forum.opennet.ru

Составление сообщения

Исходное сообщение

"Блокирование попыток эксплуатации heartbeat-уязвимости в Ope..."
Отправлено pavlinux, 11-Апр-14 14:56

> ... аффтор правила подразумевал
Аффтор подразумевал, что коннект идёт на 443 порт и там кроме HTTPS ничего нет.
Вот тут кусок hex взят непосредственно их кода эксплойта.
iptables -I INPUT -p tcp -m string --algo kmp --hex-string '|18 03 02 00 03 01 40 00|' \
-j LOG --log-level debug --log-prefix "ScriptKiddy detected: "
18 - Heartbeat расширение
03 01 - TLS v1.0 (03 02 - TLS v1.1, 03 03 - TLS v1.2)
00 03 - длина заголовка (18,03,01)
01 - Heartbeat request (02 - ответ)
40 00 - размер (по стандарту - может быть не более 2^16 (0x4000))
Банить, кроме как Heartbeat request, не вижу смысла.
Лень смотреть, узнать бы в какой мин. версии TLS это поддерживается.
Ловить нужно вот такие байты (строки)
от 0x1803010003010000 до 0x1803010003014000 # TLS 1.0
от 0x1803020003010000 до 0x1803010003014000 # TLS 1.1
от 0x1803030003010000 до 0x1803010003014000 # TLS 1.2
Как это всунуть в u32 - лень думать :)

Или даже вот такой длины: 0x180301000301, ибо пофиг какой он там размер запросит.

Исходное сообщение
"Блокирование попыток эксплуатации heartbeat-уязвимости в Ope..." Отправлено pavlinux, 11-Апр-14 14:56
> ... аффтор правила подразумевал Аффтор подразумевал, что коннект идёт на 443 порт и там кроме HTTPS ничего нет. Вот тут кусок hex взят непосредственно их кода эксплойта. iptables -I INPUT -p tcp -m string --algo kmp --hex-string '\|18 03 02 00 03 01 40 00\|' \ -j LOG --log-level debug --log-prefix "ScriptKiddy detected: " 18 - Heartbeat расширение 03 01 - TLS v1.0 (03 02 - TLS v1.1, 03 03 - TLS v1.2) 00 03 - длина заголовка (18,03,01) 01 - Heartbeat request (02 - ответ) 40 00 - размер (по стандарту - может быть не более 2^16 (0x4000)) Банить, кроме как Heartbeat request, не вижу смысла. Лень смотреть, узнать бы в какой мин. версии TLS это поддерживается. Ловить нужно вот такие байты (строки) от 0x1803010003010000 до 0x1803010003014000 # TLS 1.0 от 0x1803020003010000 до 0x1803010003014000 # TLS 1.1 от 0x1803030003010000 до 0x1803010003014000 # TLS 1.2 Как это всунуть в u32 - лень думать :) Или даже вот такой длины: 0x180301000301, ибо пофиг какой он там размер запросит.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>> ... аффтор правила подразумевал > Аффтор подразумевал, что коннект идёт на 443 порт и там кроме HTTPS > ничего нет. > Вот тут кусок hex взят непосредственно их кода эксплойта. > iptables -I INPUT -p tcp -m string --algo kmp --hex-string '\|18 03 > 02 00 03 01 40 00\|' \ > > > -j LOG --log-level debug --log-prefix > "ScriptKiddy detected: " > 18 - Heartbeat расширение > 03 01 - TLS v1.0 (03 02 - TLS v1.1, 03 03 > - TLS v1.2) > 00 03 - длина заголовка (18,03,01) > 01 - Heartbeat request (02 - ответ) > 40 00 - размер (по стандарту - может быть не более 2^16 > (0x4000)) > Банить, кроме как Heartbeat request, не вижу смысла. > Лень смотреть, узнать бы в какой мин. версии TLS это поддерживается. > Ловить нужно вот такие байты (строки) > от 0x1803010003010000 до 0x1803010003014000 # TLS 1.0 > от 0x1803020003010000 до 0x1803010003014000 # TLS 1.1 > от 0x1803030003010000 до 0x1803010003014000 # TLS 1.2 > Как это всунуть в u32 - лень думать :) > Или даже вот такой длины: 0x180301000301, ибо пофиг какой он там размер > запросит.
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру