The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Проект TCP Stealth стал ответом на деятельность спецслужб по сканированию серверов

22.08.2014 13:36

Фонд свободного ПО сообщил о выявлении активности, связанной с проведением совместной операции спецслужб США, Канады, Великобритании, Австралии и Новой Зеландии по созданию полной базы всех серверов сети.

Операция проводится под именем HACIENDA и упоминается в ряде документов, раскрытых Эдвардом Сноуденом. Целью операции является проведение полного сканирования портов всех серверов в 27 странах и создание базы данных, отражающей такие параметры каждого сервера, как используемая операционная система и открытые сетевые порты. Используя данную базу спецслужбы смогут определить потенциально уязвимые системы для получения контроля над ними в случае проведения спецопераций. В процессе работы HACIENDA применяются перехваченные гражданские компьютеры, которые используются для получения вычислительных ресурсов или скрытия следов.

В ответ на выявление подобной активности, группа разработчиков свободного фреймворка для построения безопасных P2P-сетей GNUnet, разработала технологию скрытия предоставляемых сетевых сервисов, которая получила имя TCP Stealth. Рабочий прототип с реализацией TCP Stealth для клиентских и серверных соединений подготовлен в форме патча для ядра Linux (включается в приложении через опцию сетевого сокета TCP_STEALTH) и библиотеки libknockify, позволяющей обеспечить поддержку TCP Stealth в любом клиентском или серверном приложении без его пересборки (libknockify через LD_PRELOAD подменяет системные вызовы для установки соединения).

Метод TCP Stealth относится к категории "port knoсking", т.е. подразумевает открытие заданного сетевого порта только после прохождения скрытой аутентификации. В отличие от классических методов подобной аутентификации, таких как последовательное обращение к набору портов или отправка специально оформленного пакета, в TCP Stealth применяется штатный процесс установки TCP-соединения, с передачей признака через поле TCP SQN.

В частности, традиционный случайный номер последовательности TCP (TCP SQN) в первом пакете TCP SYN подменяется на специально сгенерированный маркер, который аутентифицирует запрос клиента. Генерация маркера осуществляется на основе заранее сгенерированного владельцем сервера ключа аутентификации (доступ к серверу могут получить только клиенты, знающие серверный ключ). Маркер генерируется как хэш на основе ключа и таких параметров, как IP-адрес и порт отправителя, что исключает определение ключа методом подбора.

Подобный подход позволяет организовать работу и при обращении через NAT, так как большинство реализаций NAT не меняют TCP SQN. TCP Stealth также может применяться для гарантирования целостности первого сегмента передаваемых данных, защищая данные от подмены в результате MITM-атак (для подтверждения целостности используется известный только серверу и клиенту ключ). В будущем TCP Stealth планируется интегрировать в GNUnet и организовать возможность запуска пиров в стелс-режиме, позволяющем скрыть для внешних наблюдателей факт запуска узла GNUnet. Ожидается, что интерес к обеспечению поддержки представленной техники также могут проявить такие проекты как Tor и OpenSSH.



  1. Главная ссылка к новости (http://www.fsf.org/blogs/commu...)
  2. OpenNews: Релиз GNUnet 0.10, фреймворка для построения безопасных P2P-сетей
  3. OpenNews: Выпущен GNUnet 0.9.0, фреймворк для построения безопасных P2P-сетей
  4. OpenNews: Проведено сканирование портов всех IPv4-адресов с использованием ботнета из маршрутизаторов
  5. OpenNews: Представлен ZMap, инструмент для глобального сканирования Сети
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: gnunet, nmap
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (122) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, A.Stahl (ok), 14:39, 22/08/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Разжуйте пожалуйста.
    Т.е. получается, что приконнектиться к какому-то порту возможно лишь после отсылки на какой-то другой порт специального пакета и получения ключа?
    Так?
     
     
  • 2.4, YetAnotherOnanym (ok), 14:44, 22/08/2014 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Насколько я понял - нет, клиент стукается напрямую к серверу, только в одном из полей TCP-заголовка должно быть не абы что, а только то, что должно быть.
     
     
  • 3.26, AAW (?), 15:44, 22/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Технология Port Knocking осуществляет последовательность попыток подключения к закрытым портам. Даже не смотря на то, что все порты закрыты, вы можете отследить все попытки подключения в лог-файлах файрвола. Сервер, чаще всего, никак не отвечает на эти подключения, но он считывает и обрабатывает их. Но если же серия подключений была заранее обозначена пользователем, то выполнится определенное действие.
     
     
  • 4.34, A.Stahl (ok), 16:30, 22/08/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Т.е. я в заголовок пакета пишу какой-то идентификатор, потом коннекчусь в 46, 38, 12 портам (которые мне не отвечают) и после этого могу с этим же идентификатором коннектится к 80му и он мне уже ответит. Так?
     
     
  • 5.35, lv7e (?), 16:34, 22/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Да.
     
  • 4.53, Аноним (-), 19:16, 22/08/2014 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Здесь не классический Port Knocking, а что-то близкое к нему. Ни на какие дополнительные порты стучать не надо. Подключаешься напрямую к нужному, но в поле номера пакета, где в первом пакете соединения обычно стоит случайное число, ставишь сгенерированный на основе твоего адреса и секретного ключа код авторизации.
     
     
  • 5.130, Michael Shigorin (ok), 13:18, 27/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Здесь не классический Port Knocking, а что-то близкое к нему.

    Вариант single packet authorization.

     
  • 2.66, Аноним (-), 21:46, 22/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Это одна из технологий, позволяющая тебе секьюрно заходить на свой сервачок. Вроде бы скрывает сам факт существования твоего сервера в сети, что довольно интересно.

    ПС:
    1) Сноуден уже больше года не приделах, но все еще его инфа считается актуальной. Спецслужбы могли ускорить проект и уже завершить сканирование, а он тут про старые планы вещает.
    2) Использование перехваченных пользовательских машин? Легальный ботнет?
    3) gnunet надо поковырять. Что-то про него не писали раньше (или давно) Все про торы всякие и i2p.

     
     
  • 3.84, Anonym2 (?), 08:19, 23/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > 1) Сноуден уже больше года не приделах, но все еще его инфа
    > считается актуальной. Спецслужбы могли ускорить проект и уже завершить сканирование, а
    > он тут про старые планы вещает.
    > 2) Использование перехваченных пользовательских машин? Легальный ботнет?

    :-) Но вот прошёл год...

     
  • 3.94, Аноним (-), 18:58, 23/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > 3) gnunet надо поковырять. Что-то про него не писали раньше (или давно)

    При том что его автор - специалист своего дела.

     
  • 2.91, Кевин (?), 12:47, 23/08/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    это как тайные стуки в дверь если три длинных вда коротких и один звонок, то всё ок. если нет, то никого нет дома.
     

  • 1.2, qqq (??), 14:41, 22/08/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    ...без таких людей жизнь была бы скучна... (c)
     
  • 1.3, Аноним (-), 14:41, 22/08/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А как клиенты будут подключаться к серверу, у которого 80 порт отвечает только после подобных манипуляций с портами?
     
     
  • 2.5, YetAnotherOnanym (ok), 14:51, 22/08/2014 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > А как клиенты будут подключаться к серверу, у которого 80 порт отвечает
    > только после подобных манипуляций с портами?

    Это не для публичных сервисов. На 80 порт могут коннектиться кто угодно, а на 22 - только админ, у которого на ноуте/рабстанции линух с поддержкой этой фичи. Всем остальным сервер просто не ответит, как будто на 22 порту ничего не слушает.

     
     
  • 3.67, Аноним (-), 21:49, 22/08/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Лично я не буду ставить ради закрытия и так безопасного ssh (который на другом порту и с прочими заморочками) всякие экспериментальные руткитоподобные либы, которые перехватывают вызовы ядра. Вот Линус посмотрит патчи хотябы ))


     
     
  • 4.113, Аноним (-), 22:31, 24/08/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ты так говоришь, как будто пришел суровый мужик с пистолетом, наставил пистолет на тебя и недвусмысленно потребовал использовать его патч.
     
  • 3.75, Аноним (-), 06:44, 23/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Это не для публичных сервисов. На 80 порт могут коннектиться кто угодно,

    Ну ты же понимаешь что роутеры по пути не обязаны быть дружественными. А половина из них может запросто отзеркалить траффик или выжимку кому-то еще.

     

  • 1.6, Dan Dare 3 (?), 14:52, 22/08/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –17 +/
    а не проще ли будет закрыть входящие icmp?
    deny icmp from any to any in icmptypes 8
    allow icmp from any to any out icmptypes 8
    allow icmp from any to any in icmptypes 0
     
     
  • 2.8, EuPhobos (ok), 14:56, 22/08/2014 [^] [^^] [^^^] [ответить]  
  • +17 +/
    > а не проще ли будет закрыть входящие icmp?
    > deny icmp from any to any in icmptypes 8
    > allow icmp from any to any out icmptypes 8
    > allow icmp from any to any in icmptypes 0

    Мда.. как всё печально..
    Для начала почитай для чего нужен icmp и о его полезностях в глобальной сети..

     
     
  • 3.9, Dan Dare 3 (?), 15:02, 22/08/2014 [^] [^^] [^^^] [ответить]  
  • –25 +/
    ты наверное умней, чем авторы книг по FreeBSD. данный пример есть почти в каждой книге по IPFW. а может ты чукча не читатель, а чукча писатель. я вижу ты даже не понимаешь, что означает данные цепочки правил.  
     
     
  • 4.11, annnonnn (?), 15:08, 22/08/2014 [^] [^^] [^^^] [ответить]  
  • +26 +/
    Копировать правила для фаервола из книг, не задумываясь что они делают - просто атас.
     
     
  • 5.12, Dan Dare 3 (?), 15:12, 22/08/2014 [^] [^^] [^^^] [ответить]  
  • –11 +/
    ты про меня "не задумываеца"? к твоему сведенью, в книгах эти цепочки правил подробно описаны. ты наверное книги не читаешь, советую хоть иногда читать
     
     
  • 6.13, Аноним (-), 15:14, 22/08/2014 [^] [^^] [^^^] [ответить]  
  • +11 +/
    Чувак, не позорься.
     
     
  • 7.57, Аноним (-), 19:26, 22/08/2014 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Чувак, не позорься.

    Так давно же сказали: "глядит в книгу, видит фигу".

     
  • 6.27, Slav (??), 15:48, 22/08/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Книжки читаешь! Это здорово! Токма когда читаешь, получше вникай в смысл темы или вопроса.
     
  • 6.131, Michael Shigorin (ok), 13:23, 27/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > ты наверное книги не читаешь

    Вы, наверное, не в курсе, что про таких умников с книгами наперевес думают грамотные и вменяемые сетевики: http://security.stackexchange.com/questions/22711/is-it-a-bad-idea-for-a-fire

    Как уже порекомендовали -- не позорьтесь.  Если вдруг дойдёт, могу грохнуть ветку от #6 по доброте душевной.

     
     
  • 7.136, Andrey Mitrofanov (?), 14:12, 27/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Как уже порекомендовали -- не позорьтесь.  Если вдруг дойдёт, могу грохнуть
    > ветку от #6 по доброте душевной.

    Посмотри ещё раз на #6 в свете --

    0 - Echo Reply (ping response)
    8 - Echo Request (ping request)

    Там не закрытие "всего-всего icmp", а всего-навсего закрытие вх._пингов_.

    Да, конечно, оно никакого отношения [к "не проще ли"] к inband one packet pre-auth не имеет. Но не имеет оно никакого отношения и к "поломеке всего-всего интернета" [к "что профессионалы думают"].

     
  • 5.20, Аноним (-), 15:25, 22/08/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Копировать правила для фаервола из книг, не задумываясь что они делают -
    > просто атас.

    Стандартный бсдшник. Nobrainer в чистом виде.

     
     
  • 6.30, t28 (?), 15:51, 22/08/2014 [^] [^^] [^^^] [ответить]  
  • –3 +/
    > Стандартный бсдшник. Nobrainer в чистом виде.

    Наоборот. Какой-то нестандартный. Наверное, линуксоид.

     
     
  • 7.54, Аноним (-), 19:22, 22/08/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Наоборот. Какой-то нестандартный.

    Да как же нестандартный? Хорошо вписывается в общую картину всяких тигаров, изенов и нагуалов у которых гонора много а знаний мало.

    > Наверное, линуксоид.

    В линуксе не пользуются ipfw. А так все хорошо, прекрасная маркиза.

     
  • 5.40, anonymous (??), 17:14, 22/08/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Копировать правила для фаервола из книг, не задумываясь что они делают -
    > просто атас.

    Так много где делают, на самом деле. Не только в случае фаерволлов. Делают, не зная, что вообще, собственно, делают.

     
     
  • 6.55, Аноним (-), 19:23, 22/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Делают, не зная, что вообще, собственно, делают.

    Перепись дрессированных обезьян на опеннете :).

     
     
  • 7.60, arisu (ok), 19:50, 22/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> Делают, не зная, что вообще, собственно, делают.
    > Перепись дрессированных обезьян на опеннете :).

    таки да, и не только эта ветка. читаю и наслаждаюсь. даже отвечать никому не хочется: они идеально прекрасны в своей незамутнённости.

     
     
  • 8.76, Аноним (-), 06:50, 23/08/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не в обиду фрибсдшниками, я по дефолту навешиваю на фрибсдшников лэйбл тyпой но... текст свёрнут, показать
     
     
  • 9.80, arisu (ok), 06:59, 23/08/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    bsd-шники-то тут при чём они себе спокойно пилят и или используют свою систему ... текст свёрнут, показать
     
     
  • 10.95, Аноним (-), 19:12, 23/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Да кто как Вон Kibab какой-нибудь с пеной у рта доказывал как рулит бзда и ее л... текст свёрнут, показать
     
     
  • 11.108, Гость (??), 14:54, 24/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Статистику в студию ... текст свёрнут, показать
     
     
  • 12.114, Аноним (-), 23:31, 24/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Так мы как раз в студии Поклацать по профайлам - много ума не надо А метрики в... текст свёрнут, показать
     
  • 11.132, Michael Shigorin (ok), 13:25, 27/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Он как раз вменяемый и дело делает Пользуясь случаем, также передаю привет Чеу... текст свёрнут, показать
     
  • 5.43, sorrymak (ok), 17:17, 22/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Всегда так делаю.
     
  • 4.68, Аноним (-), 21:53, 22/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > ты наверное умней, чем авторы книг по FreeBSD. данный пример есть почти
    > в каждой книге по IPFW. а может ты чукча не читатель,
    > а чукча писатель. я вижу ты даже не понимаешь, что означает
    > данные цепочки правил.

    Книги устаревают еще до поступления на прилавок. Угрозы развиваются стремительно, и эти правила уже не актуальны, если говорить об угрозе из этой новости.

     
  • 4.105, Hammer (ok), 08:08, 24/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    А почему Вы думаете, что автор поста не может быть умней авторов книги по FreeBSD
     
  • 2.14, Аноним (-), 15:15, 22/08/2014 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Как поможет запрет ICMP если при переборе всех ip-адресов диапаозонов будет производиться попытка подключения к портам по протоколу TCP (в начале по самым распространенным, затем по всем)?
     
     
  • 3.16, Dan Dare 3 (?), 15:23, 22/08/2014 [^] [^^] [^^^] [ответить]  
  • –8 +/
    курим матчасть стека протоколов tcp/ip
     
     
  • 4.19, Аноним (-), 15:24, 22/08/2014 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > курим матчасть стека протоколов tcp/ip

    И узнаем что TCP - отдельный протокол и icmp ему никуда не вперся. Поэтому если некто простым перебором адресов придет на TCP порт - а ему какое дело до участи icmp на вашей машине вообще???

     
  • 4.21, Аноним (-), 15:26, 22/08/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > курим матчасть стека протоколов tcp/ip

    Предлагаю тебе покурить самому и еще прочитать как устанавливается соединение по TCP/IP и увидеть, что ICMP не используется никак.

     
     
  • 5.28, продавец_кирпичей (?), 15:49, 22/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> курим матчасть стека протоколов tcp/ip
    > Предлагаю тебе покурить самому и еще прочитать как устанавливается соединение по TCP/IP
    > и увидеть, что ICMP не используется никак.

    Да, это так. Но есть ньюанс ;)

     
     
  • 6.69, Аноним (-), 21:56, 22/08/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/

    > Да, это так. Но есть ньюанс ;)

    Нюанс в том, что сканировать все порты всех айпишников в интернетах силенок не хватит, но если задействовать все вин машины...

     
     
  • 7.78, Аноним (-), 06:54, 23/08/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Нюанс в том, что сканировать все порты всех айпишников в интернетах силенок
    > не хватит, но если задействовать все вин машины...

    Zmap-у это расскажите, который за считанные часы перебирает на гигабитном канале весь интернет.

     
  • 2.17, Аноним (-), 15:23, 22/08/2014 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > а не проще ли будет закрыть входящие icmp?

    Не мешает сканированию TCP, вообще-то, гражданин кулсисоп.

     
  • 2.18, Аноним (-), 15:24, 22/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > а не проще ли будет закрыть входящие icmp?
    > deny icmp from any to any in icmptypes 8
    > allow icmp from any to any out icmptypes 8
    > allow icmp from any to any in icmptypes 0

    Типа этого
    nmap -Pn  -PS22-25,80,113,1050 -oG logs/scan.gnmap -n xxx.xxx.xxx.xxx/20


     
  • 2.37, Нанобот (ok), 16:35, 22/08/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > а не проще ли будет закрыть входящие icmp?
    > deny icmp from any to any in icmptypes 8
    > allow icmp from any to any out icmptypes 8
    > allow icmp from any to any in icmptypes 0

    это такой вброс???

     
     
     
    Часть нити удалена модератором

  • 4.98, Аноним (-), 19:26, 23/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > У тебя достаточно было бы закрыть исходящие ICMP, если бы целевую ОСь
    > определяли по отсылаемым целевым ядром ICMP сообщениям,

    Да что вы к этому ICMP привязались, о бсдшные ламерюги? В новости про icmp вообще ни звука.

     
     
  • 5.102, metallica (ok), 21:53, 23/08/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Смотри, линуксовый специоламерист Техника определeния ОСи на удалённом хосте мо... текст свёрнут, показать
     
     
  • 6.106, anonymous (??), 09:37, 24/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >            
    >            
    >   goto out_rcu_unlock;
    >            
    >      /* Send an ICMP "Fragment Reassembly
    > Timeout" message. */
    >            
    >      icmp_send(head, ICMP_TIME_EXCEEDED, ICMP_EXC_FRAGTIME, 0);
    >  out_rcu_unlock:
    > [/code]

    Тут большая часть кода вообще не к месту, а то, что более-менее к месту - отключается через sysctl, и даже файрволл трогать не надо. И вообще будет действовать в "сильно некоторых" случаях.

     
     
  • 7.109, metallica (ok), 16:48, 24/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Тут большая часть кода вообще не к месту, а то, что более-менее
    > к месту - отключается через sysctl, и даже файрволл трогать не
    > надо. И вообще будет действовать в "сильно некоторых" случаях.

    Его привёл как пример того, как ICMP может включаться при TCP/IP
    взаимодествиях. Его не надо отключать через sysctl, достаточно
    формировать корректные заголовки, что в некоторых техниках
    определения удалённой ОС, заведомо не производится. И, наконец, про sysctl,
    скажите, как таким образом отключить, например, тот icmp_send, что в ip_local_deliver_finish,
    ну так, чтоб при некорректном значении поля protocol в IP заголовке, icmp_send
    не срабатывал?


     
     
  • 8.116, Аноним (-), 00:17, 25/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    ICMP может включаться при сетевых взаимодействиях Но как раз из-за всяких удодо... текст свёрнут, показать
     
  • 6.115, Аноним (-), 23:50, 24/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Может, но это далеко не единственный метод А у половины кулсисопов к тому же на... текст свёрнут, показать
     
  • 2.111, Dan Dare 3 (?), 20:21, 24/08/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    я вот никак не пойму, почему никто не обсудил данные 3 строчки файрвола:
    >deny icmp from any to any in icmptypes 8
    >allow icmp from any to any out icmptypes 8
    >allow icmp from any to any in icmptypes 0

    смысл их в том, что они запрещают пинговать меня(8й флаг протокола ICMP), для удаленной машины моя отключена, а я могу пинговать

     
     
  • 3.123, Аноним (-), 03:47, 25/08/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > смысл их в том, что они запрещают пинговать меня(8й флаг протокола ICMP),
    > для удаленной машины моя отключена, а я могу пинговать

    Ну все, после этого ты крутой бсдшный хакир, не меньше. Правда, сканеры типа zmap вообще класть хотели на возможность тебя пинговать, они порты сканируют рассылая SYN, на который ты или уж ответишь, или уж не сможешь клиентов обслуживать.

     
     
  • 4.125, Dan Dare 3 (?), 08:28, 25/08/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    называться хакером мне совершенно не льстит. это детям нравится, чтобы повыпендриваться
     
     
  • 5.126, arisu (ok), 08:52, 25/08/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    как ты ненавязчиво поставил себя выше огромного количества людей в MIT. действительно, дети какие-то, не то, что серьёзный ты. ну и что, что ты дурак? зато серьёзный.
     
     
  • 6.129, Mike (??), 18:39, 25/08/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    он у мамы дурачок
     
  • 3.133, Michael Shigorin (ok), 13:31, 27/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > я вот никак не пойму, почему никто не обсудил данные 3 строчки файрвола:

    Это потому, что Вы научились читать с бумажки "2*2 = 4", а люди интересуются, в какой системе счисления работаем.  Но ламерьё вместо того, чтоб заткнуться и пойти в читалку, продолжает выпендриваться -- агрессию пришлось почистить.

    Учитесь слушать других, ощущение собственной крутости ещё никому на пользу не пошло, насколько могу судить.

     

  • 1.7, EuPhobos (ok), 14:55, 22/08/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Почему бы просто не создать какой ни будь сервис или демон на отдельно стоящем сервере в компании, и перенаправлять туда всё что не касается сканируемых серверов компании, а этот сервис/демон пусть отвечает как нам надо на все запросы/сканы спец.служб.

    Напрмиер:
    Сканируют 80-ый порт, которого нет на сервере, но спецслужбам идёт ответ что там установлен ISS какой ни будь старой версии.
    Сканируют 445 на сервере, идёт ответ что там винда XP с сервис паком 1
    И т.д. по всем более менее важным портам.

    Таким образом засрать базу данных этих самых спец.служб так, что они потом не разберутся, где и у кого реально есть уязвимости.

    А то как-то усложняют себе жизнь этим TCP Stealth ..

     
     
  • 2.23, Аноним (-), 15:37, 22/08/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Это называется Honeypot.

     
  • 2.24, Случайный гость (?), 15:41, 22/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    http://ru.wikipedia.org/wiki/Honeypot
     
     
  • 3.52, Ник (??), 18:44, 22/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    это не совсем ханипот. Цель ханипота - разместить заведомо уязвимую версию ПО и максимально залогировать действия злоумышленника на сервере, а тут предлагают подмену стандартного баннера. Допустим у нас на 21 порту будет баннер телнета, а на самом деле будет ссш. В принципе, баннеры для многих сервисов скрываются/подменяются либо через обычные конфиги, либо через замену строк до сборки пакета.
     
     
  • 4.70, Аноним (-), 22:00, 22/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Вот удобной подмены баннеров действительно нехватает. Пересобирать ссш и обновлять вручную влом.
    И держать для этого какую-то другую систему не обязательно. Только ресурсы зря будут тратиться на ответы всяким ботам.


     
  • 4.90, Аноним (-), 09:36, 23/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Тут предлагают некий deceiverd, который будет принимать соединения на всех интересных портах и выдавать на них интересные баннеры (возможно, даже произвольно выбранные из пула), но сам при этом никаких сервисов предоставлять не будет. Или будет предоставлять минимальные, типа отдачи пустого index.html, открытия и мгновенного закрытия соединения по telnet, и т.д.
     
     
  • 5.119, Аноним (-), 00:59, 25/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Тут предлагают некий deceiverd, который будет принимать соединения на всех интересных портах
    > и выдавать на них интересные баннеры (возможно, даже произвольно выбранные из
    > пула), но сам при этом никаких сервисов предоставлять не будет. Или
    > будет предоставлять минимальные, типа отдачи пустого index.html, открытия и мгновенного
    > закрытия соединения по telnet, и т.д.

    Ачо, tcpwrappers уже отменили? И в портах нету? И в ебилдах?

     
     
  • 6.127, Аноним (-), 09:12, 25/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Ну покажи инсталляцию tcpwrappers на любом произвольном сервере, которая делает ровно это.
     
  • 2.29, _KUL (ok), 15:49, 22/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Смотрим на ripe.net диапазоны спецслужб и блочим их. Есть же геоайпи, так нужно спецслцужбыайпи сделать :)
     
     
  • 3.33, Аноним (-), 16:15, 22/08/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Слишком просто. Думаете, вы умнее спецслужб, и те не подумали про диапазоны?

    В новости даже написано:

    > В процессе работы HACIEND применяются перехваченные гражданские компьютеры, которые используются для получения вычислительных ресурсов или скрытия следов.

     
     
  • 4.41, anonymous (??), 17:15, 22/08/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Слишком просто. Думаете, вы умнее спецслужб, и те не подумали про диапазоны?
    > В новости даже написано:
    >> В процессе работы HACIEND применяются перехваченные гражданские компьютеры, которые используются для получения вычислительных ресурсов или скрытия следов.

    Добавлю ключевые слова для поиска: landmark, orb, olympia, hacienda.

     
  • 4.58, Аноним (-), 19:32, 22/08/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> В процессе работы HACIEND применяются перехваченные гражданские компьютеры,
    >> которыеиспользуются для получения вычислительных ресурсов или скрытия следов.

    Ну то-есть чуваки внаглую отбабахали (или отжали) ботнет, промышляют сканами, а поскольку у них крыша - то как бы даже все шито-крыто :). Что там следующее? Ждем когда они начнут на заказ ддосы производить? :)

     
     
  • 5.61, arisu (ok), 19:53, 22/08/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Что там следующее? Ждем когда они начнут на заказ ддосы производить?

    если ты думаешь, что нет…

     
     
  • 6.74, Аноним (-), 06:41, 23/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > если ты думаешь, что нет…

    Так я и спрашиваю - когда уже начнут тарифы в открытую вывешивать ;).

     
     
  • 7.81, arisu (ok), 07:00, 23/08/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> если ты думаешь, что нет…
    > Так я и спрашиваю - когда уже начнут тарифы в открытую вывешивать

    это невыгодно: снижает возможность дифферинцирования цен. ну, в плане: «а почему Васе за десять долларов, а мне за триста?!»

     
     
  • 8.99, Аноним (-), 19:27, 23/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Хм, действительно ... текст свёрнут, показать
     
  • 5.134, Michael Shigorin (ok), 13:33, 27/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Что там следующее? Ждем когда они начнут на заказ ддосы производить? :)

    Штукснет уже дождались.

     
  • 2.31, Andrey (??), 15:58, 22/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Политика агронома из анекдота "нехай этот суслик подавится"? Уверяю вас это порочная практика, особенно если для этой "дыры" есть хоть один хост в сети, который будет доверять на каком-то уровне.
     
  • 2.124, Аноним (-), 03:50, 25/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Почему бы просто не создать какой ни будь сервис или демон на
    > отдельно стоящем сервере в компании, и перенаправлять туда всё

    Поздравляю, вы только что изобрели DMZ :).

     

  • 1.10, Нанобот (ok), 15:06, 22/08/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а если бы использовали TCP_MD5SIG, можно было бы добиться аналогичного результата без необходимости патчить йадро
     
     
  • 2.49, pavlinux (ok), 18:16, 22/08/2014 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Чукча не читатель, чукча песатель?

    https://gnunet.org/sites/default/files/tcp_stealth_3.16_1.diff
    [code]
    +#ifdef CONFIG_TCP_STEALTH
    +u32 tcp_stealth_sequence_number(struct sock *sk, __be32 *daddr,
    + u32 daddr_size, __be16 dport)
    +{
    + struct tcp_sock *tp = tcp_sk(sk);
    + struct tcp_md5sig_key *md5;
    +
    + __u32 sec[MD5_MESSAGE_BYTES / sizeof(__u32)];
    + __u32 i;
    + __u32 tsval = 0;
    +
    + __be32 iv[MD5_DIGEST_WORDS] = { 0 };
    + __be32 isn;
    +
    + memcpy(iv, (const __u8 *)daddr,
    +        (daddr_size > sizeof(iv)) ? sizeof(iv) : daddr_size);
    +
    +#ifdef CONFIG_TCP_MD5SIG
    + md5 = tp->af_specific->md5_lookup(sk, sk);
    +#else
    + md5 = NULL;
    +#endif
    ...
    [/code]

     
     
  • 3.104, pavlinux (ok), 01:48, 24/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    То есть никто не заметил, что посаны массив iv - обнуляют, а на sec - забили... текст свёрнут, показать
     

  • 1.15, Аноним (-), 15:20, 22/08/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    На секундочку, в 2014 году любой овощ может запустить zmap на серваке с гигабитным каналом и через менее чем сутки получить исчерпывающий список машин с интересовавшим портом. Лобовым перебором IPv4. Целиком.
     
     
  • 2.22, Аноним (-), 15:32, 22/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Портов 65535, если что. 65535 суток - это как бы дофига.
     
     
  • 3.25, Случайный гость (?), 15:43, 22/08/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Портов 65535, если что. 65535 суток - это как бы дофига.

    А нелюбой овощ может запустить 65535 zmap-ов на 65535 машинах.

     
     
  • 4.50, pavlinux (ok), 18:18, 22/08/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Портов 65535, если что. 65535 суток - это как бы дофига.
    > А нелюбой овощ может запустить 65535 zmap-ов на 65535 машинах.

    В новости написано же - ботнеты АНБ юзает.

     
  • 3.59, Аноним (-), 19:35, 22/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Портов 65535, если что. 65535 суток - это как бы дофига.

    Во первых там несколько часов. Во вторых, можно взять скажем тысячу компьютеров. Несколько часов * 65 - через менее чем месяц у вас будет исчерпывающий скан интернета.

    Впрочем, в основном интересуют стандартные сервера на стандартных портах. Разбираться что там за нестандартный кастом на энном порту - много времени надо.

     

  • 1.32, Аноним (-), 16:07, 22/08/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Спецслужбы выявляют как раз уязвимый, годами непропатченный софт. А не любителей собирать ядро с новомодными фичами для безопасности.
     
     
  • 2.36, Нанобот (ok), 16:34, 22/08/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    данный софт расчитан на любителей поистерить на тему "мы все под колпаком", спецслужбы тут вообще никоим боком
     

  • 1.38, Аноним (-), 16:44, 22/08/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > В процессе работы HACIEND применяются перехваченные гражданские компьютеры, которые используются для получения вычислительных ресурсов или скрытия следов.

    Т.е. спецслужбы занимаются кибер-терроризмом?

     
     
  • 2.42, anonymous (??), 17:16, 22/08/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >> В процессе работы HACIEND применяются перехваченные гражданские компьютеры, которые используются для получения вычислительных ресурсов или скрытия следов.
    > Т.е. спецслужбы занимаются кибер-терроризмом?

    Неожиданно, правда?
    Смешней всего, когда похекают именно твой комп и именно тебе дадут по голове за то, что ты не делал.

     
  • 2.44, sorrymak (ok), 17:18, 22/08/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Уже давным-давно.
     
  • 2.62, arisu (ok), 19:54, 22/08/2014 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Т.е. спецслужбы занимаются кибер-терроризмом?

    для тебя это новость?

     
  • 2.73, Аноним (-), 06:40, 23/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Т.е. спецслужбы занимаются кибер-терроризмом?

    Как известно, хуже террористов только борцы с терроризмом...

     
     
  • 3.83, arisu (ok), 07:04, 23/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Как известно, хуже террористов только борцы с терроризмом...

    угу. «для борьбы с терроризмом годятся *любые* методы!»

     

  • 1.39, дл (?), 16:50, 22/08/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    SQN 32 бита, коллизий не боятся?
     
     
  • 2.46, Аноним (-), 17:30, 22/08/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В передаваемом хэше учитывается IP, порт отправителя и timestamp, поэтому коллизии очень легко отметаются.
     

  • 1.45, Аноним (-), 17:29, 22/08/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    про port knocking (стук в порты) здесь http://www.ibm.com/developerworks/ru/library/au-sshlocks/index.html достаточно подробно
     
  • 1.47, Аноним (-), 18:02, 22/08/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    -A INPUT -p tcp -m tcp -j TARPIT ?
     
     
  • 2.51, pavlinux (ok), 18:19, 22/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > -A INPUT -p tcp -m tcp -j TARPIT ?

    Своим тоже?

     
     
  • 3.79, Аноним (-), 06:55, 23/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Своим тоже?

    Ну, прикинь как прикольно. Идешь на сервак по ssh. А там - обана, tarpit. Не рой другому яму! :)))

     

  • 1.48, вои и аноним подкрался (?), 18:06, 22/08/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а не проще держать порты закрытыми на системе. если сервак публичный ничего не попишешь, но если он внутренний то в чем проблема. определил список имеющих разрешение на подключение и все. а за публиным следить особо просто. чтоб дыры вовремя патчить и все. на крайняк выставить ответный скан на незаконных подключенцев))) если возникнут проблемы с законом из-за них выдать логи спецам пусть смотрят кто накуролесил через ваш сервак. в мандриве была такая фишка открывать ответный скан на запрещенные подключения.
     
     
  • 2.63, arisu (ok), 19:55, 22/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    как хорошо, что тебе доверяют только кофе разносить.
     
     
  • 3.64, Аноним (-), 20:57, 22/08/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Причем походу - только холодный :)
     
  • 3.72, вои и аноним подкрался (?), 23:44, 22/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    так я и не хвастаюсь что админ или программер. я чисто любопытный линуксоид так сказать. нет если будет интересно могу конечно и в коде покопаться, но я не профи . поэтому и не лезу ссоветами. просто предложил. кстати была тут программка похожая, которая позволяла подключаться похожим образом. типа постучался в порт особым образом и соединение есть. вот только не помню название. я например дома просто закрываю все порты в системе для подключения из вне и остается только доступ в сеть изнутри. но прекрасно понимаю что это не подходит для публичных серверов.
     
     
  • 4.82, arisu (ok), 07:02, 23/08/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > поэтому и не лезу ссоветами.
    > просто предложил.

    эти два предложения противоречат друг другу.

    скажи, хирургу ты тоже будешь «просто предлагать», как лучше операции делать? нет? а зачем ты тогда лезешь со своими «предложениями» в другие области, где точно так же ничего не понимаешь?

     
     
  • 5.88, вот такой вот аноним (?), 09:18, 23/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    я говорил что совсем ничего не понимаю? понимаю, но не считаю свое мнение окончательным. я ведь хоть не профи админ или программист, но все же далеко не рядовой пользователь. не стоит ставить свою точку зрения окончательной.
     
     
  • 6.89, arisu (ok), 09:25, 23/08/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > я говорил что совсем ничего не понимаю?

    ты это написал. прямо в #48. яснее некуда.

     
  • 2.135, Michael Shigorin (ok), 13:41, 27/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > а не проще держать порты закрытыми на системе.

    Не проще, когда требуется разрешить противоречие вида "сервис должен быть доступен своим, но сервис должен быть недоступен чужим" или "сервис должен быть доступен своим, но их IP-адреса заранее неизвестны".  Вариантов решения последней задачи знаю два -- VPN и port knocking.

    Когда не знаете точно, но что-либо удивило -- лучше не писать много текста, а кратенько спросить; в данном случае достаточно было первого предложения с вопросительным знаком в конце, чтоб даже от хмурого arisu получить скорее ответ, чем наезд. :)

     

  • 1.85, Адекват (ok), 08:48, 23/08/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Мне кажется это очень изящный способ выстрелить себе в ногу, результатом которого будет то, что вы сами не сможете подключиться на свой сервер, который находиться в другом часовом поясе например.
    Не вижу ничего страшного в том, чтобы открыто светить свой ssh-порт хоть на 22, хоть на 22222 порту.
    Кроме того, порты задумывались как штука, к которой смогут подключиться все кто захочет, а для всех остальных есть всякие ВПН, ключи и сертификаты.
     
     
  • 2.100, Аноним (-), 19:35, 23/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Не вижу ничего страшного в том, чтобы открыто светить свой ssh-порт хоть
    > на 22, хоть на 22222 порту.

    Кроме того что на него прется легион ботов которые неиллюзорно грузят машину при многопоточных сканах и загаживают логи.

    > Кроме того, порты задумывались как штука, к которой смогут подключиться все кто захочет,

    И зачем мне "все кто захочет" на интерфейсе управления МОИМ сервером, например?


     
     
  • 3.103, chinarulezzz (ok), 00:06, 24/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >И зачем мне "все кто захочет" на интерфейсе управления МОИМ сервером, например?

    фу, эгоист :D

     
     
  • 4.117, Аноним (-), 00:18, 25/08/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > фу, эгоист :D

    Не будь эгоистом - расшарь свой сервак. Просим, просим :)

     

  • 1.101, lucentcode (ok), 20:43, 23/08/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Идея годная, посмотрим на реализацию.
     
     
  • 2.107, Аноним (-), 13:34, 24/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    pavlinux выше уже посмотрел.
     
     
  • 3.110, pavlinux (ok), 18:18, 24/08/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Реализация вроде правильная, всё по феншую, по API.
    Но поверхностный просмотр кода оставляет впечатление, что написано по заказу,
    либо посаны для себя бэкдор оставили (либо просто чайники и этого не видят). :)
     
     
  • 4.128, Аноним (-), 18:31, 25/08/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Павлин, ну смени ты уже ник на д'Артаньян.
     

  • 1.137, Аноним (-), 08:57, 31/05/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ребята мне очень страшно помогите!!!!!
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру