Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
|
чтобы я сделал будь я автором почтового сервера... 04.01.04 09:03 Число просмотров: 1378
Автор: Killer{R} <Dmitry> Статус: Elderman
Отредактировано 04.01.04 09:22 Количество правок: 1
|
|
Вернее я эту фишку уже применял на практике в совершенно другой проге в которой есть авторизация. Храним для аккаунта время последней попытки коннекта. И после например 5й или 10й неудачной попытки блокируем аккаунт. Но не так как это делается обычно - задержкой процедуры авторизации (Кстати задержка тоже присутствует - n*500 мсекунд, где n - номер неудачной попытки начиная с нуля), а хитрее - даже в случае удачной авторизации после большого количесва ошибочных клиенту выдается что авторизация обломалась. Если же удачная попытка последовала через большой интервал времени (выбирается рандомом при включении режима ложного отлупа) после неудачных то счетчик сбрасывается и авторизация проходит успешно. На практике юзер если всетаки умудрится ошибится 10 раз и потом всетаки введет верный пароль то получит отлуп. Почешет репу, заглянет в блокнотик и попробует еще раз - и зайдет. Имхо нормальная цена за безопасность.
|
|
<sysadmin>
|
Всё так страшно - II 04.01.04 06:11
Автор: void <Grebnev Valery> Статус: Elderman
|
Считайте это политинформацией. Хотя, думаю, что кому-нибудь эта информация пригодится. Если модераторы сочтут мой пост неуместным – удалят. Я не обижусь.
Речь, собственно, идет об использовании ваших SMTP, для подбора паролей ваших экаунтов. Об этом я уже постил раньше в почти одноимённом постинге «Всё так страшно». Там кроме констатации фактов были приведены некоторые особенности «процесса», которые хоть и не дотягивают до «сигнатур» атаки, но всё же могут быть использованы в эвристических «IDS». Одна из особенностей была в том, что при подборе пароля очередного пользователя, например, administrator – используется своя сессия. Т.е., как и в случае SYN-flood за сигнатуру можно было б принять большое кол-во сверхкоротких «почтовых» сообщений. Там речь шла о таких «легальных» с точки зрения IDS пакетах:
218.7.157.238 x.y.w.z 1906 25 SYN
x.y.w.z 218.7.157.238 25 1906 SYN ACK
218.7.157.238 x.y.w.z 1917 25 SYN
x.y.w.z 218.7.157.238 25 1917 SYN ACK
218.7.157.238 x.y.w.z 1929 25 SYN
x.y.w.z 218.7.157.238 25 1929 SYN ACK
218.7.157.238 x.y.w.z 1943 25 SYN
x.y.w.z 218.7.157.238 25 1987 SYN ACK
218.7.157.238 x.y.w.z 1943 25 ACK
218.7.157.238 x.y.w.z 2002 25 SYN
x.y.w.z 218.7.157.238 25 2002 SYN ACK
218.7.157.238 x.y.w.z 1906 25 PSH ACK
x.y.w.z 218.7.157.238 25 1906 ACK
218.7.157.238 x.y.w.z 1958 25 ACK
x.y.w.z 218.7.157.238 25 1958 PSH ACK
x.y.w.z 218.7.157.238 25 1917 PSH ACK
x.y.w.z 218.7.157.238 25 1929 PSH ACK
x.y.w.z 218.7.157.238 25 1943 PSH ACK
218.7.157.238 x.y.w.z 2019 25 SYN
x.y.w.z 218.7.157.238 25 2019 SYN ACK
218.7.157.238 x.y.w.z 1971 25 ACK
218.7.157.238 x.y.w.z 1987 25 ACK
218.7.157.238 x.y.w.z 2035 25 SYN
….
…
…
…
218.7.157.238 x.y.w.z 1958 25 FIN ACK
x.y.w.z 218.7.157.238 25 1958 ACK
x.y.w.z 218.7.157.238 25 1958 FIN ACK
218.7.157.238 x.y.w.z 1958 25 ACK
Всего хендшейков - 23 и все почти сразу. Всё завершалось корректно. А почтовый лог выглядел так (23 пары):
218.7.157.238 softht SMTPSVC1 MYSERVER EHLO +softht
218.7.157.238 softht SMTPSVC1 MYSERVER EHLO +softht
….
…..
218.7.157.238 softht SMTPSVC1 MYSERVER QUIT softht
218.7.157.238 softht SMTPSVC1 MYSERVER QUIT softht
Вчера меня снова пытались похачить. Но изменилась тактика «товарищей». Атака продолжалась ~ 20 минут
(14.43 – 15.03). Все попытки подобрать пароль происходили из ОДНОЙ СЕССИИ. Т.е. вместо большого числа пакетов SYN, SYN ACK, … идёт как-бы СОВЕРШЕННО НОРМАЛЬНАЯ ПЕРЕДАЧА. Мы наблюдаем обычную передечу … PUSH, PUSH ASK ….. Думаю, что IDS традиционного межсетевого экрана практически НЕ СМОЖЕТ УСМОТРЕТЬ В ЭТОМ НИЧЕГО ДЕСТРУКТИВНОГО!!!
Почтовый лог – вообще трудно, что заметить что-нибудь дурное:
211.158.72.252 sdfdfkjs SMTPSVC1 MYSERVER EHLO + sdfdfkjs
211.158.72.252 sdfdfkjs SMTPSVC1 MYSERVER QUIT + sdfdfkjs
Только две строчки. И это на 20-минутную попытку подобрать пароли 12 пользователей в течении 20 минут.
Возможно будет полезной следующая дополнительная информация:
1) пароли на этот раз подбирались «автоматически» (об этом говорит частота пакетов и сообщений в логах)
2) злоумышленник исследовал следующие экаунты:
abc, data, server, backup, www, web, test, webmaster, admin, root, master, administrator
Выводы:
1) «нормальные» хацкеры не повторяются. Так, что надо всегда ждать от них чегось новенького. И ожидать надо, что совершенно «нормальные» вещи окажутся ненормальными.
2) если у вас есть громкие имена, типа тех что выше (….webmaster, admin, root, master, administrator…) – сами знаете, что нужно сделать. Можно даже и не убивать, а наделить соответствующими бестолковыми бюджетами.
|
|
чтобы я сделал будь я автором почтового сервера... 04.01.04 09:03
Автор: Killer{R} <Dmitry> Статус: Elderman
Отредактировано 04.01.04 09:22 Количество правок: 1
|
|
Вернее я эту фишку уже применял на практике в совершенно другой проге в которой есть авторизация. Храним для аккаунта время последней попытки коннекта. И после например 5й или 10й неудачной попытки блокируем аккаунт. Но не так как это делается обычно - задержкой процедуры авторизации (Кстати задержка тоже присутствует - n*500 мсекунд, где n - номер неудачной попытки начиная с нуля), а хитрее - даже в случае удачной авторизации после большого количесва ошибочных клиенту выдается что авторизация обломалась. Если же удачная попытка последовала через большой интервал времени (выбирается рандомом при включении режима ложного отлупа) после неудачных то счетчик сбрасывается и авторизация проходит успешно. На практике юзер если всетаки умудрится ошибится 10 раз и потом всетаки введет верный пароль то получит отлуп. Почешет репу, заглянет в блокнотик и попробует еще раз - и зайдет. Имхо нормальная цена за безопасность.
|
| |
Да, Вы, конечно, правы. Если бы такое, более тонкое... 05.01.04 00:34
Автор: void <Grebnev Valery> Статус: Elderman
|
> Вернее я эту фишку уже применял на практике в совершенно
> другой проге в которой есть авторизация.
Да, Вы, конечно, правы. Если бы такое, более тонкое управление политиками блокирования экаунтов было в промышленном ПО, думаю, все бы выиграли. Однако, дай Бог, чтобы админы пользовались хоть бы теми стандартными средствами, которые уже есть в ПО.
Видел немало контор, где на это пюлюют. Лично для меня (для ресурсов в нашей конторе) такие админы - потенциальная угроза. Их хакают и используют, как площадку. Говорю не для красного словца. Такое уже было.
|
| | |
Прошу разъяснить.. 05.01.04 08:14
Автор: DimSys <Dmitriy J. Sourinoff> Статус: Member
|
|
..у меня, например, стоит закрытие сессии после трех неудачных попыток.. против вышеописанной атаки это не помогает?
|
| | | |
Прошу разъяснить.. Огласите весь список... 05.01.04 09:20
Автор: void <Grebnev Valery> Статус: Elderman
|
> ..у меня, например, стоит закрытие сессии после трех
> неудачных попыток.. против вышеописанной атаки это не
> помогает?
Конечно, помогает. И это хорошо.
Просто у меня не столь умная прога :(. Она позволяет только блокировать экаунт, если злоумышленник правильно определил имя пользователя (т.е. он подбирает пароль пользователя root, который на самом деле существует) и ошибается в пароле.
У Вас, как я понял, всё гораздо лучше и умнее - разрывается соединение. Конечно, это круто, имхо.
ПС.
Я не так, чтобы знающий товарищЪ. Подскажите, плз. А как это происходит ( не блокирование экаунта, а разрыв соединения на уровне транспорта, или аппликейшн лэвл)? Это свиппер в горле сетке? Или на майлере?
|
| | | | |
Это сам почтовик (MDaemon для MS) рвет сессию. 05.01.04 11:41
Автор: DimSys <Dmitriy J. Sourinoff> Статус: Member
|
> Я не так, чтобы знающий товарищЪ. Подскажите, плз. А как
> это происходит ( не блокирование экаунта, а разрыв
> соединения на уровне транспорта, или аппликейшн лэвл)? Это
> свиппер в горле сетке? Или на майлере?
Это сам почтовик (MDaemon для MS) рвет сессию.
|
| | | | | |
А не могли бы Вы подсказать? 08.01.04 01:43
Автор: void <Grebnev Valery> Статус: Elderman
|
SendMail-лы такое умеют делать? Т.е. РАЗРЫВАТЬ СОЕДИНЕНИЕ.
Спасибо.
|
| | | | | |
Клёво. В MS (exchange) такого не видел. Если не затруднит,... 06.01.04 00:35
Автор: void <Grebnev Valery> Статус: Elderman
|
> > Я не так, чтобы знающий товарищЪ. Подскажите, плз. А
> как
> > это происходит ( не блокирование экаунта, а разрыв
> > соединения на уровне транспорта, или аппликейшн лэвл)?
> Это
> > свиппер в горле сетке? Или на майлере?
>
> Это сам почтовик (MDaemon для MS) рвет сессию.
Клёво. В MS (exchange) такого не видел. Если не затруднит, киньте, пожалуйста, линки на эту прогу. Очень бы хотелось познакомиться.
|
| | | | | | |
www.altn.com 06.01.04 07:47
Автор: DimSys <Dmitriy J. Sourinoff> Статус: Member
|
|
|
|
|
подробно о проекте
Анализ криптографических сетевых...
