [ответить] [смотреть все]  
  • –3 +/
    Хм, я такой експлоет уже много лет пользую против конкурентов Просто потому ч... весь текст скрыт [показать]
     
     
  • 2.36, фклфт, 17:14, 26/10/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    я даже могу сказать где вы его купили ... весь текст скрыт [показать] [показать ветку]
     
  • 2.80, Xaionaro, 21:11, 26/10/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Нехороший Вы человек Играть нужно по-честному ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.108, фклфт, 07:21, 27/10/2011 [^] [ответить] [смотреть все]  
  • –2 +/
    В бизнесе понятия честность вообще не существует P S я раньше тоже хотел все по... весь текст скрыт [показать]
     
     
  • 4.130, Michael Shigorin, 13:43, 27/10/2011 [^] [ответить] [смотреть все]  
  • +3 +/
    Нормальному человеку на деструктив вообще время жалко тратить Существует, хот... весь текст скрыт [показать]
     
  • 4.157, Аноним, 16:54, 28/10/2011 [^] [ответить] [смотреть все]  
  • +1 +/
    Да, а если продолжить эту логику, тогда для конкурента пристрелить вас - наиболе... весь текст скрыт [показать]
     
  • 1.28, Аноним, 16:52, 26/10/2011 [ответить] [смотреть все]  
  • +2 +/
    >127.0.0.1

    для самых умных хакеров)

     
  • 1.31, maxkit, 17:00, 26/10/2011 [ответить] [смотреть все]  
  • –1 +/
    Оказывается, то, что мне и многим моим коллегам было известно уже много лет - только "открыли"... Чудеса.
     
     
  • 2.37, demimurych, 17:16, 26/10/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    про SSL?
     
  • 2.40, Аноним, 17:23, 26/10/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Вы и ваши коллеги явно не в курсе, что для handshake не нужно создавать новое со... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.55, Аноним, 18:13, 26/10/2011 [^] [ответить] [смотреть все]  
  • +1 +/
    И что, неужели не существует никаких способов отменить это D... весь текст скрыт [показать]
     
  • 2.47, Аноним, 17:57, 26/10/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    ОЙ, пафос то какой... я прям испугался
     
  • 1.34, arcade, 17:02, 26/10/2011 [ответить] [смотреть все]  
  • –1 +/
    Бред, у меня везде стоит ограничение на количество одновременных подключений на уровне файрволла. Превышающие тихо скатываются в список для блокировки.
     
     
  • 2.39, Аноним, 17:22, 26/10/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    И как вам это поможет, если для handshake не создаётся новых соединений ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.45, anonymous, 17:53, 26/10/2011 [^] [ответить] [смотреть все]  
  • +/
    А вот Renegotiation отключить - и уже нужно новое соединение для handshake.
     
  • 3.46, Аноним, 17:54, 26/10/2011 [^] [ответить] [смотреть все]  
  • +/
    Да просто кучка ламеров заучила пару команд, а ихучать протоколы вломы или умишк... весь текст скрыт [показать]
     
     
  • 4.58, Аноним, 18:18, 26/10/2011 [^] [ответить] [смотреть все]  
  • +/
    А еще они не подозревают, что такое renegotiation и что его можно отключить D... весь текст скрыт [показать]
     
     
  • 5.74, Аноним, 19:53, 26/10/2011 [^] [ответить] [смотреть все]  
  • +/
    Команды по отключению renegotiation в Apache и nginx в студию Только, pls, без ... весь текст скрыт [показать]
     
     
  • 6.93, Аноним, 00:32, 27/10/2011 [^] [ответить] [смотреть все]  
  • +/
    Хочу поесть, но не ртом Кто уже успел получить лучики счаться, или просто держ... весь текст скрыт [показать]
     
     
  • 7.118, Аноним, 10:22, 27/10/2011 [^] [ответить] [смотреть все]  
  • +/
    Ага и при этом жертвуют совместимостью с клиентами и рискуют пропустить обновлен... весь текст скрыт [показать]
     
  • 6.131, Michael Shigorin, 13:50, 27/10/2011 [^] [ответить] [смотреть все]  
  • +/
    Возможно, местами пригодится этот тред http old nabble com TLS-renegotiation-... весь текст скрыт [показать]
     
  • 3.48, Аноним, 17:57, 26/10/2011 [^] [ответить] [смотреть все]  
  • +/
    Простите мой сарказм, но что за бред, что значит не создается, пакеты, что по UD... весь текст скрыт [показать]
     
     
  • 4.52, Аноним, 18:04, 26/10/2011 [^] [ответить] [смотреть все]  
  • +/
    На первый раз прощаю Вы знаете что такое соединение Это IP-отправителя порт-от... весь текст скрыт [показать]
     
     
  • 5.56, Аноним, 18:14, 26/10/2011 [^] [ответить] [смотреть все]  
  • +/
    Ну посмотрим, как вы это сделаете, если я renegotiation на сервере отключу P ... весь текст скрыт [показать]
     
     
  • 6.63, Аноним, 19:04, 26/10/2011 [^] [ответить] [смотреть все]  
  • +/
    в новости об этом тоже есть упоминание
     
     
  • 7.65, Аноним, 19:07, 26/10/2011 [^] [ответить] [смотреть все]  
  • +/
    Да я как бы довожу этот факт до сведения некоторых знатоков , потому что они-то... весь текст скрыт [показать]
     
  • 2.50, Аноним, 17:59, 26/10/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    А у вас случайно на уровне фаерволла не стоит лимит на количество MAIL FROM п... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.57, Аноним, 18:17, 26/10/2011 [^] [ответить] [смотреть все]  
  • +1 +/
    Если SMTP-сервер позволяет ограничить количество писем, передаваемых в рамках од... весь текст скрыт [показать]
     
     
  • 4.77, terr0rist, 20:55, 26/10/2011 [^] [ответить] [смотреть все]  
  • +/
    Угумс, а ещё фаервол - это и ограничитель в рамках одного соединения количеств... весь текст скрыт [показать]
     
     
  • 5.94, Аноним, 00:34, 27/10/2011 [^] [ответить] [смотреть все]  
  • +/
    Если код на уровне сервера позволяет жестко привязать эти действия к соединениям... весь текст скрыт [показать]
     
  • 2.110, Жорж, 08:17, 27/10/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Малаца Так и надо делать И тогда, все легитимные пользователи вашего сайта буд... весь текст скрыт [показать] [показать ветку]
     
  • 1.43, Аноним, 17:41, 26/10/2011 [ответить] [смотреть все]  
  • +/
    если у кого-то сервера в продакшн кластере можно положить такой фигней, так им ... весь текст скрыт [показать]
     
  • 1.51, AHoH, 18:01, 26/10/2011 [ответить] [смотреть все]  
  • –1 +/
    Тор, анонимные прокси и честные пользователи - мне одному кажется что здесь сокрыта какая_то неувязочка ;)
     
     
  • 2.123, Аноним, 11:09, 27/10/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Тебе одному В моей стране блокируются многие легитимные ресурсы инета, в том чи... весь текст скрыт [показать] [показать ветку]
     
  • 1.61, pavlinux, 18:25, 26/10/2011 [ответить] [смотреть все]  
  • –1 +/
    # thc-ssl-dos 207.46.232.182 2222 --accept

    SSL: error:12345FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol
    #0: This does not look like SSL!

    # ssh -V
    OpenSSH_5.8p1, OpenSSL 1.0.0c 2 Dec 2010


     
     
  • 2.112, mtr, 09:44, 27/10/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Никогда не понимал людей публично демонстрирующих собственное невежество Да, ss... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.147, pavlinux, 06:10, 28/10/2011 [^] [ответить] [смотреть все]  
  • +/
    Мне запрещено досить свой сервер?
     
     
  • 4.152, Аноним, 15:56, 28/10/2011 [^] [ответить] [смотреть все]  
  • +/
    Нет, просто SSL SSH, сплойт тебе честно сказал что порт куда ты сунулся - SSL... весь текст скрыт [показать]
     
  • 1.68, Aleksey, 19:17, 26/10/2011 [ответить] [смотреть все]  
  • +2 +/
    Назвать новость стоило видимо "Хакерская группа увеличила мощность ботнетов по заваливанию сайтов в 15 раз"
     
  • 1.69, pavlinux, 19:21, 26/10/2011 [ответить] [смотреть все]  
  • –2 +/
    http://www.links.org/files/no-renegotiation-2.patch
    http://svn.resiprocate.org/rep/ietf-drafts/ekr/tls-patch.diff


    Вроде NGINX этим не болеет.
    http://mailman.nginx.org/pipermail/nginx-ru/2009-November/029461.html

     
     
  • 2.133, Fantomas, 14:17, 27/10/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ага, вот почему у меня сервера на это не реагируют Хотел писать, что этот экспл... весь текст скрыт [показать] [показать ветку]
     
  • 2.134, Fantomas, 14:20, 27/10/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    А почему тогда в заглавии написали, что он работу любого сервака блокирует?
     
  • 1.70, анон, 19:34, 26/10/2011 [ответить] [смотреть все]  
  • +4 +/
    Мне одному показалось, что кто-то хочет массово продавать "коммерческий SSL Accelerator"?
     
     
  • 2.71, pavlinux, 19:38, 26/10/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    да --- Кстати, у меня дома валяется, купленный на Ебае за 35 BCM5820 - E-Comm... весь текст скрыт [показать] [показать ветку]
     
  • 2.72, Аноним, 19:39, 26/10/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Вы так говорите, как будто это что-то плохое У кого хватило глупости не отклю... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.75, Аноним, 19:59, 26/10/2011 [^] [ответить] [смотреть все]  
  • +/
    Блин достали уже такие специалисты как вы, обвиняющих других в глупости, ни пони... весь текст скрыт [показать]
     
     
  • 4.76, pavlinux, 20:05, 26/10/2011 [^] [ответить] [смотреть все]  
  • +/
    Так не апачь надо патч, а OpenSSL --- Кстати, Waiting for script kiddies to pi... весь текст скрыт [показать]
     
     
  • 5.153, Аноним, 16:13, 28/10/2011 [^] [ответить] [смотреть все]  
  • +/
    Павлин, как ты мог Там специально для скрипткиддей воткнут делэй рисующий точки... весь текст скрыт [показать]
     
     
  • 6.158, pavlinux, 17:35, 28/10/2011 [^] [ответить] [смотреть все]  
  • +/
    Надо же проверить на чём народ катает ... весь текст скрыт [показать]
     
  • 4.95, Аноним, 00:36, 27/10/2011 [^] [ответить] [смотреть все]  
  • +/
    Скажу по секрету отключается это не в апаче, а глобально по системе, через ликв... весь текст скрыт [показать]
     
     
  • 5.102, pavlinux, 01:24, 27/10/2011 [^] [ответить] [смотреть все]  
  • +/
    Пруф - это RFC.
     
     
  • 6.105, Аноним, 01:38, 27/10/2011 [^] [ответить] [смотреть все]  
  • +/
    > Пруф - это RFC.

    Пруф должен подтверждать. RFC не подтверждает.

     
  • 5.119, Аноним, 10:32, 27/10/2011 [^] [ответить] [смотреть все]  
  • +1 +/
    Мда Советую вам изучить логику согласования параметров SSL-линка, загрузив исхо... весь текст скрыт [показать]
     
  • 5.148, pavlinux, 06:11, 28/10/2011 [^] [ответить] [смотреть все]  
  • +/
    http www stunnel org pipermail stunnel-users 2010-November 002852 html FYI I s... весь текст скрыт [показать]
     
  • 5.154, Аноним, 16:17, 28/10/2011 [^] [ответить] [смотреть все]  
  • +/
    SSL вообще сплошной бекдор любой CA может выписать сертификат на что угодно, в ... весь текст скрыт [показать]
     
  • 1.78, Александр, 21:03, 26/10/2011 [ответить] [смотреть все]  
  • +2 +/
    попробовал на своих машинках, beam - 100% одного ядра процессора, при этом сервисы как работали, так и работают, apache/nginx - fail сразу (фэйл эксплоита имею ввиду), exim/dovecot фэйл сразу, тестировал то что по ссылке, сишный код, так что не парьтесь особо.
     
     
  • 2.84, Анонимный аноним через tor, 22:02, 26/10/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    спасибо. а можете проверить Lighttpd? спасибо
     
     
  • 3.87, Александр, 22:26, 26/10/2011 [^] [ответить] [смотреть все]  
  • +/
    lighttpd к сожалению не использую, так что не проверю, но думаю там тоже предусм... весь текст скрыт [показать]
     
  • 3.92, Анонимный аноним через tor, 00:16, 27/10/2011 [^] [ответить] [смотреть все]  
  • +/
    нащёл вот ещё и такое обсуждение http redmine lighttpd net boards 2 topics 47... весь текст скрыт [показать]
     
  • 2.85, Xaionaro, 22:04, 26/10/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Прошу простить мою безграмотность, я думал, проблема упирается в реализацию SSL,... весь текст скрыт [показать] [показать ветку]
     
  • 2.88, авыа, 22:30, 26/10/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    а попробуйте законектиться по ssh )
     
     
  • 3.89, авыа, 22:32, 26/10/2011 [^] [ответить] [смотреть все]  
  • +1 +/
    во блин это про ssl )
     
  • 1.101, Анонимный аноним через tor, 01:09, 27/10/2011 [ответить] [смотреть все]  
  • +/
    надеюсь этот замечательный пример покажет что нЕфига делигировать на сервер кучу обязанностей по обработки соеденения :-)

    ...например если часть криптографических обязанностей переместить на клиентскую сторону, и при этом [предположим] клиент НЕ захочет КАЧЕСТВЕНО исполнять их -- то в результате кому от этого будет хуже(?)... самому клиенту! :-)

     
     
  • 2.103, pavlinux, 01:26, 27/10/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Клиент пойдёт и потратит своё бабло в другом месте, ибо монополий сейчас ой как ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.143, Xasd, 16:50, 27/10/2011 [^] [ответить] [смотреть все]  
  • +/
    клиент в данном случае это программы типа Firefox Chromium Vasya-Pupkin-SSL-Su... весь текст скрыт [показать]
     
  • 1.106, Humka, 01:58, 27/10/2011 [ответить] [смотреть все]  
  • +/
    Этому багу сто лет в обед. Он уже исправлен в nginx, по этому админы спите спокойно, а скрипт киддис перестаньте страдать фигней и идите спать.
     
  • 1.107, Ромарио, 02:58, 27/10/2011 [ответить] [смотреть все]  
  • +/
    Странно это все как-то как не пытался увалить свой Apache на CentOs етим експлоидом не вышло, и через баш создавал цикл с разными конектами - встретил файрвол и бинарик качал он ругнулся сразу на отсутствие negotiation... Типа пронесло или че? :D
     
  • 1.109, Аноним, 07:43, 27/10/2011 [ответить] [смотреть все]  
  • –3 +/
    А я знаю еще один способ Dos a, надо зажать кнопку F5 Думаю этот медтод не мене... весь текст скрыт [показать]
     
  • 1.111, Feerik, 09:41, 27/10/2011 [ответить] [смотреть все]  
  • +/
    Ну, как вариант, берем iptables и делаем так:

    iptables -A INPUT -p tcp -i $INTERNET --dport 443 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

    iptables -A INPUT -p tcp -i $INTERNET --dport 443 -m conntrack --ctstate NEW -m limit --limit 32/sec --limit-burst 32 -j ACCEPT

    Т.е. за одну секунду, через iptables пролезет не более 32 попыток установки новых соединений. Ну, если хотите, сделайте не более 150ти. Сомневаюсь, что у кого-то из сдесь присутствующих, за секунду подключается более 150 юзеров. Т.е. ноутбук, с тремя сотнями новых подключений идет лесом.

     
     
  • 2.114, mtr, 09:46, 27/10/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Еще один чукча-писатель вылез Обсуждение новости таки прочитайте и больше так н... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.115, Feerik, 09:59, 27/10/2011 [^] [ответить] [смотреть все]  
  • +/
    Почитал, живых примеров не увидел А теперь толстячок, скажи конкретно, что тебе... весь текст скрыт [показать]
     
     
  • 4.116, Аноним, 10:18, 27/10/2011 [^] [ответить] [смотреть все]  
  • +/
    Все просто Если ты ограничиваешь подключения с одного ip, то, к твоему сведению... весь текст скрыт [показать]
     
     
  • 5.120, Feerik, 10:34, 27/10/2011 [^] [ответить] [смотреть все]  
  • –1 +/
    По крайней мере сервер не задосят, что уже хорошо и уже собственно решение пробл... весь текст скрыт [показать]
     
     
  • 6.132, Michael Shigorin, 14:03, 27/10/2011 [^] [ответить] [смотреть все]  
  • +/
    Так уже надцать раз объяснили проблема не в LA на сервере, а в конечном результ... весь текст скрыт [показать]
     
  • 6.164, arisu, 13:04, 30/10/2011 [^] [ответить] [смотреть все]  
  • +/
    есть мнение, что проще поставить сервер в сейф, предварительно выдернув сетевые ... весь текст скрыт [показать]
     
  • 4.121, Аноним, 10:37, 27/10/2011 [^] [ответить] [смотреть все]  
  • +/
    SSL-handshake выполняется внутри уже установленного _одного_ соединения, т е но... весь текст скрыт [показать]
     
     
  • 5.125, Feerik, 11:36, 27/10/2011 [^] [ответить] [смотреть все]  
  • +/
    http httpd apache org docs 2 2 mod mod_ssl html SSLInsecureRenegotiation Dire... весь текст скрыт [показать]
     
     
  • 6.126, Аноним, 11:55, 27/10/2011 [^] [ответить] [смотреть все]  
  • +/
    Эта настройка не отключает Renegotiation полностью, а лишь позволяет отключить в... весь текст скрыт [показать]
     
     ....нить скрыта, показать (9)

  • 1.135, Kodirr, 14:24, 27/10/2011 [ответить] [смотреть все]  
  • +/
    Поправьте меня, но разве нельзя ограничить "ресурсы" для каждого соединения простым выставлением приоритетов? Количеством соединений будет заведовать IPTables, а сам сервер ограничит аппетит потоков. Понятно, что это снизит отзывчивость системы, но это не смертельно - с нею всё ещё можно работать и заодно забанивать "эксплойт-аторов".
     
  • 1.141, Аноним, 16:42, 27/10/2011 [ответить] [смотреть все]  
  • +/
    Все такие все специалисты, умные аж жуть Забанят, они всех нападающих по IP А ... весь текст скрыт [показать]
     
     
  • 2.155, Аноним, 16:27, 28/10/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Точно, забанить нафиг все наты beeline, mts и megafon А то их бандвиза тоже хва... весь текст скрыт [показать] [показать ветку]
     
  • 1.142, Konwin, 16:42, 27/10/2011 [ответить] [смотреть все]  
  • +/
    Я смотрю большинство отписавшихся не осилили прочитать новость. А новость вот в чём - в рамках ОДНОЙ TCP сессии можно завалить SSL сервер. И чем вам помогут лимиты, когда соединение будет ОДНО?
     
     
  • 2.144, Аноним, 16:52, 27/10/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Так ты и сам не дочитал Даже при отключенном SSL-Renegotiation при множителе x... весь текст скрыт [показать] [показать ветку]
     
  • 1.145, GMS, 19:46, 27/10/2011 [ответить] [смотреть все]  
  • +/
    Ну, тут можно еще поковырять сами tcp пакеты на предмет большого количества SSL-Handshake (-m string). Я сам раньше думал, что парсинг содержимого пакетов убьёт канал, а намедни пришлось заюзать - падения производительности не заметил.
     
  • 1.149, coresh, 12:14, 28/10/2011 [ответить] [смотреть все]  
  • +/
    Лог результата работы эксплоита продолжительностью ~1-2 минуты с default Limit parallel connections=400 на lighttpd/1.4.29 (ssl):
    Резюме: Сайт в течении теста работал, тормоза: незначительные
            Главное: Проц. грузился под 100%
            Далее тест не проводился


    Waiting for script kiddies to piss off................
    The force is with those who read the source...
    Handshakes 0 [0.00 h/s], 1 Conn, 0 Err
    Handshakes 61 [65.72 h/s], 400 Conn, 0 Err
    Handshakes 242 [181.28 h/s], 400 Conn, 0 Err

    ...

    Handshakes 40695 [252.11 h/s], 400 Conn, 0 Err
    Handshakes 40963 [268.03 h/s], 400 Conn, 0 Err
    Handshakes 41245 [282.17 h/s], 400 Conn, 0 Err


     
     
  • 2.156, Аноним, 16:40, 28/10/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    THC написал годный детектор скрипткиддисов ... весь текст скрыт [показать] [показать ветку]
     
  • 1.159, Аноним, 12:53, 29/10/2011 [ответить] [смотреть все]  
  • +/
    Ерунда Любой почти скрипт на сервере точно так же можно задоссить т к ресу... весь текст скрыт [показать]
     
     
  • 2.160, XoRe, 22:55, 29/10/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    А ещё, на выбор - переписать проблемную часть - включить кеширование - добави... весь текст скрыт [показать] [показать ветку]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList