Port knocking: назначение и обзор инструментов

Чем оно лучше выдёргивания шнура?

Хорошие статьи, спасибо. Кстати, существуют в природе простые гуёвые клиенты для винды, подобные клиентам для iOS/Android? Я понимаю, что вин-пользователи должны страдать, но всё же :)

им не удалось это запатентовать

а чем port knoсking лучше просто блокировки через какое-то кол-во попыток тем-же fail2ban?

У меня, например, fail2ban отшивает на час после 3-х попыток ввести пароль.

Для пароля вида qcs9Xrxt71G1XK59 бутфорс при трех попытках в час займет совсем чуть-чуть времени.

А если у меня ботнет с 1000000 IP и тыкаются в твою машину с одного IP не более 2 раз в час?

По факту кнокинг просто прячет порт, тем самым давая злоумышленнику меньше информации о хосте.

Промт штоле..

Что касается разнообразия подходов по реализации PK, то условно их все можно выделить в две группы.

Реализации PK можно разделить на две группы -_-

С одной стороны, это.. бла-бла-бла

а где с другой?

существуют также и другие вариации на вечную сисадминскую тему «сделано на коленке».

x_x

крупной группы в зоопарке решений

X_X

ipt_recent

А если у меня ботнет с 1000000 IP и тыкаются в твою машину с одного IP не более 2 раз в час?

пусть у нас скажем 16 символьный пароль. пусть символы A-Za-z0-9, итого 26*2+10 = 62 символа.
пусть один «вредоносный» ip может открыть 65536 соединений к серверу (учитывая что tcp/ip соединение характеризуется четвёркой «удалённый_ip:удалённый_порт:локальный_ip:локальный_порт» это впринципе должно быть осуществимо, но это верхний предел для одного реального ip-шника в ipv4 на сколько я понимаю).
пусть каждое соединение пытается 10 раз в секунду (что невозможно для ssh на сколько я поинмаю потому что там задержки стоят, но примем чтобы просто оценить сверху «уж точно»).

итого имеем 62^16 возможных комбинаций. 62^16 это больше чем 4,7E28 комбинаций если я верно посчитал.

далее, 10*65536 = 655360 попыток в секунду с одного ip что меньше чем 2,6E5. ipшников у тебя 1E6, итого 2,6E11 попыток в секунду. в году 3600*24*366 <= 3,2E7 секунд, итого 2,6E11*3,2E7 <= 8,32E18 попыток в год. Ну и 4,7E28/8,32E18 <= 0,5E10 лет нужно чтобы сделать брутфорс, что всего навсего в три раза меньше времени существования нашей вселенной :)

так что можешь не волноваться если у тебя 16 символьный случайный пароль. как бы тебя не ломали, но это будет точно не брутфорс.

PS. против портнокинга и фейл2бан ничего не имею, с ними гораздо чище в логах. но с т.з. безопасности надёжнее иметь хороший пароль или/и авторизацию по ключу.

UPD1. да, там у меня 2,6E5 неверно, получается 6,6E5 вроде. лень пересчитывать так как порядок практически не измениться. может это будет 200млн лет вместо 500млн. практической угрозы это не несёт.

UPD2. ну и да, два раза в час это смешно, сколько бы ip не было, время нужное для реализации атаки перебором на случайный 16 символьный пароль с любого разумного количества ip при двух запросах в секунду с одного ip заведомо значительно превысит время существования нашей вселенной.

Думаю, траекторию выдёргивания шнура запатентовать не намного сложнее, чем прямоугольник со скруглёнными углами.

спасибо за новость. крайне любопытно было поглядеть на инструментарий.

Ну это я увижу по вздувщимся логам fail2ban Хотя почитать про методы безусловно стоит. Как минимум информации о системе потенциальному злоумышленнику явно меньше.

Ну а мы после выдергивания будем производить кабелем движения по замысловатой траектории, кореллирующей с выхлопом /dev/random

если что-то коррелирует с /dev/urandom то /dev/urandom не такой уж рандом :)

можно строить траекторию как линейную функцию выхлопа /dev/urandom

да, это да, я как то не подумал о таком варианте :)

Они запатентуют сам момент выхода штекера из гнезда:) Тут уж без расшатки гнезда никак финтов не придумаешь.

В этом случае заDDoSить проще чем ломать. И брутфорсить не имеет смысла.

да вы просто в ударе, кэп! в любом случае если пароль 16 символов то брутфорсить не имеет смысла. какой «этот» случай вы имели ввиду?