პოსტის მიზანია დავიცვათ საკუთარი ვებ სერვერი syn flood პირდაპირი შეტევებისგან, (iptables-ის დონეზე) და რამოდენიმე რჩევა syn spoofing ის დროს ასეთი შეტევების ძირითადი მიზანია Dos -ის მიღწევა.
ეს შეტევა დაფუძვნებულია TCP კავშირის დამყარების პრინციპზე, როდესაც თქვენ შედიხართ ბროუზერით ვებ-გვერდზე – თქვენ აგზავნით SYN (synchronize) პაკეტს სერვერზე, სერვერი კი ამ დროს იმყოფება Listening რეჟიმში და უსმენს კონკრეტულ პორტს, როდესაც სერვერი მიიღებს თქვენს SYN პაკეტს ის პასუხობს SYN-ACK (synchronize acknowledged) პაკეტით და გიგზავნით ისევ თქვენ, რაც ნიშნავს, რომ მოთხოვნა სინქრონიზაციაზე მიღებულია, ამის შემდეგ თქვენ აგზავნით პროცედურის დამასრულებელ პაკეტს – ACK (acknowledge) სერვერთან და ნანატრი TCP კავშირი დგება თქვენს და დაშორებულ სერვერს შორის, სინამდვილეში ეს ისე სწრაფად ხდება, რომ თქვენ გაანალიზებას ვერ ასწრებთ გვერდი ისე იტვირთება თქვენს ბოუზერში. სწორედ ამას ეწოდება “TCP 3-Way Handshake” კავშირი ან ქართულად “სამგზის კავშირი” :), ამ სამგიზს კავშირიდან თითოეული პროცესი ექვემდებარება გარკვეულ კრიტრერიუმებს მაგ: განსაზღვრულია კავშირის ვადა (time-out). Read the rest of this entry »
ამ პოსტის სათაურად ვაპირებდი რომ ყოფილოყო “საჯარო გასაღების კრიპტოგრაფია”, მაგრამ ქართულად სამწუხაროდ არაკეთილხმოვნად ჟღერს, თანაც ცოტათი დაგაბნევდათ ამ სიტყვების კომბინაცია, არადა აშკარად საჭიროა ასეთი “IT სიტყვების” ლოკალიზაცია თორემ მერე მივიღებთ “პაჩემნიკის” ანალოგებს. მცირე პროლოგის მიწურულს, ვინც თვლის რომ ეს პოსტი მისთვისაა და აინტერესებს რა კეთილ საქმეში შეიძლება მისი გამოყენება ვსქროლავთ ქვევით.
Public key cryptography ეს არის ასიმეტრიული ალგორითმების ნაკრები (ცალმხრივი შიფრაციის მათემატიკური მოდელები). გასული საუკუნის 70-იან წლებში აქტიურად დაიწყო ამ ალგორითმების ციფრულ სამყაროში ინტეგრაცია და დღეისთვის ინფორმაციის დაშიფვრის ყველაზე გავრცელებულ და გამართლებულ მეთოდად ითვლება. Public key cryptography ყოველთვის შედგება წყვილი, საჯარო და პირადი (public & private) გასაღებებისგან.
როგორი იქნებოდა public key cryptography-ის გამოყენება ჩვეულებრივ ცხოვრებაში? წარმოვიდგინოთ მაგალითი: გამოჩენილი ამერიკელი “წყვილის” ელისის და ბობის მაგალითზე ( Alice & Bob. ამ “წყვილის” სამეცნიერიო ტესტირებაში გამოყენება იმდენად გავრცელებულია, რომ ქართული ანალოგის შექმნა ზედმეტი იქნებოდა).
ელისი უგზავნის ბობს წერილს, რომელსაც ათავსებს ყუთში და ადებს თავის ბოქლომს (public), რომლის გასაღებიც მხოლოდ ელისს გააჩნია, ყუთს კი უგზავნის ბობს ფოსტის მეშვეობით. როდესაც ბობი მიიღებს ყუთს ისიც დაადებს თავის ბოქლომს და უკან გაუგზავნის ელისს. როდესაც ელისი მიიღებს ყუთს ორი ბოქლომით, მოხსნის თავის ბოქლომს და კვლავ გადაუგზავნის ბობს. ბოლოს კი როდესაც ბობი მიიღებს ყუთს მხოლოდ თავისი ბოქლომით, მას შეუძლია გახსნას ის თავისი გასაღებით და წაკითხოს წერილი ელისისგან. ამ “ჰეფი ენდს” ალტერნატიული ფინალიც ააქვს რომელსაც ქვია: მელორი, ანუ ამ სცენარის ერთადერთი სისუტე Read the rest of this entry »
საიტების უმრავლესობა არ ტყდება SQL Injection, XSS, XMLRPC, ან HTTP სერვერის ბაგების გამო, ისინი ტყდება მარტივი გადასინჯვის მეთოდით ftp სერვერზე, ssh-ზე (“ტუპოი პერებორით”). სცენარი მარტივია: ირჩევა სამიზნე საიტები, ეშვება პაროლების გადასინჯვის პროგრამა “შემტევის” ლოკალურ კომპიუტერზე ან რომელიმე გატეხილ სერვზე, ციკლი აგენერირებს მომხმარებლის სახელებს და პაროლებს და სინჯავს -უგზავნის მათ სამიზნე სერვერს სანამ არ მოხდება პაროლის დამთხვევა. ეს ციკლი შეძლება რამოდენიმე დღე გრძელდებოდეს წამში 10 ან მეტი გადასინჯვის ინტრევალით.
ქართული web რეალობა: ტყდება რამოდენიმე საიტი, მერე კიდევ მათი გარკვეული რაოდენობა, შემდეგ კიდევ რამოდენიმე და ცოტა ხანში ირკვევა, რომ გატეხილა ჰოსტინგი და არა უშუალოდ საიტები. ამის შემდეგ “შემტევს” ანუ ადამიანს ვინც ეს მარტივი ციკლი გაუშვა აქვს ტოტალური კონტროლი ყველა საიტზე რაც ამ ჰოსტინგზეა განთავსებული. მარტივი და ეფექტური გამოსავალი ასეთ სიტუაციში არის iptables გამოყენება. Iptables -ს საშუალებით შეგვიძლია შევზღუდოთ კავშირების რაოდენობა დროის მიხედვით (შეტევის მცდელობების რაოდენობა). ჩავწეროთ ლოგებში შეტევის მცდელობები და სამუდამოდ ავკრძალოთ წვდომა შემტევის IP მისამართი(ები)დან. Read the rest of this entry »
