forum.opennet.ru

"Представлен эксплойт, способный блокировать работу любого SS..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Представлен эксплойт, способный блокировать работу любого SS..."	+/–
Сообщение от Feerik (ok), 27-Окт-11, 11:36
>> А теперь толстячок, скажи конкретно, что тебе в моем примере не понравилось >> и почему он может не сработать, или твои комментарии вообще ниачем. > SSL-handshake выполняется внутри уже установленного _одного_ соединения, т.е. новые соединения > не создаются и conntrack отловит только один коннект. http://httpd.apache.org/docs/2.2/mod/mod_ssl.html "SSLInsecureRenegotiation Directive Description: Option to enable support for insecure renegotiation Syntax: SSLInsecureRenegotiation flag Default: SSLInsecureRenegotiation off Context: server config, virtual host Status: Extension Module: mod_ssl Compatibility: Available in httpd 2.2.15 and later, if using OpenSSL 0.9.8m or later As originally specified, all versions of the SSL and TLS protocols (up to and including TLS/1.2) were vulnerable to a Man-in-the-Middle attack (CVE-2009-3555) during a renegotiation. This vulnerability allowed an attacker to "prefix" a chosen plaintext to the HTTP request as seen by the web server. A protocol extension was developed which fixed this vulnerability if supported by both client and server. If mod_ssl is linked against OpenSSL version 0.9.8m or later, by default renegotiation is only supported with clients supporting the new protocol extension. If this directive is enabled, renegotiation will be allowed with old (unpatched) clients, albeit insecurely." Если мне не изменяет мой кривой английский, в SSL модуле апача 2.2, SSL-Renegotiation по дефолту выключен, так что не прокатит использовать тысячу подключений в одном. Я не прав? Причем хочу заметить, а меня версия апача 2.2 под убунтой 10.04, не могу быть уверенным, но помоему у последнего стабильного дебиана, шестой шапки, у них у всех апач не ниже 2.2. Выполняю команду: # grep SSLInsecureRenegotiation /etc/apache2/mods-available/ssl.conf в ответ получаю тишину, значит у меня задано дефолтное значение для SSL-Renegotiation, т.е. выключен. Если кто сомневается, может в ssl.conf своего апача прописать что-то вроде: SSLInsecureRenegotiation off Чтоб уж наверняк выключить, зафаерволиться и все наверно, нет?
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Представлен эксплойт, способный блокировать работу любого SS..., opennews, 26-Окт-11, 15:36 [смотреть все]

Нда печально , Александр, 26-Окт-11, 15:36 (1) //
- А где этот ссл отдельно применяется К примеру в любом https и ftps можно левой, anonymous, 26-Окт-11, 15:52 (6) //
  - ногой сделать лимит на конекты вообще и с одного ип а еще можно иптаблесо, anonymous, 26-Окт-11, 15:54 (8) //
    - Ну так это на раз обходится пускаем атаку через torify или socksify и разворачи, Аноним, 26-Окт-11, 16:07 (14)
      - Айпишники выходных узлов тора не забанены только у ленивого админа Я, например,, Аноним, 26-Окт-11, 16:10 (16)
        
        Ага, пц как трудно Вот только что для прикола нашел гуглингом 5 действующик сок, Аноним, 26-Окт-11, 16:59 (30)
        
        Думаю, админу, чтобы забанить их, понадобится куда меньше времени и усилий, чем , Аноним, 26-Окт-11, 19:13 (67)
        
        интересно, а бахнуть этим эксплоитом по, примерно, половине таких SSL OpenProxy , 8, 27-Окт-11, 00:54 (100)
        
        Гораздо веселее устроить битву каждый против всех - интересное зрелище ликви, Аноним, 27-Окт-11, 01:36 (104)
        Капитан информирует прокси пригодные для SSL HTTP 1 1 CONNECT, SOCKS 4 5 вооб, Аноним, 27-Окт-11, 11:30 (124)
        
        На моей памяти, самый упертый админ пытавшийся решать вопросы маханием банхаммер, Аноним, 27-Окт-11, 15:52 (138)
        
        А в чем смысл страдать такой фигней Tor, в основном, используют вполне нормальны, Аноним, 26-Окт-11, 21:57 (83)
        
        путем забана всего тора При этом приходится жертвовать интересами параноико, Аноним, 27-Окт-11, 00:43 (98)
        
        Ничем не оправданный онанизм для тех кто атакует есть тысячи и тысячи открытых , Аноним, 27-Окт-11, 13:06 (127)
        а если закрыть вообще все порты -- то никто и никогда не нагадит подумай над эт, arisu, 30-Окт-11, 12:49 (162)
        
        Сплёвываем и стучим по дереву, чтоб не обнаружилась уязвимость в закрывальщике п, Andrey Mitrofanov, 31-Окт-11, 11:09 (165)
        
        т-с-с-с это же был второй секретный совет за деньги весь гешефт мне попортил , arisu, 31-Окт-11, 11:20 (166)
        
        Полазить немного с TOR а, подождать пока поглючит, IP несколько раз сменится И , Zenitur, 26-Окт-11, 22:21 (86)
    - для ссш эффективной защитой является разве что порткнокинг, но если для админист, Аноним, 26-Окт-11, 17:47 (44)
      - так если об этом будут знать клиенты то и злоумышленники тоже будут знать и knoc, Одмин, 26-Окт-11, 17:59 (49)
    - TCP-соединение требуется только одно, в рамках которого будет инициировано неско, alikd, 26-Окт-11, 18:04 (53)
      - А вы-то ее внимательно читали, особенно последний абзац , Аноним, 26-Окт-11, 19:09 (66)
        
        Последний абзац относится только к случаю, когда на сервере отключили SSL-Renego, Аноним, 26-Окт-11, 19:49 (73)
        
        В вашей конторе - может быть В нашей - выключен на 100 систем Работа такая , Аноним, 27-Окт-11, 00:40 (97)
        
        Что это за контора в которой используют на серверах самосборные запатченные верс, Аноним, 27-Окт-11, 10:18 (117)
        
        Выдуманная, очевидно же , Аноним, 27-Окт-11, 16:25 (139)
    - Если в рамках одного соединения, то попадаем на анализ пакетов Меньше одного к, Michael Shigorin, 27-Окт-11, 13:12 (128)
А SSL-Renegotiation ещё не выкинули из-за какой-то там уязвимости , Аноним, 26-Окт-11, 15:46 (5)
Практически все нормальные сервера регулируют количество подключений И уж тем б, Андрей, 26-Окт-11, 15:58 (9) //
- Один адрес несложно превратить в легион, через тор или проксики, показав шиш в п, Аноним, 26-Окт-11, 16:16 (19) //
  - выше уже отписали по поводу торов и проксей для практической реализации атаки, , rain87, 26-Окт-11, 17:00 (32) //
    - Да нахрен там ботнет, для столь низкоинтенсивной атаки хватит бесплатных проксик, Аноним, 26-Окт-11, 17:24 (41)
      - Ну наберите хотя бы тыщи три, и запостите сюда А пока это пустая трепотня , Аноним, 26-Окт-11, 18:21 (60)
        
        Не, давайте вы лучше пианино для меня полдня потаскаете Если мне понравится как, Аноним, 28-Окт-11, 15:28 (150)
Нюню Пойдите, свалите https gmail com Ну хоть все вместе Это не эксплоит, а, mikevmk, 26-Окт-11, 16:01 (10) //
- Может, они знали , Аноним, 26-Окт-11, 16:42 (26) //
  - Вообще-то THC одна из известнейших и авторитетнейших хакерских групп, в лучшем с, Аноним, 26-Окт-11, 17:01 (33)
- нубло уверено, видимо, что гмыло всё на одном сервере крутится , arisu, 30-Окт-11, 12:52 (163)
iptables hashlimit ctstate NEW и connlimit легко зарежут такое счастье , Аноним, 26-Окт-11, 16:03 (12) //
- ну как бы всех вполне устроит если вы сами пошлете ваших юзеров после того как а, Аноним, 26-Окт-11, 16:32 (24) //
  - Мы, походу, лузеры - получаем айпишники после согласования кучи бумажек и выплат, Аноним, 26-Окт-11, 18:20 (59) //
    - Ну, с IPv6 дела попроще обстоят И я, как и некоторые мои знакомые уже используе, Xaionaro, 26-Окт-11, 21:08 (79)
    - Ну вы то их получаете в постоянное пользование, а в случае проксиков и торов они, Аноним, 28-Окт-11, 15:30 (151)
Понравилось 127 0 0 1 и появление в первых же комментариях желающих это запустит, AZ_from_Belarus, 26-Окт-11, 16:06 (13)
а что насчет TLS , koloboid, 26-Окт-11, 16:14 (18)
бред iptables и прочие отменили , Аноним, 26-Окт-11, 16:17 (20) //
- не отменили, но и NAT тоже , koloboid, 26-Окт-11, 16:26 (21)
- Ну будет таблес резать при атаке как атакующего, так и честных пользователей По, Аноним, 26-Окт-11, 16:47 (27) //
  - Тор банится легко и изящно, анонимные прокси - по мере их выявления действитель, Аноним, 26-Окт-11, 18:11 (54) //
    - Покажи, как побанить все входные ноды Тор легко и изящно И, кстати, про анонимны, Аноним, 27-Окт-11, 11:06 (122)
Таким ломовым способом можно любой протокол прикладного уровня завалить На како, СуперАноним, 26-Окт-11, 16:29 (22) //
- Все так Просто этот дурной протокол дает атакующему фору в 15 раз по ресурсам , Аноним, 26-Окт-11, 17:35 (42) //
  - http c2 com cgi wiki DontRepeatYourself , Michael Shigorin, 27-Окт-11, 13:38 (129)
Хм, я такой експлоет уже много лет пользую против конкурентов Просто потому ч, Жорж, 26-Окт-11, 16:39 (25) //
- я даже могу сказать где вы его купили, фклфт, 26-Окт-11, 17:14 (36)
- Нехороший Вы человек Играть нужно по-честному , Xaionaro, 26-Окт-11, 21:11 (80) //
  - В бизнесе понятия честность вообще не существуетP S я раньше тоже хотел все по , фклфт, 27-Окт-11, 07:21 (108) //
    - Нормальному человеку на деструктив вообще время жалко тратить Существует, хотя, Michael Shigorin, 27-Окт-11, 13:43 (130)
    - Да, а если продолжить эту логику, тогда для конкурента пристрелить вас - наиболе, Аноним, 28-Окт-11, 16:54 (157)
для самых умных хакеров , Аноним, 26-Окт-11, 16:52 (28)
Оказывается, то, что мне и многим моим коллегам было известно уже много лет - то, maxkit, 26-Окт-11, 17:00 (31) //
- про SSL , demimurych, 26-Окт-11, 17:16 (37)
- Вы и ваши коллеги явно не в курсе, что для handshake не нужно создавать новое со, Аноним, 26-Окт-11, 17:23 (40) //
  - И что, неужели не существует никаких способов отменить это D, Аноним, 26-Окт-11, 18:13 (55)
- ОЙ, пафос то какой я прям испугался, Аноним, 26-Окт-11, 17:57 (47)
Бред, у меня везде стоит ограничение на количество одновременных подключений на , arcade, 26-Окт-11, 17:02 (34) //
- И как вам это поможет, если для handshake не создаётся новых соединений , Аноним, 26-Окт-11, 17:22 (39) //
  - А вот Renegotiation отключить - и уже нужно новое соединение для handshake , anonymous, 26-Окт-11, 17:53 (45)
  - Да просто кучка ламеров заучила пару команд, а ихучать протоколы вломы или умишк, Аноним, 26-Окт-11, 17:54 (46) //
    - А еще они не подозревают, что такое renegotiation и что его можно отключить D, Аноним, 26-Окт-11, 18:18 (58)
      - Команды по отключению renegotiation в Apache и nginx в студию Только, pls, без , Аноним, 26-Окт-11, 19:53 (74)
        
        Хочу поесть, но не ртом Кто уже успел получить лучики счаться, или просто держи, Аноним, 27-Окт-11, 00:32 (93)
        
        Ага и при этом жертвуют совместимостью с клиентами и рискуют пропустить обновлен, Аноним, 27-Окт-11, 10:22 (118)
        
        Возможно, местами пригодится этот тред http old nabble com TLS-renegotiation-d, Michael Shigorin, 27-Окт-11, 13:50 (131)
  - Простите мой сарказм, но что за бред, что значит не создается, пакеты, что по UD, Аноним, 26-Окт-11, 17:57 (48) //
    - На первый раз прощаю Вы знаете что такое соединение Это IP-отправителя порт-от, Аноним, 26-Окт-11, 18:04 (52)
      - Ну посмотрим, как вы это сделаете, если я renegotiation на сервере отключу P, Аноним, 26-Окт-11, 18:14 (56)
        
        в новости об этом тоже есть упоминание, Аноним, 26-Окт-11, 19:04 (63)
        
        Да я как бы довожу этот факт до сведения некоторых знатоков , потому что они-то, Аноним, 26-Окт-11, 19:07 (65)
- А у вас случайно на уровне фаерволла не стоит лимит на количество MAIL FROM п, Аноним, 26-Окт-11, 17:59 (50) //
  - Если SMTP-сервер позволяет ограничить количество писем, передаваемых в рамках од, Аноним, 26-Окт-11, 18:17 (57) //
    - Угумс, а ещё фаервол - это и ограничитель в рамках одного соединения количеств, terr0rist, 26-Окт-11, 20:55 (77)
      - Если код на уровне сервера позволяет жестко привязать эти действия к соединениям, Аноним, 27-Окт-11, 00:34 (94)
- Малаца Так и надо делать И тогда, все легитимные пользователи вашего сайта будут, Жорж, 27-Окт-11, 08:17 (110)
если у кого-то сервера в продакшн кластере можно положить такой фигней, так им и, Аноним, 26-Окт-11, 17:41 (43)
Тор, анонимные прокси и честные пользователи - мне одному кажется что здесь сокр, AHoH, 26-Окт-11, 18:01 (51) //
- Тебе одному В моей стране блокируются многие легитимные ресурсы инета, в том чи, Аноним, 27-Окт-11, 11:09 (123)
thc-ssl-dos 207 46 232 182 2222 --acceptSSL error 12345FC SSL routines SSL23_, pavlinux, 26-Окт-11, 18:25 (61) //
- Никогда не понимал людей публично демонстрирующих собственное невежество Да, ssh, mtr, 27-Окт-11, 09:44 (112) //
  - Мне запрещено досить свой сервер , pavlinux, 28-Окт-11, 06:10 (147) //
    - Нет, просто SSL SSH, сплойт тебе честно сказал что порт куда ты сунулся - SSL, Аноним, 28-Окт-11, 15:56 (152)
Назвать новость стоило видимо Хакерская группа увеличила мощность ботнетов по з, Aleksey, 26-Окт-11, 19:17 (68)
http www links org files no-renegotiation-2 patchhttp svn resiprocate org re, pavlinux, 26-Окт-11, 19:21 (69) //
- Ага, вот почему у меня сервера на это не реагируют Хотел писать, что этот экспло, Fantomas, 27-Окт-11, 14:17 (133)
- А почему тогда в заглавии написали, что он работу любого сервака блокирует , Fantomas, 27-Окт-11, 14:20 (134)
Мне одному показалось, что кто-то хочет массово продавать коммерческий SSL Acce, анон, 26-Окт-11, 19:34 (70) //
- да---Кстати, у меня дома валяется, купленный на Ебае за 35 BCM5820 - E-Commerc, pavlinux, 26-Окт-11, 19:38 (71)
- Вы так говорите, как будто это что-то плохое У кого хватило глупости не отключ, Аноним, 26-Окт-11, 19:39 (72) //
  - Блин достали уже такие специалисты как вы, обвиняющих других в глупости, ни пони, Аноним, 26-Окт-11, 19:59 (75) //
    - Так не апачь надо патч, а OpenSSL ---Кстати, Waiting for script kiddies to piss , pavlinux, 26-Окт-11, 20:05 (76)
      - Павлин, как ты мог Там специально для скрипткиддей воткнут делэй рисующий точки, Аноним, 28-Окт-11, 16:13 (153)
        
        Надо же проверить на чём народ катает , pavlinux, 28-Окт-11, 17:35 (158)
    - Скажу по секрету отключается это не в апаче, а глобально по системе, через ликв, Аноним, 27-Окт-11, 00:36 (95)
      - Пруф - это RFC , pavlinux, 27-Окт-11, 01:24 (102)
        
        Пруф должен подтверждать RFC не подтверждает , Аноним, 27-Окт-11, 01:38 (105)
      - Мда Советую вам изучить логику согласования параметров SSL-линка, загрузив исхо, Аноним, 27-Окт-11, 10:32 (119)
      - http www stunnel org pipermail stunnel-users 2010-November 002852 htmlFYI I st, pavlinux, 28-Окт-11, 06:11 (148)
      - SSL вообще сплошной бекдор любой CA может выписать сертификат на что угодно, в , Аноним, 28-Окт-11, 16:17 (154)
попробовал на своих машинках, beam - 100 одного ядра процессора, при этом серви, Александр, 26-Окт-11, 21:03 (78) //
- спасибо а можете проверить Lighttpd спасибо, Анонимный аноним через tor, 26-Окт-11, 22:02 (84) //
  - lighttpd к сожалению не использую, так что не проверю, но думаю там тоже предусм, Александр, 26-Окт-11, 22:26 (87)
  - нащёл вот ещё и такое обсуждение http redmine lighttpd net boards 2 topics 478, Анонимный аноним через tor, 27-Окт-11, 00:16 (92)
- Прошу простить мою безграмотность, я думал, проблема упирается в реализацию SSL,, Xaionaro, 26-Окт-11, 22:04 (85)
- а попробуйте законектиться по ssh , авыа, 26-Окт-11, 22:30 (88) //
  - во блин это про ssl , авыа, 26-Окт-11, 22:32 (89)
надеюсь этот замечательный пример покажет что нЕфига делигировать на сервер кучу, Анонимный аноним через tor, 27-Окт-11, 01:09 (101) //
- Клиент пойдёт и потратит своё бабло в другом месте, ибо монополий сейчас ой как , pavlinux, 27-Окт-11, 01:26 (103) //
  - клиент в данном случае это программы типа Firefox Chromium Vasya-Pupkin-SSL-Su, Xasd, 27-Окт-11, 16:50 (143)
Этому багу сто лет в обед Он уже исправлен в nginx, по этому админы спите споко, Humka, 27-Окт-11, 01:58 (106)
Странно это все как-то как не пытался увалить свой Apache на CentOs етим експлои, Ромарио, 27-Окт-11, 02:58 (107)
А я знаю еще один способ Dos a, надо зажать кнопку F5 Думаю этот медтод не мене, Аноним, 27-Окт-11, 07:43 (109)
Ну, как вариант, берем iptables и делаем так iptables -A INPUT -p tcp -i INTERN, Feerik, 27-Окт-11, 09:41 (111) //
- Еще один чукча-писатель вылез Обсуждение новости таки прочитайте и больше так н, mtr, 27-Окт-11, 09:46 (114) //
  - Почитал, живых примеров не увидел А теперь толстячок, скажи конкретно, что тебе , Feerik, 27-Окт-11, 09:59 (115) //
    - Все просто Если ты ограничиваешь подключения с одного ip, то, к твоему сведению, Аноним, 27-Окт-11, 10:18 (116)
      - По крайней мере сервер не задосят, что уже хорошо и уже собственно решение пробл, Feerik, 27-Окт-11, 10:34 (120)
        
        Так уже надцать раз объяснили проблема не в LA на сервере, а в конечном результ, Michael Shigorin, 27-Окт-11, 14:03 (132)
        есть мнение, что проще поставить сервер в сейф, предварительно выдернув сетевые , arisu, 30-Окт-11, 13:04 (164)
    - SSL-handshake выполняется внутри уже установленного _одного_ соединения, т е но, Аноним, 27-Окт-11, 10:37 (121)
      - http httpd apache org docs 2 2 mod mod_ssl html SSLInsecureRenegotiation Direc , Feerik, 27-Окт-11, 11:36 (125)
        
        Эта настройка не отключает Renegotiation полностью, а лишь позволяет отключить в, Аноним, 27-Окт-11, 11:55 (126)
Поправьте меня, но разве нельзя ограничить ресурсы для каждого соединения прос, Kodirr, 27-Окт-11, 14:24 (135)
Все такие все специалисты, умные аж жуть Забанят, они всех нападающих по IP А б, Аноним, 27-Окт-11, 16:42 (141) //
- Точно, забанить нафиг все наты beeline, mts и megafon А то их бандвиза тоже хва, Аноним, 28-Окт-11, 16:27 (155)
Я смотрю большинство отписавшихся не осилили прочитать новость А новость вот в , Konwin, 27-Окт-11, 16:42 (142) //
- Так ты и сам не дочитал Даже при отключенном SSL-Renegotiation при множителе x1, Аноним, 27-Окт-11, 16:52 (144)
Ну, тут можно еще поковырять сами tcp пакеты на предмет большого количества SSL-, GMS, 27-Окт-11, 19:46 (145)
Лог результата работы эксплоита продолжительностью 1-2 минуты с default Limit p, coresh, 28-Окт-11, 12:14 (149) //
- THC написал годный детектор скрипткиддисов , Аноним, 28-Окт-11, 16:40 (156)
Ерунда Любой почти скрипт на сервере точно так же можно задоссить т к ресур, Аноним, 29-Окт-11, 12:53 (159) //
- А ещё, на выбор - переписать проблемную часть - включить кеширование - добавить , XoRe, 29-Окт-11, 22:55 (160)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру