The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Представлен эксплойт, способный блокировать работу любого SS..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от opennews (??) on 26-Окт-11, 15:36 
Известная немецкая хакерская группа THC представила (http://www.thc.org/thc-ssl-dos/) эксплойт, реализующий DoS-атаку против любого SSL-сервера с задействованием всего одной или нескольких атакующих машин. Уязвимость присутствует во всех известных реализациях SSL и не может быть устранена без переработки принципа работы сервера.


Идея, заложенная в эксплойт, очень проста и основана на том факте, что для установки SSL-соединения серверная сторона тратит в 15 раз больше ресурсов, чем клиентская. Фактически, все что делает эксплойт, это создает бесконечный поток подключений к серверу, что в конечном итоге приводит к исчерпанию ресурсов последнего. THC уверяет, что для введения среднестатистического сервера в состояние отказа в обслуживании понадобится всего 300 SSL-подключений в секунду, которые с легкостью обеспечит стандартный ноутбук, подключенный к сети с помощью DSL-канала. Большая ферма серверов, оснащенная балансировщиком нагрузки сможет выдержать натиск не более чем 20 таких но...

URL: http://thehackerschoice.wordpress.com/2011/10/24/thc-ssl-dos/
Новость: https://www.opennet.ru/opennews/art.shtml?num=32136

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Представлен эксплойт, способный блокировать работу любого SS..."  +1 +/
Сообщение от Александр (??) on 26-Окт-11, 15:36 
Нда... печально.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от anonymous (??) on 26-Окт-11, 15:52 
А где этот ссл отдельно применяется ?

К примеру в любом https и ftps можно левой

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

8. "Представлен эксплойт, способный блокировать работу любого SS..."  +1 +/
Сообщение от anonymous (??) on 26-Окт-11, 15:54 
> А где этот ссл отдельно применяется ?
> К примеру в любом https и ftps можно левой

... ногой сделать лимит на конекты вообще и с одного ип ...

а еще можно иптаблесом бородить .... ну как ссш бородят.


Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

14. "Представлен эксплойт, способный блокировать работу любого SS..."  +1 +/
Сообщение от Аноним (??) on 26-Окт-11, 16:07 
Ну так это на раз обходится: пускаем атаку через torify или socksify и разворачиваем 1 айпи в целую толпень. При этом интенсивность долбежа будет высока в сумме но низка в пересчете на соединение. Доступно любому школьнику с ноутом, как бы. А банить тысячи айпи всех прокси и выходных нод тора можно и задолбаться. Так что в ворота админов забит невкусный гол, и что плохо, вратаря на воротах нет, и взять неоткуда :(.Единственное решение разве что совсем вырубить ссл, но...
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

16. "Представлен эксплойт, способный блокировать работу любого SS..."  +1 +/
Сообщение от Аноним (??) on 26-Окт-11, 16:10 
> Ну так это на раз обходится: пускаем атаку через torify или socksify
> и разворачиваем 1 айпи в целую толпень. При этом интенсивность долбежа
> будет высока в сумме но низка в пересчете на соединение. Доступно
> любому школьнику с ноутом, как бы. А банить тысячи айпи всех
> прокси и выходных нод тора можно и задолбаться. Так что в
> ворота админов забит невкусный гол, и что плохо, вратаря на воротах
> нет, и взять неоткуда :(.Единственное решение разве что совсем вырубить ссл,
> но...

Айпишники выходных узлов тора не забанены только у ленивого админа. Я, например, каждые пять минут по крону тягаю эти списки с их официальных стат-серверов и обновляю ipsetы.
А бесплатную открытую проксю, да еще с поддержкой SSL, найти не просто трудно, а очень трудно.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

30. "Представлен эксплойт, способный блокировать работу любого SS..."  +1 +/
Сообщение от Аноним (??) on 26-Окт-11, 16:59 
> А бесплатную открытую проксю, да еще с поддержкой SSL, найти не просто
> трудно, а очень трудно.

Ага, пц как трудно. Вот только что для прикола нашел гуглингом 5 действующик сокс4 и 5 ... с телефона вообще. Проверил - работают. Вот вам уже 5 разных айпишнтков ;). И как вы понимаете, ssl они пропускают. А если это поставить на поток (кагбэ есть куча прог для этого, если вы ыдруг не знали), за пару часов можно ненапряжно наловить несколько тысяч айпи чисто нахаляву. Хотя вроде бывают и те кто платит за элитные прочеканые и отсортированные базы. В любом случае атака копеечная получается. Для атакующего. По сути атаковать может любой школьник с ноутом из ближайшего мадональдса.Ну почитать пару кулхацкерских сайтов с факами как максимум. Подобные проделки даже на унылом хламе типа хакер.ру описаны в силу очевидности.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

67. "Представлен эксплойт, способный блокировать работу любого SS..."  +1 +/
Сообщение от Аноним (??) on 26-Окт-11, 19:13 
> Ага, пц как трудно. Вот только что для прикола нашел гуглингом 5
> действующик сокс4 и 5 ... с телефона вообще. Проверил - работают.

Думаю, админу, чтобы забанить их, понадобится куда меньше времени и усилий, чем приложили вы при их поиске.

> А если это поставить на поток (кагбэ есть куча прог для этого, если вы ыдруг не знали), за пару часов можно ненапряжно наловить несколько тысяч айпи чисто нахаляву.

Ну продемонстрируйте нам эти чудеса, а то пока только болтология выходит.

> Хотя вроде бывают и те кто платит за элитные прочеканые и отсортированные базы.

Приходилось иметь дело. Как правило, туфта полная. Держатся они только на том факте, что через интернет морду лохотронщику не набьешь.

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

100. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от 8 on 27-Окт-11, 00:54 
интересно, а бахнуть этим эксплоитом по, примерно, половине таких SSL OpenProxy через вторую половину - сложно?

(как бы, риторически)

Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

104. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Аноним (??) on 27-Окт-11, 01:36 
> интересно, а бахнуть этим эксплоитом по, примерно, половине таких SSL OpenProxy через вторую половину - сложно?

Гораздо веселее устроить битву "каждый против всех" - интересное зрелище + ликвидация потенциального вектора атаки.

Ответить | Правка | ^ к родителю #100 | Наверх | Cообщить модератору

124. "Представлен эксплойт, способный блокировать работу любого SS..."  +1 +/
Сообщение от Аноним (??) on 27-Окт-11, 11:30 
> интересно, а бахнуть этим эксплоитом по, примерно, половине таких SSL OpenProxy через
> вторую половину - сложно?

Капитан информирует: прокси пригодные для SSL (HTTP 1.1 CONNECT, SOCKS 4/5) вообще не анализируют протокол, а просто перебрасывают соединения. Такми прокси все-равно, SSL там будет или допустим протокол взаимодействия с сервером ICQ. Нагрузка на прокси при этом минимальна.

Вывод: положить таким методом прокси невозможно. Их можно лишь грубо завалить траффиком. С этим справляются и сами любители проксей :).Но почему-то всегда находятся новые и новые открытые прокси - дураков на планете много.

Ответить | Правка | ^ к родителю #100 | Наверх | Cообщить модератору

138. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Аноним (??) on 27-Окт-11, 15:52 
> Думаю, админу, чтобы забанить их, понадобится куда меньше времени и усилий, чем
> приложили вы при их поиске.

На моей памяти, самый упертый админ пытавшийся решать вопросы маханием банхаммером скис на примерно 20-й итерации, и я бы не сказал что заменять проксики как-то сложнее чем махать банхаммером, примерно равноценные по сложности операции :))

>> за пару часов можно ненапряжно наловить несколько тысяч айпи чисто нахаляву.
> Ну продемонстрируйте нам эти чудеса, а то пока только болтология выходит.

google://+free +proxy +list - наслаждайтесь! Сколько и чего вы нагребете - разумеется зависит от вашего умения искать и разгребать результаты. Не умеете? Платите тем кто умеет. Я нахожу такой вполне честным.

>> Хотя вроде бывают и те кто платит за элитные прочеканые и отсортированные базы.
> Приходилось иметь дело. Как правило, туфта полная. Держатся они только на том
> факте, что через интернет морду лохотронщику не набьешь.

Есть и зарекомендовавшие себя годами сервисы, вполне себе рабочие. За годы уж хотя-бы дурная слава должна была бы распостраниться, а этого нет.

Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

83. "Представлен эксплойт, способный блокировать работу любого SS..."  +3 +/
Сообщение от Аноним (??) on 26-Окт-11, 21:57 
> Айпишники выходных узлов тора не забанены только у ленивого админа.

А в чем смысл страдать такой фигней?

Tor, в основном, используют вполне нормальные люди, которые хотят анонимности. И полтора школьника, которые хочется насрать, но это легко лечится.

Атакуют-то, один фиг, на добрые 99% - с ботнетов и прочих затрояненных хостов.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

98. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Аноним (??) on 27-Окт-11, 00:43 
> Tor, в основном, используют вполне нормальные люди, которые хотят анонимности. И полтора
> школьника, которые хочется насрать, но это легко лечится.

... путем забана всего тора. При этом приходится жертвовать интересами параноиков, т.к. другого выхода просто нет, к сожалению.

> Атакуют-то, один фиг, на добрые 99% - с ботнетов и прочих затрояненных хостов.

Это да. И тут, кстати, не так уж важно соотношение затрачиваемых ресурсов сервера и клиента, если оно в пределах 0.01-100 - кому надо, купит нужное количество хостов не поморщившись.

Ответить | Правка | ^ к родителю #83 | Наверх | Cообщить модератору

127. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Аноним (??) on 27-Окт-11, 13:06 
> ... путем забана всего тора. При этом приходится жертвовать интересами параноиков, т.к.
> другого выхода просто нет, к сожалению.

Ничем не оправданный онанизм: для тех кто атакует есть тысячи и тысячи открытых прокси, они элементарно гуглятся, каждый день возникает куча новых и поэтому все их перебанить нереально. Проверено.

> купит нужное количество хостов не поморщившись.

Простите, но для указанного типа атаки можно вообще использовать самый копеечный неутбук и толпу проксиков накопаных забесплатно. И этого хватит чтобы уронить даже довольно мощный и неплохо администряемый сервер. А ставить на каждую хомпагу по криптоакселератору RSA - как-то дороговато выходит.

Ответить | Правка | ^ к родителю #98 | Наверх | Cообщить модератору

162. "Представлен эксплойт, способный блокировать работу..."  –1 +/
Сообщение от arisu (ok) on 30-Окт-11, 12:49 
>> Tor, в основном, используют вполне нормальные люди, которые хотят анонимности. И полтора
>> школьника, которые хочется насрать, но это легко лечится.
> ... путем забана всего тора.

а если закрыть вообще все порты -- то никто и никогда не нагадит. подумай над этим, чухонец.

Ответить | Правка | ^ к родителю #98 | Наверх | Cообщить модератору

165. "Представлен эксплойт, способный блокировать работу..."  +/
Сообщение от Andrey Mitrofanov on 31-Окт-11, 11:09 
> а если закрыть вообще все порты -- то никто и никогда не
> нагадит. подумай над этим, чухонец.

Сплёвываем и стучим по дереву, чтоб не обнаружилась уязвимость в закрывальщике портов или стеке IP (и БП ящика! $) ). Лучше %) провод выдернуть.

Ответить | Правка | ^ к родителю #162 | Наверх | Cообщить модератору

166. "Представлен эксплойт, способный блокировать работу..."  +/
Сообщение от arisu (ok) on 31-Окт-11, 11:20 
> Лучше %) провод выдернуть.

т-с-с-с. это же был второй секретный совет за деньги! весь гешефт мне попортил.

Ответить | Правка | ^ к родителю #165 | Наверх | Cообщить модератору

86. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Zenitur (ok) on 26-Окт-11, 22:21 
Полазить немного с TOR'а, подождать пока поглючит, IP несколько раз сменится. И можно писать на сайт, куда нельзя было писать с TOR'а.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

44. "Представлен эксплойт, способный блокировать работу любого SS..."  +1 +/
Сообщение от Аноним (??) on 26-Окт-11, 17:47 
> а еще можно иптаблесом бородить .... ну как ссш бородят.

для ссш эффективной защитой является разве что порткнокинг, но если для административного сервиса это еще ок, то для публичного ресурса на ссл порту это совсем не вариант. Представляете себе допустим банк рассказывающий клиентам как телнетиком на пару портов стукануться?:)))

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

49. "Представлен эксплойт, способный блокировать работу любого SS..."  +1 +/
Сообщение от Одмин on 26-Окт-11, 17:59 
так если об этом будут знать клиенты то и злоумышленники тоже будут знать и knocking будет мало полезен.
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

53. "Представлен эксплойт, способный блокировать работу любого SS..."  +2 +/
Сообщение от alikd email on 26-Окт-11, 18:04 
TCP-соединение требуется только одно, в рамках которого будет инициировано несколько SSL-handshake сессий. Внимательно новость читайте
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

66. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Аноним (??) on 26-Окт-11, 19:09 
> TCP-соединение требуется только одно, в рамках которого будет инициировано несколько SSL-handshake сессий. Внимательно новость читайте

А вы-то ее внимательно читали, особенно последний абзац?
> При отключении SSL-Renegotiation для совершения атаки потребуется создавать новое TCP-соединение на каждый ресурсоёмкий SSL-handshake.

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

73. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Аноним (??) on 26-Окт-11, 19:49 
> А вы-то ее внимательно читали, особенно последний абзац?
>> При отключении SSL-Renegotiation для совершения атаки потребуется создавать новое TCP-соединение на каждый ресурсоёмкий SSL-handshake.

Последний абзац относится только к случаю, когда на сервере отключили SSL-Renegotiation, если он включен, а это 99.9999% систем, никакого наводнения новыми соединениями не требуется.

Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

97. "Представлен эксплойт, способный блокировать работу любого SS..."  –1 +/
Сообщение от Аноним (??) on 27-Окт-11, 00:40 
> если он включен, а это 99.9999% систем

В вашей конторе - может быть. В нашей - выключен на 100% систем. Работа такая.

Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

117. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Аноним (??) on 27-Окт-11, 10:18 
>> если он включен, а это 99.9999% систем
> В вашей конторе - может быть. В нашей - выключен на 100%
> систем. Работа такая.

Что это за контора в которой используют на серверах самосборные запатченные версии http-серверов и пренебрегают совместимостью с клиентским ПО ?

Ответить | Правка | ^ к родителю #97 | Наверх | Cообщить модератору

139. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Аноним (??) on 27-Окт-11, 16:25 
Выдуманная, очевидно же.
Ответить | Правка | ^ к родителю #117 | Наверх | Cообщить модератору

128. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Michael Shigorin email(ok) on 27-Окт-11, 13:12 
> К примеру в любом https и ftps можно левой ногой сделать лимит на конекты вообще
> и с одного ип ...

Если в рамках одного соединения, то попадаем на анализ пакетов.  Меньше одного коннекшена на IP разрешать довольно непрактично.

PS: "я буду дочитывать тред перед тем, как писать..." (c)

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

5. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Аноним (??) on 26-Окт-11, 15:46 
А SSL-Renegotiation ещё не выкинули из-за какой-то там уязвимости?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Представлен эксплойт, способный блокировать работу любого SS..."  +1 +/
Сообщение от Андрей (??) on 26-Окт-11, 15:58 
Практически все нормальные сервера регулируют количество подключений. И уж тем более количество подключений с одного адреса. Не прокатит.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Представлен эксплойт, способный блокировать работу любого SS..."  +1 +/
Сообщение от Аноним (??) on 26-Окт-11, 16:16 
> Практически все нормальные сервера регулируют количество подключений. И уж тем более количество
> подключений с одного адреса. Не прокатит.

