forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Раздел полезных советов: Блокирование попыток эксплуатации h..., auto_tips (??), 09-Апр-14, (0) [смотреть все]

А есть способ во FreeBSD реализовать подобную блокировку через ipfw или pf , Аноним (-), 20:15 , 09-Апр-14, (1) //

А в бздях как обычно все для удобства администратора, так что заблокировать паке, Аноним (-), 20:27 , 09-Апр-14, (2) +2
ng_bpf , Аноним (-), 20:45 , 09-Апр-14, (3)
Блокируй всё Разрешай только то, что конкретно нужно , iZEN (ok), 11:57 , 10-Апр-14, (4) –3 //

ты прям кэп D, ALex_hha (ok), 13:26 , 10-Апр-14, (5)
изя, а ты жжож напалмом вот скажи, к примеру, https конкретно нужно или конкретн, тигар (ok), 13:33 , 10-Апр-14, (6) +2 //

А зачем его же не удобно фильтровать text plain наше усе , тролим толсто (?), 10:57 , 22-Апр-14, (20)

ты совершенен в своём невежестве , ананим (?), 19:35 , 11-Апр-14, (15) +1
Прально, разрешай выход только на 80-е порты А вот с 5222 портом такое не про, Аноним (-), 16:41 , 27-Апр-14, (21)

А нету способа обновиться Типа, ставишь исправленную версию Не Никак , Sabakwaka (ok), 13:08 , 12-Апр-14, (16) //

Можно, но тогда будет не прикольно, Адекват (ok), 15:44 , 15-Апр-14, (17)

http lists freebsd org pipermail freebsd-net 2008-July 019086 html, Алекс (??), 11:51 , 16-Апр-14, (18)
Через PF с помощью классификатора Ethernet-фреймов http www openbsd gr faq pf , iZEN (ok), 18:09 , 16-Апр-14, (19) –1

Вот там сказано The rules have been specifically created for HTTPS traffic and m, Онаним (?), 16:37 , 10-Апр-14, (7) //

Ну, типа того, в http seclists org fulldisclosure 2014 Apr 143 используют-m mu, Andrey Mitrofanov (?), 11:33 , 11-Апр-14, (11)

Уже боты долбятся msg 16509541 241630 Heartbeat Attack IN br0 OUT PHYSIN et, pavlinux (ok), 03:28 , 11-Апр-14, (8)
Что это за сигнатура 0x18030000 0x1803FFFF И будет ли работать правило iptabl, Онаним (?), 10:51 , 11-Апр-14, (9) //

Судя по этому, да options OptionParser usage prog server options , descrip, Онаним (?), 11:06 , 11-Апр-14, (10)
У меня сегодня около 6 утра сработало,на 465 порту, причем адрес источника - наш, pavlinux (ok), 11:53 , 11-Апр-14, (12) //

iptables -t filter -A INPUT -p tcp --dport 465 -m u32 --u32 52 0x18030000 0x180, Онаним (?), 13:13 , 11-Апр-14, (13) //

Аффтор подразумевал, что коннект идёт на 443 порт и там кроме HTTPS ничего нет В, pavlinux (ok), 14:56 , 11-Апр-14, (14)

Для UDP портов подобное правило годится iptables -t filter -A INPUT -p udp --dpo, Аноним (-), 17:09 , 27-Апр-14, (22)
А как это можно в Mikrotik-ах сделать , VecH (ok), 08:39 , 30-Апр-14, (23) //

Читать документацию Mikrotik, в которой сказано, что RouterOS данной проблеме не, Анонимчег (?), 08:10 , 03-Май-14, (24) //

Мне это надо что бы мониторить сквозной трафик из вне в dmz на предмет попыток, VecH (ok), 10:22 , 03-Май-14, (26)

http forum mikrotik com viewtopic php f 2 t 84005, Анонимчег (?), 08:15 , 03-Май-14, (25)

Уязвимые продукты Киски Список будет обновляться по мере расследования инцидент, pincher (??), 11:24 , 11-Май-14, (28) //

связалась циска с линуксом и получила себе такой подарок , linux must _RIP__ (?), 19:35 , 27-Май-14, (33) //

Тебе с РИПом в мозгу даже такой подарок не светит Передёргивать с openssl на л, Andrey Mitrofanov (?), 09:44 , 28-Май-14, (34)
Пади ж ты, а сколько в самой Цыцке анального добра помимо этой уязвимости в библ, Аноним (-), 22:45 , 09-Июн-14, (36)

Кто расскажет, зачем эти попытки блокировать, если уязвимость устранена , Аноним (-), 00:50 , 14-Май-14, (29) //

Для экономии электричества На своей стороне, и перевод её, экономии, в расход на, Andrey Mitrofanov (?), 09:37 , 14-Май-14, (30) //

тогда почему там DROP, а не TARPIT , Аноним (-), 04:35 , 25-Май-14, (32) –1

Например, не в любом продакшне вы можете с лёгкостью апдейтить пакеты Некотор, leon55 (ok), 11:41 , 02-Июн-14, (35)

Сообщения [Сортировка по времени | RSS]

12. "Блокирование попыток эксплуатации heartbeat-уязвимости в Ope..." +/–

Сообщение от pavlinux (ok), 11-Апр-14, 11:53

У меня сегодня около 6 утра сработало,на 465 порту, причем адрес источника - наша офисная сеть.
Сижу разбираюсь.

128.140.169.183 - mail.ru банит
DKIM: d=mail.ru s=mail2 c=relaxed/relaxed a=rsa-sha256 [verification succeeded]
P=esmtps X=TLS1.0:DHE_RSA_AES_256_CBC_SHA1:32

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

13. "Блокирование попыток эксплуатации heartbeat-уязвимости в Ope..." +/–

Сообщение от Онаним (?), 11-Апр-14, 13:13

iptables -t filter -A INPUT -p tcp --dport 465 -m u32 --u32 "52=0x18030000:0x1803FFFF" -j DROP
Или я дурак или лыжи не едут. Но в этом правиле гвоздями прибито смещение сигнатуры, в то время как, что IP заголовок, что TCP заголовок имеют переменную длину!!! Выходит, что это правило сглючит, если в IP заголовке будут опции (ну и в TCP тоже).
Проскочить IP заголовок можно так "0>>22&0x3C", а IP TCP заголовки так "0>>22&0x3C@ 12>>26&0x3C@".
Вот хорошая статья http://www.stearns.org/doc/iptables-u32.current.html
Но вот что искать в TCP данных (payload) не ясно. Только если исходить из того, что аффтор правила подразумевал заголовки IP и TCP по 20 байт, то выходит что надо как то так:
iptables -t filter -A INPUT -p tcp --dport 465 -m u32 --u32 "0>>22&0x3C@ 12>>26&0x3C@12=0x18030000:0x1803FFFF" -j DROP

Ответить | Правка | Наверх | Cообщить модератору

14. "Блокирование попыток эксплуатации heartbeat-уязвимости в Ope..." +/–

Сообщение от pavlinux (ok), 11-Апр-14, 14:56

> ... аффтор правила подразумевал
Аффтор подразумевал, что коннект идёт на 443 порт и там кроме HTTPS ничего нет.
Вот тут кусок hex взят непосредственно их кода эксплойта.
iptables -I INPUT -p tcp -m string --algo kmp --hex-string '|18 03 02 00 03 01 40 00|' \
-j LOG --log-level debug --log-prefix "ScriptKiddy detected: "
18 - Heartbeat расширение
03 01 - TLS v1.0 (03 02 - TLS v1.1, 03 03 - TLS v1.2)
00 03 - длина заголовка (18,03,01)
01 - Heartbeat request (02 - ответ)
40 00 - размер (по стандарту - может быть не более 2^16 (0x4000))
Банить, кроме как Heartbeat request, не вижу смысла.
Лень смотреть, узнать бы в какой мин. версии TLS это поддерживается.
Ловить нужно вот такие байты (строки)
от 0x1803010003010000 до 0x1803010003014000 # TLS 1.0
от 0x1803020003010000 до 0x1803010003014000 # TLS 1.1
от 0x1803030003010000 до 0x1803010003014000 # TLS 1.2
Как это всунуть в u32 - лень думать :)

Или даже вот такой длины: 0x180301000301, ибо пофиг какой он там размер запросит.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	12. "Блокирование попыток эксплуатации heartbeat-уязвимости в Ope..."	+/–
	Сообщение от pavlinux (ok), 11-Апр-14, 11:53
	У меня сегодня около 6 утра сработало,на 465 порту, причем адрес источника - наша офисная сеть. Сижу разбираюсь. 128.140.169.183 - mail.ru банит DKIM: d=mail.ru s=mail2 c=relaxed/relaxed a=rsa-sha256 [verification succeeded] P=esmtps X=TLS1.0:DHE_RSA_AES_256_CBC_SHA1:32
	Ответить \| Правка \| К родителю #9 \| Наверх \| Cообщить модератору


	13. "Блокирование попыток эксплуатации heartbeat-уязвимости в Ope..."	+/–
	Сообщение от Онаним (?), 11-Апр-14, 13:13
	iptables -t filter -A INPUT -p tcp --dport 465 -m u32 --u32 "52=0x18030000:0x1803FFFF" -j DROP Или я дурак или лыжи не едут. Но в этом правиле гвоздями прибито смещение сигнатуры, в то время как, что IP заголовок, что TCP заголовок имеют переменную длину!!! Выходит, что это правило сглючит, если в IP заголовке будут опции (ну и в TCP тоже). Проскочить IP заголовок можно так "0>>22&0x3C", а IP TCP заголовки так "0>>22&0x3C@ 12>>26&0x3C@". Вот хорошая статья http://www.stearns.org/doc/iptables-u32.current.html Но вот что искать в TCP данных (payload) не ясно. Только если исходить из того, что аффтор правила подразумевал заголовки IP и TCP по 20 байт, то выходит что надо как то так: iptables -t filter -A INPUT -p tcp --dport 465 -m u32 --u32 "0>>22&0x3C@ 12>>26&0x3C@12=0x18030000:0x1803FFFF" -j DROP
	Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Блокирование попыток эксплуатации heartbeat-уязвимости в Ope..."	+/–
	Сообщение от pavlinux (ok), 11-Апр-14, 14:56
	> ... аффтор правила подразумевал Аффтор подразумевал, что коннект идёт на 443 порт и там кроме HTTPS ничего нет. Вот тут кусок hex взят непосредственно их кода эксплойта. iptables -I INPUT -p tcp -m string --algo kmp --hex-string '\|18 03 02 00 03 01 40 00\|' \ -j LOG --log-level debug --log-prefix "ScriptKiddy detected: " 18 - Heartbeat расширение 03 01 - TLS v1.0 (03 02 - TLS v1.1, 03 03 - TLS v1.2) 00 03 - длина заголовка (18,03,01) 01 - Heartbeat request (02 - ответ) 40 00 - размер (по стандарту - может быть не более 2^16 (0x4000)) Банить, кроме как Heartbeat request, не вижу смысла. Лень смотреть, узнать бы в какой мин. версии TLS это поддерживается. Ловить нужно вот такие байты (строки) от 0x1803010003010000 до 0x1803010003014000 # TLS 1.0 от 0x1803020003010000 до 0x1803010003014000 # TLS 1.1 от 0x1803030003010000 до 0x1803010003014000 # TLS 1.2 Как это всунуть в u32 - лень думать :) Или даже вот такой длины: 0x180301000301, ибо пофиг какой он там размер запросит.
	Ответить \| Правка \| Наверх \| Cообщить модератору