Один адрес несложно превратить в легион, через тор или проксики, показав шиш в плане лимитов с 1 ипа - спасет только от тех кто не может заменить 1 команду на 2. А лимиты на сервер вообще? Ну, допустим атакующий выбрал на себя весь лимит на свою групку айпишников. Дальше что? Сервак шлет в * "избыточных" юзерей? Так это и есть цель атаки, какая разница что вы сами своих юзеров послать осилили? На результат (сервер недоступен юзерам) это не влияет. Цель атаки достигнута.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

32. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от rain87 on 26-Окт-11, 17:00 
выше уже отписали по поводу торов и проксей. для практической реализации атаки, как и прежде, нужен ботнет. правда, по видимому, достаточно значительно более меньшего ботнета чем для реализации традиционной ДДОС атаки
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

41. "Представлен эксплойт, способный блокировать работу любого SS..."  +2 +/
Сообщение от Аноним (??) on 26-Окт-11, 17:24 
> выше уже отписали по поводу торов и проксей. для практической реализации атаки,
> как и прежде, нужен ботнет. правда, по видимому, достаточно значительно более
> меньшего ботнета чем для реализации традиционной ДДОС атаки

Да нахрен там ботнет, для столь низкоинтенсивной атаки хватит бесплатных проксиков, коих в интернете горы. Набрать несколько тысяч айпи - реально. Даже даром. А траффика много и не надо. В качестве бонуса, слишком жесткие лимиты имеют свойство накрывать честных юзерей, создавая проблем админам/саппортам.

В общем то мысль была в том что не лечится гниль фундамента путем подкраски фасада. А протокол с фактором усиления ресурсной атаки в 15 раз - гниль в фундаменте! Атакующему на старте дадена 15-кратная фора по ресурсам!!!

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

60. "Представлен эксплойт, способный блокировать работу любого SS..."  +2 +/
Сообщение от Аноним (??) on 26-Окт-11, 18:21 
> Набрать несколько тысяч айпи - реально. Даже даром.

Ну наберите хотя бы тыщи три, и запостите сюда. А пока это пустая трепотня.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

150. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Аноним (??) on 28-Окт-11, 15:28 
> Ну наберите хотя бы тыщи три, и запостите сюда. А пока это пустая трепотня.

Не, давайте вы лучше пианино для меня полдня потаскаете? Если мне понравится как вы это делаете - я может быть вам даже "спасибо" за показ такого шоу скажу :). Примерно такой же по скромности запрос :D

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

10. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от mikevmk (??) on 26-Окт-11, 16:01 
Нюню. Пойдите, свалите https://gmail.com. Ну хоть все вместе.

Это не эксплоит, а школьный гоп-стоп, и защититься от него лимитом коннектов, делэями и прочими элементарными вещами не просто, а очень просто.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Аноним (??) on 26-Окт-11, 16:42 
Может, они знали?
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

33. "Представлен эксплойт, способный блокировать работу любого SS..."  +1 +/
Сообщение от Аноним (??) on 26-Окт-11, 17:01 
Вообще-то THC одна из известнейших и авторитетнейших хакерских групп, в лучшем смысле этого слова. В этом треде есть комментаторы, которые ещё не родились, в то время когда THC уже творили. На их счету около 100 выявленных проблем безопасности.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

163. "Представлен эксплойт, способный блокировать работу..."  +/
Сообщение от arisu (ok) on 30-Окт-11, 12:52 
> свалите https://gmail.com

нубло уверено, видимо, что гмыло всё на одном сервере крутится.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Аноним (??) on 26-Окт-11, 16:03 
>Уязвимость присутствует во всех известных реализациях SSL и не может быть устранена без переработки принципа работы сервера.

iptables hashlimit (ctstate NEW) и connlimit легко зарежут такое счастье.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Аноним (??) on 26-Окт-11, 16:32 
>>Уязвимость присутствует во всех известных реализациях SSL и не может быть устранена без переработки принципа работы сервера.
> iptables hashlimit (ctstate NEW) и connlimit легко зарежут такое счастье.

ну как бы всех вполне устроит если вы сами пошлете ваших юзеров после того как атакующий высадит лимиты через пачку айпишников которую может получить даже школьник:). Да, тор и проксики тормозные, ну так тут то как раз фокус в том что много и не надо.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

59. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Аноним (??) on 26-Окт-11, 18:20 
> через пачку айпишников которую может получить даже школьник:)

Мы, походу, лузеры - получаем айпишники после согласования кучи бумажек и выплаты неслабых бабок :( А тут школьники их тысячами бесплатно получают. Видимо, что-то не так мы делаем.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

79. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Xaionaro (ok) on 26-Окт-11, 21:08 
> Мы, походу, лузеры - получаем айпишники после согласования кучи бумажек и выплаты неслабых бабок :(

Ну, с IPv6 дела попроще обстоят. И я, как и некоторые мои знакомые уже используем и осваиваем этот IPv6

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

151. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Аноним (??) on 28-Окт-11, 15:30 
> что-то не так мы делаем.

Ну вы то их получаете в постоянное пользование, а в случае проксиков и торов они не лично ваши и не на постоянной основе. Некоторая разница, но для указанного применения - несущественно.

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

13. "Добрая шутка..."  +2 +/
Сообщение от AZ_from_Belarus (ok) on 26-Окт-11, 16:06 
Понравилось 127.0.0.1 и появление в первых же комментариях желающих это запустить. Впрямь как в анекдоте.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от koloboid (ok) on 26-Окт-11, 16:14 
а что насчет TLS?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Представлен эксплойт, способный блокировать работу любого SS..."  –1 +/
Сообщение от Аноним (??) on 26-Окт-11, 16:17 
бред. iptables и прочие отменили ?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Представлен эксплойт, способный блокировать работу любого SS..."  +2 +/
Сообщение от koloboid (ok) on 26-Окт-11, 16:26 
не отменили, но и NAT тоже.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

27. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Аноним (??) on 26-Окт-11, 16:47 
> бред. iptables и прочие отменили ?

Ну будет таблес резать при атаке как атакующего, так и честных пользователей. Потому что фиг различишь низкоинтенсивные конекты с кучи айпи. При таком надо будет уже вручную анализировать можно ли как-то отличить. Как вы понимаете, атакующего вполне устроит держать малоинтенсивную атаку размазанную через кучу нод тора или прокси с целью выюзывания лимитов. Это небольшая нагрузка, 1 ноута достаточно. А честных юзеров ваш суперфильтр пошлет сам ;). Для юзера не так уж важно, не ответит сервак потому что перегружен, или потому что лимиты порубали его как лишнего.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

54. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Аноним (??) on 26-Окт-11, 18:11 
> Как вы понимаете, атакующего вполне устроит держать малоинтенсивную атаку размазанную через кучу нод тора или прокси с целью выюзывания лимитов.

Тор банится легко и изящно, анонимные прокси - по мере их выявления (действительно работающих, да еще с поддержкой SSL, в интернете очень мало).

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

122. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Аноним (??) on 27-Окт-11, 11:06 
Покажи, как побанить все входные ноды Тор легко и изящно?

И, кстати, про анонимные проски ля-ля-то не надо. Зайди на proxy.org и реально поинтересуйся поиском анонимных прокси с поддержкой SSL. Посмотри, что и сколько найдешь. Сотня за час находится с ленцой ручками.

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

22. "Представлен эксплойт, способный блокировать работу любого SS..."  +1 +/
Сообщение от СуперАноним on 26-Окт-11, 16:29 
Таким ломовым способом можно любой протокол прикладного уровня завалить. На какой-то потребуется больше ресурсов атакующего, на какой-то меньше.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

42. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Аноним (??) on 26-Окт-11, 17:35 
> Таким ломовым способом можно любой протокол прикладного уровня завалить. На какой-то потребуется
> больше ресурсов атакующего, на какой-то меньше.

Все так. Просто этот дурной протокол дает атакующему фору в 15 раз по ресурсам. В то время как нормальный протокол должен стремиться ну как максимум к фактору 1. Если коэффициент более 1, это называется "усиление атаки". Рычаг с 15-кратным плечом позволит озадачить копеечным нетбуком огромный многопроцессорный гроб.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

129. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Michael Shigorin email(ok) on 27-Окт-11, 13:38 
> Просто этот дурной протокол дает атакующему фору в 15 раз по ресурсам.

http://c2.com/cgi/wiki?DontRepeatYourself :)

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

25. "Представлен эксплойт, способный блокировать работу любого SS..."  –3 +/
Сообщение от Жорж on 26-Окт-11, 16:39 
Хм, я такой "експлоет" уже много лет пользую против конкурентов. Просто потому что мне казалось что настолько тривиально, что все об этом знают.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

36. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от фклфт (ok) on 26-Окт-11, 17:14 
> Хм, я такой "експлоет" уже много лет пользую против конкурентов. Просто потому
> что мне казалось что настолько тривиально, что все об этом знают.

я даже могу сказать где вы его купили


Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

80. "Представлен эксплойт, способный блокировать работу любого SS..."  +2 +/
Сообщение от Xaionaro (ok) on 26-Окт-11, 21:11 
> Хм, я такой "експлоет" уже много лет пользую против конкурентов.

Нехороший Вы человек. Играть нужно по-честному.


Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

108. "Представлен эксплойт, способный блокировать работу любого SS..."  –2 +/
Сообщение от фклфт (ok) on 27-Окт-11, 07:21 
> Нехороший Вы человек. Играть нужно по-честному.

В бизнесе понятия честность вообще не существует
P.S. я раньше тоже хотел все по честному работать и зарабатывать но вот блин мы не в Швейцарии живем

Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

130. "Представлен эксплойт, способный блокировать работу любого SS..."  +3 +/
Сообщение от Michael Shigorin email(ok) on 27-Окт-11, 13:43 
>> Играть нужно по-честному.

Нормальному человеку на деструктив вообще время жалко тратить...

> В бизнесе понятия честность вообще не существует

Существует, хотя встречается редко (и редко выживает).  Например, в Киеве и Москве знаю минимум по одному сборщику железа, которым это понятие не чуждо.  Если кому надо -- пишите почтой :)

Ответить | Правка | ^ к родителю #108 | Наверх | Cообщить модератору

157. "Представлен эксплойт, способный блокировать работу любого SS..."  +1 +/
Сообщение от Аноним (??) on 28-Окт-11, 16:54 
> В бизнесе понятия честность вообще не существует

Да, а если продолжить эту логику, тогда для конкурента пристрелить вас - наиболее дешевый и оптимальный вариант. Расход бабок на пули и порох минимальны по сравнению с убытками от вас.

Ответить | Правка | ^ к родителю #108 | Наверх | Cообщить модератору

28. "Представлен эксплойт, способный блокировать работу любого SS..."  +2 +/
Сообщение от Аноним (??) on 26-Окт-11, 16:52 
>127.0.0.1

для самых умных хакеров)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

31. "Представлен эксплойт, способный блокировать работу любого SS..."  –1 +/
Сообщение от maxkit (ok) on 26-Окт-11, 17:00 
Оказывается, то, что мне и многим моим коллегам было известно уже много лет - только "открыли"... Чудеса.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

37. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от demimurych email(ok) on 26-Окт-11, 17:16 
про SSL?
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

40. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Аноним (??) on 26-Окт-11, 17:23 
> Оказывается, то, что мне и многим моим коллегам было известно уже много
> лет - только "открыли"... Чудеса.

Вы и ваши коллеги явно не в курсе, что для handshake не нужно создавать новое соединение.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

55. "Представлен эксплойт, способный блокировать работу любого SS..."  +1 +/
Сообщение от Аноним (??) on 26-Окт-11, 18:13 
> Вы и ваши коллеги явно не в курсе, что для handshake не
> нужно создавать новое соединение.

И что, неужели не существует никаких способов отменить это? :D

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

47. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Аноним (??) on 26-Окт-11, 17:57 
ОЙ, пафос то какой... я прям испугался
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

34. "Представлен эксплойт, способный блокировать работу любого SS..."  –1 +/
Сообщение от arcade (ok) on 26-Окт-11, 17:02 
Бред, у меня везде стоит ограничение на количество одновременных подключений на уровне файрволла. Превышающие тихо скатываются в список для блокировки.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

39. "Представлен эксплойт, способный блокировать работу любого SS..."  –1 +/
Сообщение от Аноним (??) on 26-Окт-11, 17:22 
> Бред, у меня везде стоит ограничение на количество одновременных подключений на уровне
> файрволла. Превышающие тихо скатываются в список для блокировки.

И как вам это поможет, если для handshake не создаётся новых соединений ?

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

45. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от anonymous (??) on 26-Окт-11, 17:53 
А вот Renegotiation отключить - и уже нужно новое соединение для handshake.
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

46. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Аноним (??) on 26-Окт-11, 17:54 
> И как вам это поможет, если для handshake не создаётся новых соединений ?

Да просто кучка ламеров заучила пару команд, а ихучать протоколы вломы или умишка не хватает. Поэтому о том что tcp для ssl лишь некий транспортный тоннель - ламерюки
не прдозревают.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

58. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Аноним (??) on 26-Окт-11, 18:18 
> Да просто кучка ламеров заучила пару команд, а ихучать протоколы вломы или
> умишка не хватает. Поэтому о том что tcp для ssl лишь
> некий транспортный тоннель - ламерюки
>  не прдозревают.

А еще они не подозревают, что такое renegotiation и что его можно отключить :D

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

74. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Аноним (??) on 26-Окт-11, 19:53 
> А еще они не подозревают, что такое renegotiation и что его можно
> отключить :D

Команды по отключению renegotiation в Apache и nginx в студию. Только, pls, без патчей на код. И еще список SSL-клиентов, которые перестанут работать после отключения renegotiation тоже не забудьте указать.

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

93. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Аноним (??) on 27-Окт-11, 00:32 
>Только, pls, без патчей на код.

"Хочу поесть, но не ртом"
Кто уже успел получить лучики счаться, или просто держит в штате грамотных спецов - давно уже используют патченый openssl.

Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

118. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Аноним (??) on 27-Окт-11, 10:22 
> Кто уже успел получить лучики счаться, или просто держит в штате грамотных
> спецов - давно уже используют патченый openssl.

Ага и при этом жертвуют совместимостью с клиентами и рискуют пропустить обновление с действительно серьёзной дырой в openssl.

Ответить | Правка | ^ к родителю #93 | Наверх | Cообщить модератору

131. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Michael Shigorin email(ok) on 27-Окт-11, 13:50 
> И еще список SSL-клиентов, которые перестанут работать
> после отключения renegotiation тоже не забудьте указать.

Возможно, местами пригодится этот тред:
http://old.nabble.com/TLS-renegotiation-disabling-%3A-m...

Ответить | Правка | ^ к родителю #74 | Наверх | Cообщить модератору

48. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Аноним (??) on 26-Окт-11, 17:57 
Простите мой сарказм, но что за бред, что значит не создается, пакеты, что по UDP шлются?!
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

52. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Аноним (??) on 26-Окт-11, 18:04 
> Простите мой сарказм, но что за бред, что значит не создается, пакеты,
> что по UDP шлются?!

На первый раз прощаю! Вы знаете что такое соединение? Это IP-отправителя:порт-отправителя + IP-получателя:порт-получателя. Например, 192.168.1.150:4452 <-> 192.168.2.210:443. Дак вот внутри этого соединения и происходит handshake (рукопожатие). Новое рукопожатие можно инициировать, НЕ УСТАНАВЛИВАЯ НОВОЕ ПОДКЛЮЧЕНИЕ. Толку то тут ограничивать кол-во подключений с одного IP?!

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

56. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Аноним (??) on 26-Окт-11, 18:14 
> Новое рукопожатие можно инициировать, НЕ УСТАНАВЛИВАЯ НОВОЕ ПОДКЛЮЧЕНИЕ.

Ну посмотрим, как вы это сделаете, если я renegotiation на сервере отключу :P

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

63. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Аноним (??) on 26-Окт-11, 19:04 
в новости об этом тоже есть упоминание
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

65. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Аноним (??) on 26-Окт-11, 19:07 
> в новости об этом тоже есть упоминание

Да я как бы довожу этот факт до сведения некоторых "знатоков", потому что они-то новости наверняка не читали, дальше заголовка первых строчек. Но обсуждают, да.

Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

50. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Аноним (??) on 26-Окт-11, 17:59 
> Бред, у меня везде стоит ограничение на количество одновременных подключений на уровне
> файрволла. Превышающие тихо скатываются в список для блокировки.

А у вас случайно на уровне фаерволла не стоит лимит на количество MAIL FROM:<> по 25 порту? Повторюсь: НА УРОВНЕ ФАЕРВОЛЛА! Вот тут тоже самое на количество "рукопожатий". Короче, курите матчасть, что вам тут объяснять, распинаться, все равно нифига не поймете

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

57. "Представлен эксплойт, способный блокировать работу любого SS..."  +1 +/
Сообщение от Аноним (??) on 26-Окт-11, 18:17 
> А у вас случайно на уровне фаерволла не стоит лимит на количество
> MAIL FROM:<> по 25 порту? Повторюсь: НА УРОВНЕ ФАЕРВОЛЛА!

Если SMTP-сервер позволяет ограничить количество писем, передаваемых в рамках одного соединения - ничто не мешает использовать фаерволовские лимиты на количество подключений.

Аналогично и SSL, позволяет ограничить количество hahdshake/connection единицей.

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

77. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от terr0rist (ok) on 26-Окт-11, 20:55 
Угумс, а ещё фаервол - это и ограничитель (в рамках одного соединения) количества просмотренных веб-страниц, скачанных архивов или порнухи, ну и конечно, количества логинов в админку в HTTPS, не говоря уже о количестве выполненных команд в телнет и ссш.
Не путайте, уважаемый аноним, прикладной уровень, на котором работают почтовые и прочие сервера, с транспортным, на котором фаервол.
Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

94. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Аноним (??) on 27-Окт-11, 00:34 
> Угумс, а ещё фаервол - это и ограничитель (в рамках одного соединения)
> количества просмотренных веб-страниц, скачанных архивов или порнухи, ну и конечно, количества
> логинов в админку в HTTPS, не говоря уже о количестве выполненных
> команд в телнет и ссш.

Если код на уровне сервера позволяет жестко привязать эти действия к соединениям (для каждого действия требуется новое соединение), то пуркуа бы и не па?

Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

110. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Жорж on 27-Окт-11, 08:17 
Малаца!
Так и надо делать.
И тогда, все легитимные пользователи вашего сайта будут скачены в список для блокировки. Блестяще, эффект експлоета достигнут - сайт вроде работает, но зайти не возможно. Пару дней такого даунтайма и вы вылетаете с работы с формулировкой "профнепригоден".
Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

43. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Аноним (??) on 26-Окт-11, 17:41 
если у кого-то сервера в продакшн кластере можно положить такой фигней,
так им и надо, подобный эксплойт номер 1 в списке нефунциональной валидации безопасности.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

51. "Представлен эксплойт, способный блокировать работу любого SS..."  –1 +/
Сообщение от AHoH on 26-Окт-11, 18:01 
Тор, анонимные прокси и честные пользователи - мне одному кажется что здесь сокрыта какая_то неувязочка ;)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

123. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Аноним (??) on 27-Окт-11, 11:09 
> Тор, анонимные прокси и честные пользователи - мне одному кажется что здесь
> сокрыта какая_то неувязочка ;)

Тебе одному. В моей стране блокируются многие легитимные ресурсы инета, в том числе с техническими статьями. Как прикажешь мне, честному пользователю, на них попадать?

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

61. "Представлен эксплойт, способный блокировать работу любого SS..."  –1 +/
Сообщение от pavlinux (ok) on 26-Окт-11, 18:25 
# thc-ssl-dos 207.46.232.182 2222 --accept

SSL: error:12345FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol
#0: This does not look like SSL!

# ssh -V
OpenSSH_5.8p1, OpenSSL 1.0.0c 2 Dec 2010


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

112. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от mtr email on 27-Окт-11, 09:44 
Никогда не понимал людей публично демонстрирующих собственное невежество.

Да, ssh использует библиотеку openssl, но не использует протокол SSL/TLS.

Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

147. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от pavlinux (ok) on 28-Окт-11, 06:10 
Мне запрещено досить свой сервер?
Ответить | Правка | ^ к родителю #112 | Наверх | Cообщить модератору

152. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Аноним (??) on 28-Окт-11, 15:56 
> Мне запрещено досить свой сервер?

Нет, просто SSL != SSH, сплойт тебе честно сказал что порт куда ты сунулся - SSLем кажется не является. И походу он прав. В следующий раз попробуй закрутить гвоздь отверткой и расскажи что получилось. Будет примерно настолько же умно :)

Ответить | Правка | ^ к родителю #147 | Наверх | Cообщить модератору

68. "Представлен эксплойт, способный блокировать работу любого SS..."  +2 +/
Сообщение от Aleksey (??) on 26-Окт-11, 19:17 
Назвать новость стоило видимо "Хакерская группа увеличила мощность ботнетов по заваливанию сайтов в 15 раз"
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

69. "Представлен эксплойт, способный блокировать работу любого SS..."  –2 +/
Сообщение от pavlinux (ok) on 26-Окт-11, 19:21 
http://www.links.org/files/no-renegotiation-2.patch
http://svn.resiprocate.org/rep/ietf-drafts/ekr/tls-patch.diff


Вроде NGINX этим не болеет.
http://mailman.nginx.org/pipermail/nginx-ru/2009-November/02...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

133. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Fantomas (??) on 27-Окт-11, 14:17 
> Вроде NGINX этим не болеет.

Ага, вот почему у меня сервера на это не реагируют.
Хотел писать, что этот эксплоит не работает, а оказывается это все из-за того, что у меня везде НжинХ.

Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

134. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Fantomas (??) on 27-Окт-11, 14:20 
А почему тогда в заглавии написали, что он работу любого сервака блокирует?
Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

70. "Представлен эксплойт, способный блокировать работу любого SS..."  +4 +/
Сообщение от анон on 26-Окт-11, 19:34 
Мне одному показалось, что кто-то хочет массово продавать "коммерческий SSL Accelerator"?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

71. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от pavlinux (ok) on 26-Окт-11, 19:38 
> Мне одному показалось

да

---

Кстати, у меня дома валяется, купленный на Ебае за 35$  

BCM5820 - E-Commerce Processor

World’s fastest integrated security processor for E-commerce
SSL and VPN IKE applications. World’s fastest integrated
public-key setup processor includes:


• 1250 Diffie-Hellman key exchange pairs per second
• 800-bit RSA private key signings per second
• Hardware support for 2,048-bit keys
• Extensive support for all SSL, TLS, and IKE modes
• Incorporates all the functions of competitive board-level
solutions at a fraction of the cost
• 800 RSA transactions per second, 4x–5x the speed of
competitive boards
• Integrated chip can reduce price point of SSL accelerators
from thousands to hundreds of dollars
• Reduces delays associated with secure E-commerce
transactions
• Accelerates SSL protocol used in all web browsers
• Standard in Internet Explorer® and Netscape Navigator®
• Uses RSA encryption; compute-intensive operation
• 4x the SSL connections per second of software-based Web
servers
• Integrated symmetric cryptography processor
• Support for IPSec and SSL/TLS payload processing
• Single-pass IPSec encryption and authentication
• 310-Mbps IPSec (3DES + MD5/SHA1)
• 200-Mbps ARC4 processing
• Support for unlimited number of simultaneous sessions
• Full performance with a different session for each packet

---

Во, 5821 даже есть

http://www.ebay.com/itm/BROADCOM-BCM95821-SSL-TLS-Crypto-Acc...


или за 5$

http://www.ebay.com/itm/Rainbow-Technology-Crypto-107090-107...

А можно купить iPhone 4S, за 700$, и продолжать пускать говно на форумах :)

http://www.ebay.com/itm/Apple-iPhone-4S-Latest-Model-32GB-Bl...


Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

72. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Аноним (??) on 26-Окт-11, 19:39 
> Мне одному показалось, что кто-то хочет массово продавать "коммерческий SSL Accelerator"?

Вы так говорите, как будто это что-то плохое :)
У кого хватило глупости не отключить renegotiation, не забанить тор и не выставить лимит на коннекты - пусть страдают и платят денежку, се ля ви.

Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

75. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Аноним (??) on 26-Окт-11, 19:59 
> У кого хватило глупости не отключить renegotiation, не забанить тор и не
> выставить лимит на коннекты - пусть страдают и платят денежку, се
> ля ви.

Блин достали уже такие специалисты как вы, обвиняющих других в глупости, ни понимая элементарных вещей и в теме абсолютно не разбираясь. SSL-Renegotiation в Apache отключается _только_ через левый патч на код и после этого будут наблюдаться малопредсказуемые последствия в виде клиентов,  перестающих работать на ровном месте.

Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

76. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от pavlinux (ok) on 26-Окт-11, 20:05 
> SSL-Renegotiation в  Apache отключается _только_ через левый патч

Так не апачь надо патч, а OpenSSL


---

Кстати,

Waiting for script kiddies to piss off................
The force is with those who read the source...

Handshakes 0 [0.00 h/s], 1 Conn, 0 Err

ERROR: Target has disabled renegotiations.

Use your own skills to modify the source to test/attack
the target [hint: TCP reconnect for every handshake].


---
# uname
Linux 2.6.32-5-amd64 #1 SMP Tue Jun 14 09:42:28 UTC 2011

# cat /etc/debian_version
6.0.3

# apache2 -version

Server version: Apache/2.2.16 (Debian)
Server built:   Sep 29 2011 20:59:05


---


Ах да, все сервисы работающие через stunnel4 максимум на 20% грузят одно ядро.
множим на 5 и на 8 ядер, 40 абкуреных скрипт-кидди должно выдержать. :)

От серьёзного ДОСа помоему вааще нифига не спасает, кроме разноса служб
по облакам, серверам и регионам.

  

  

Ответить | Правка | ^ к родителю #75 | Наверх | Cообщить модератору

153. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Аноним (??) on 28-Окт-11, 16:13 
> Waiting for script kiddies to piss off................
> The force is with those who read the source...

Павлин, как ты мог? Там специально для скрипткиддей воткнут делэй рисующий точки, чтобы кидиссы лишний раз обтекли. А ты то как туда попал?! :))))

Ответить | Правка | ^ к родителю #76 | Наверх | Cообщить модератору

158. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от pavlinux (ok) on 28-Окт-11, 17:35 
>> Waiting for script kiddies to piss off................
>> The force is with those who read the source...
> Павлин, как ты мог?

Надо же проверить на чём народ катает.

Ответить | Правка | ^ к родителю #153 | Наверх | Cообщить модератору

95. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Аноним (??) on 27-Окт-11, 00:36 
> SSL-Renegotiation в Apache отключается _только_ через левый патч на код

Скажу по секрету: отключается это не в апаче, а глобально по системе, через ликвидацию бэкдора в OpenSSL.

> и после этого будут наблюдаться малопредсказуемые последствия в виде клиентов,  перестающих работать на ровном месте.

Пруф?

Ответить | Правка | ^ к родителю #75 | Наверх | Cообщить модератору

102. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от pavlinux (ok) on 27-Окт-11, 01:24 
Пруф - это RFC.
Ответить | Правка | ^ к родителю #95 | Наверх | Cообщить модератору

105. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Аноним (??) on 27-Окт-11, 01:38 
> Пруф - это RFC.

Пруф должен подтверждать. RFC не подтверждает.

Ответить | Правка | ^ к родителю #102 | Наверх | Cообщить модератору

119. "Представлен эксплойт, способный блокировать работу любого SS..."  +1 +/
Сообщение от Аноним (??) on 27-Окт-11, 10:32 
> Скажу по секрету: отключается это не в апаче, а глобально по системе,
> через ликвидацию бэкдора в OpenSSL.

Мда. Советую вам изучить логику согласования параметров SSL-линка, загрузив исходники Apache и вдумчиво поизучав содержимое ssl_engine_kernel.c.

Ответить | Правка | ^ к родителю #95 | Наверх | Cообщить модератору

148. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от pavlinux (ok) on 28-Окт-11, 06:11 
> Пруф?

http://www.stunnel.org/pipermail/stunnel-users/2010-November...

FYI I still have to run fully patched Apache with
"SSLInsecureRenegotiation on" due to MSIE still not supporting proper
optional client cert renegotiation. It's only *2 years* since the
vulnerability was discovered...

Ответить | Правка | ^ к родителю #95 | Наверх | Cообщить модератору

154. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Аноним (??) on 28-Окт-11, 16:17 
> через ликвидацию бэкдора в OpenSSL.

SSL вообще сплошной бекдор: любой CA может выписать сертификат на что угодно, в том числе и в пику другому CA. Чего ликвидировать предлагается?!

Ответить | Правка | ^ к родителю #95 | Наверх | Cообщить модератору

78. "Представлен эксплойт, способный блокировать работу любого SS..."  +2 +/
Сообщение от Александр email(??) on 26-Окт-11, 21:03 
попробовал на своих машинках, beam - 100% одного ядра процессора, при этом сервисы как работали, так и работают, apache/nginx - fail сразу (фэйл эксплоита имею ввиду), exim/dovecot фэйл сразу, тестировал то что по ссылке, сишный код, так что не парьтесь особо.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

84. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Анонимный аноним через tor on 26-Окт-11, 22:02 
спасибо. а можете проверить Lighttpd? спасибо
Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

87. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Александр email(??) on 26-Окт-11, 22:26 
lighttpd к сожалению не использую, так что не проверю, но думаю там тоже предусмотрена какаято проверка валидности запросов.
Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

92. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Анонимный аноним через tor on 27-Окт-11, 00:16 
нащёл вот ещё и такое обсуждение:

http://redmine.lighttpd.net/boards/2/topics/4780

Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

85. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Xaionaro (ok) on 26-Окт-11, 22:04 
> попробовал на своих машинках, beam - 100% одного ядра процессора, при этом
> сервисы как работали, так и работают, apache/nginx - fail сразу (фэйл
> эксплоита имею ввиду), exim/dovecot фэйл сразу, тестировал то что по ссылке,
> сишный код, так что не парьтесь особо.

Прошу простить мою безграмотность, я думал, проблема упирается в реализацию SSL, а не в реализацию сервиса её использующую.

Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

88. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от авыа on 26-Окт-11, 22:30 
а попробуйте законектиться по ssh )
Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

89. "Представлен эксплойт, способный блокировать работу любого SS..."  +1 +/
Сообщение от авыа on 26-Окт-11, 22:32 
во блин это про ssl )
Ответить | Правка | ^ к родителю #88 | Наверх | Cообщить модератору

101. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Анонимный аноним через tor on 27-Окт-11, 01:09 
надеюсь этот замечательный пример покажет что нЕфига делигировать на сервер кучу обязанностей по обработки соеденения :-)

...например если часть криптографических обязанностей переместить на клиентскую сторону, и при этом [предположим] клиент НЕ захочет КАЧЕСТВЕНО исполнять их -- то в результате кому от этого будет хуже(?)... самому клиенту! :-)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

103. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от pavlinux (ok) on 27-Окт-11, 01:26 
> кому от этого будет хуже(?)... самому клиенту! :-)

Клиент пойдёт и потратит своё бабло в другом месте, ибо монополий сейчас ой как мало.
Это Apple, Google, Маздай делают погоду, вот они могут забить на юзера, придумать свой
новый протокол и сделать его ISO/POSIX/ANSI


Ответить | Правка | ^ к родителю #101 | Наверх | Cообщить модератору

143. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Xasd (ok) on 27-Окт-11, 16:50 
> Клиент пойдёт и потратит своё бабло в другом месте...

"клиент" в данном случае это программы типа Firefox/Chromium/Vasya-Pupkin-SSL-Super-Utility/<...> ..

....чтобы вам было прощще понять -- можете представить фильм Трон (?).. так вот в этом фильме [как вы помните] -- программы особо не ходили никуда тратить бабло :-)

Ответить | Правка | ^ к родителю #103 | Наверх | Cообщить модератору

106. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Humka (??) on 27-Окт-11, 01:58 
Этому багу сто лет в обед. Он уже исправлен в nginx, по этому админы спите спокойно, а скрипт киддис перестаньте страдать фигней и идите спать.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

107. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Ромарио email on 27-Окт-11, 02:58 
Странно это все как-то как не пытался увалить свой Apache на CentOs етим експлоидом не вышло, и через баш создавал цикл с разными конектами - встретил файрвол и бинарик качал он ругнулся сразу на отсутствие negotiation... Типа пронесло или че? :D
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

109. "Представлен эксплойт, способный блокировать работу любого SS..."  –3 +/
Сообщение от Аноним (??) on 27-Окт-11, 07:43 
А я знаю еще один способ Dos'a, надо зажать кнопку F5. Думаю этот медтод не менее эффективный :D
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

111. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Feerik email(ok) on 27-Окт-11, 09:41 
Ну, как вариант, берем iptables и делаем так:

iptables -A INPUT -p tcp -i $INTERNET --dport 443 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p tcp -i $INTERNET --dport 443 -m conntrack --ctstate NEW -m limit --limit 32/sec --limit-burst 32 -j ACCEPT

Т.е. за одну секунду, через iptables пролезет не более 32 попыток установки новых соединений. Ну, если хотите, сделайте не более 150ти. Сомневаюсь, что у кого-то из сдесь присутствующих, за секунду подключается более 150 юзеров. Т.е. ноутбук, с тремя сотнями новых подключений идет лесом.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

114. "Представлен эксплойт, способный блокировать работу любого SS..."  +1 +/
Сообщение от mtr email on 27-Окт-11, 09:46 
> Ну, как вариант, берем iptables и делаем так:
> iptables -A INPUT -p tcp -i $INTERNET --dport 443 -m conntrack --ctstate
> ESTABLISHED,RELATED -j ACCEPT
> iptables -A INPUT -p tcp -i $INTERNET --dport 443 -m conntrack --ctstate
> NEW -m limit --limit 32/sec --limit-burst 32 -j ACCEPT
> Т.е. за одну секунду, через iptables пролезет не более 32 попыток установки
> новых соединений. Ну, если хотите, сделайте не более 150ти. Сомневаюсь, что
> у кого-то из сдесь присутствующих, за секунду подключается более 150 юзеров.
> Т.е. ноутбук, с тремя сотнями новых подключений идет лесом.

Еще один чукча-писатель вылез. Обсуждение новости таки прочитайте и больше так не делайте.

Ответить | Правка | ^ к родителю #111 | Наверх | Cообщить модератору

115. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Feerik email(ok) on 27-Окт-11, 09:59 
Почитал, живых примеров не увидел.

А теперь толстячок, скажи конкретно, что тебе в моем примере не понравилось и почему он может не сработать, или твои комментарии вообще ниачем.

Ответить | Правка | ^ к родителю #114 | Наверх | Cообщить модератору

116. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Аноним (??) on 27-Окт-11, 10:18 
Все просто. Если ты ограничиваешь подключения с одного ip, то, к твоему сведению, 1000 затрояненных ботов стоят 35$. А если ты ограничиваешь суммарно то лимит быстро исчерпается даже силами одного бота и дальше никто подсоединиться не сможет. Включая обычных пользователей.
Ответить | Правка | ^ к родителю #115 | Наверх | Cообщить модератору

120. "Представлен эксплойт, способный блокировать работу любого SS..."  –1 +/
Сообщение от Feerik email(ok) on 27-Окт-11, 10:34 
> Все просто. Если ты ограничиваешь подключения с одного ip, то, к твоему
> сведению, 1000 затрояненных ботов стоят 35$. А если ты ограничиваешь суммарно
> то лимит быстро исчерпается даже силами одного бота и дальше никто
> подсоединиться не сможет. Включая обычных пользователей.

По крайней мере сервер не задосят, что уже хорошо и уже собственно решение проблемы ддоса сервриса. Но да, встает другая проблема, если лимит соединений будет постоянно исчерпан, то никто нужный не подключиться..... а теперь посмотрим на новую проблему под другим углом - т.е. если досят сервис, досят намеренно, целенаправленно, и очень большим кол-вом машин, то обычно досят те сервисы, от которых и ожидают того, что сервисы помрут, и/или может еще и рута дадут. И в этот саый момент, когда ддос происходит, сервис обычно и так еле работает т.е. новый обычный пользователь один черт не сможет подключиться и сервисом пользоваться.

Я клоню к тому, что если сервис досят, неважно, получиться у них это или нет сервис в любом случае перегружается и начинает работать еле-еле, т.е. при ддосе, работа обычным пользователям как не крути а не светит. И тут у нас есть выбор - либо мы не фаерволимся, сервис досят - пользователь не работает, сервис умирает, либо мы фаерволимся, сервис досят, пользователь не работает, но сервис остается живой и сдоровый.

ИМХО, если мы не можем доса избежать, мы в первую очередь должны защитить сервис, а не возможность новых пользователей подключаться. Пока сервис досят, пользователь один фиг не сможет им нормально пользоваться.

Ответить | Правка | ^ к родителю #116 | Наверх | Cообщить модератору

132. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Michael Shigorin email(ok) on 27-Окт-11, 14:03 
> По крайней мере сервер не задосят, что уже хорошо и уже собственно
> решение проблемы ддоса сервриса.

Так уже надцать раз объяснили: проблема не в LA на сервере, а в конечном результате для искомого клиента.  Т.е. с таким же успехом можно выдернуть джек из eth0 и любоваться на top через eth1.

> либо мы фаерволимся, сервис досят, пользователь не работает,
> но сервис остается живой и сдоровый.

С точки зрения пользователя он совсем мёртвый при таком, т.е. цель DoS достигнута.

Ответить | Правка | ^ к родителю #120 | Наверх | Cообщить модератору

164. "Представлен эксплойт, способный блокировать работу..."  +/
Сообщение от arisu (ok) on 30-Окт-11, 13:04 
> ИМХО, если мы не можем доса избежать, мы в первую очередь должны
> защитить сервис, а не возможность новых пользователей подключаться.

есть мнение, что проще поставить сервер в сейф, предварительно выдернув сетевые кабеля. сервис будет надёжно защищён. а юзеры… да кого они интересуют? главное — сервис защищён!

понабижало админов локалхоста, блин…

Ответить | Правка | ^ к родителю #120 | Наверх | Cообщить модератору

121. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Аноним (??) on 27-Окт-11, 10:37 
> А теперь толстячок, скажи конкретно, что тебе в моем примере не понравилось
> и почему он может не сработать, или твои комментарии вообще ниачем.

SSL-handshake выполняется внутри уже установленного _одного_ соединения, т.е. новые соединения не создаются и conntrack отловит только один коннект.

Ответить | Правка | ^ к родителю #115 | Наверх | Cообщить модератору

125. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Feerik email(ok) on 27-Окт-11, 11:36 
>> А теперь толстячок, скажи конкретно, что тебе в моем примере не понравилось
>> и почему он может не сработать, или твои комментарии вообще ниачем.
> SSL-handshake выполняется внутри уже установленного _одного_ соединения, т.е. новые соединения
> не создаются и conntrack отловит только один коннект.

http://httpd.apache.org/docs/2.2/mod/mod_ssl.html

"SSLInsecureRenegotiation Directive

Description:    Option to enable support for insecure renegotiation
Syntax:    SSLInsecureRenegotiation flag
Default:    SSLInsecureRenegotiation off
Context:    server config, virtual host
Status:    Extension
Module:    mod_ssl

Compatibility:    Available in httpd 2.2.15 and later, if using OpenSSL 0.9.8m or later
As originally specified, all versions of the SSL and TLS protocols (up to and including TLS/1.2) were vulnerable to a Man-in-the-Middle attack (CVE-2009-3555) during a renegotiation. This vulnerability allowed an attacker to "prefix" a chosen plaintext to the HTTP request as seen by the web server. A protocol extension was developed which fixed this vulnerability if supported by both client and server.

If mod_ssl is linked against OpenSSL version 0.9.8m or later, by default renegotiation is only supported with clients supporting the new protocol extension. If this directive is enabled, renegotiation will be allowed with old (unpatched) clients, albeit insecurely."

Если мне не изменяет мой кривой английский, в SSL модуле апача 2.2, SSL-Renegotiation по дефолту выключен, так что не прокатит использовать тысячу подключений в одном. Я не прав?

Причем хочу заметить, а меня версия апача 2.2 под убунтой 10.04, не могу быть уверенным, но помоему у последнего стабильного дебиана, шестой шапки, у них у всех апач не ниже 2.2.

Выполняю команду:

# grep SSLInsecureRenegotiation /etc/apache2/mods-available/ssl.conf

в ответ получаю тишину, значит у меня задано дефолтное значение для SSL-Renegotiation, т.е. выключен. Если кто сомневается, может в ssl.conf своего апача прописать что-то вроде:

SSLInsecureRenegotiation off

Чтоб уж наверняк выключить, зафаерволиться и все наверно, нет?

Ответить | Правка | ^ к родителю #121 | Наверх | Cообщить модератору

126. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Аноним (??) on 27-Окт-11, 11:55 
> "SSLInsecureRenegotiation Directive

Эта настройка не отключает Renegotiation полностью, а лишь позволяет отключить внесенную в  2.2.15 защиту от совсем другого типа атак (Man-in-the-Middle), которая в некоторых ситуациях вызывает проблемы работы некоторых клиентов.

> If mod_ssl is linked against OpenSSL version 0.9.8m or later, by default renegotiation is only supported with clients supporting the new protocol extension.
> If this directive is enabled, renegotiation will be allowed with old (unpatched) clients, albeit insecurely."
> Если мне не изменяет мой кривой английский, в SSL модуле апача 2.2,
> SSL-Renegotiation по дефолту выключен, так что не прокатит использовать тысячу подключений
> в одном. Я не прав?

Не прав. Если клиент поддерживает новый протокол, а эксплоит выдаёт себя за такого, то и Renegotiation будет работать.

Ответить | Правка | ^ к родителю #125 | Наверх | Cообщить модератору

135. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Kodirr on 27-Окт-11, 14:24 
Поправьте меня, но разве нельзя ограничить "ресурсы" для каждого соединения простым выставлением приоритетов? Количеством соединений будет заведовать IPTables, а сам сервер ограничит аппетит потоков. Понятно, что это снизит отзывчивость системы, но это не смертельно - с нею всё ещё можно работать и заодно забанивать "эксплойт-аторов".
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

141. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Аноним (??) on 27-Окт-11, 16:42 
Все такие все специалисты, умные аж жуть. Забанят, они всех нападающих по IP.
А банить внешние IP провайдеров тоже будете? Если атакуют из Корбины/Билайна то, что сразу бан?
И через недельку ваш сайт будет открываться только у пользователей Урюпинск-телеком, не иначе.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

155. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Аноним (??) on 28-Окт-11, 16:27 
> А банить внешние IP провайдеров тоже будете? Если атакуют из Корбины/Билайна то,
> что сразу бан?

Точно, забанить нафиг все наты beeline, mts и megafon. А то их бандвиза тоже хватит чтобы поднасрать, особенно на 3G.

Ответить | Правка | ^ к родителю #141 | Наверх | Cообщить модератору

142. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Konwin email(ok) on 27-Окт-11, 16:42 
Я смотрю большинство отписавшихся не осилили прочитать новость. А новость вот в чём - в рамках ОДНОЙ TCP сессии можно завалить SSL сервер. И чем вам помогут лимиты, когда соединение будет ОДНО?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

144. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Аноним (??) on 27-Окт-11, 16:52 
Так ты и сам не дочитал.
Даже при отключенном SSL-Renegotiation при множителе x15 на ресурсы, получаем DoS атаку лучше чем SYN-флуд в разы. Экономятся деньги на ботов, плюс, в отличии, от флуда трудно отфильтровать.
Ответить | Правка | ^ к родителю #142 | Наверх | Cообщить модератору

145. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от GMS on 27-Окт-11, 19:46 
Ну, тут можно еще поковырять сами tcp пакеты на предмет большого количества SSL-Handshake (-m string). Я сам раньше думал, что парсинг содержимого пакетов убьёт канал, а намедни пришлось заюзать - падения производительности не заметил.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

149. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от coresh (ok) on 28-Окт-11, 12:14 
Лог результата работы эксплоита продолжительностью ~1-2 минуты с default Limit parallel connections=400 на lighttpd/1.4.29 (ssl):
Резюме: Сайт в течении теста работал, тормоза: незначительные
        Главное: Проц. грузился под 100%
        Далее тест не проводился


Waiting for script kiddies to piss off................
The force is with those who read the source...
Handshakes 0 [0.00 h/s], 1 Conn, 0 Err
Handshakes 61 [65.72 h/s], 400 Conn, 0 Err
Handshakes 242 [181.28 h/s], 400 Conn, 0 Err

...

Handshakes 40695 [252.11 h/s], 400 Conn, 0 Err
Handshakes 40963 [268.03 h/s], 400 Conn, 0 Err
Handshakes 41245 [282.17 h/s], 400 Conn, 0 Err


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

156. "Представлен эксплойт, способный блокировать работу любого SS..."  +2 +/
Сообщение от Аноним (??) on 28-Окт-11, 16:40 
> Waiting for script kiddies to piss off................

THC написал годный детектор скрипткиддисов :)))

Ответить | Правка | ^ к родителю #149 | Наверх | Cообщить модератору

159. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от Аноним (??) on 29-Окт-11, 12:53 
Ерунда.
Любой (почти) скрипт на сервере точно так же можно "задоссить" т.к. ресурсов он расходует больше чем установка коннекта. Это будет ддос атака не на канал сервера, не на сам веб сверве, а на скрипт который на нём работает.

Метод борьбы точно такой же - банить IP адреса. И успех в этой барьбе определяется скоростью с которой их банять (т.е. тем сколько запросов они сумеют совершить прежде чем они забанять)

Так что эффективность метода - это 5 ssl коннектов на IP. А теперь посчитайте сколько нужно IP чтобы вывести сервер на час.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

160. "Представлен эксплойт, способный блокировать работу любого SS..."  +/
Сообщение от XoRe (ok) on 29-Окт-11, 22:55 
> Метод борьбы точно такой же - банить IP адреса.

А ещё, на выбор:
- переписать проблемную часть.
- включить кеширование.
- добавить мощностей.

Банить, имхо, в последнюю очередь.

Ответить | Правка | ^ к родителю #159 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру