معرفی tarpit (نوع خاصی از honeypot ها) قابل توجه صاحبان وب سایت ها

واضح آرشیو وب فارسی:سایت ریسک: bahareh_bus21-09-2005, 07:28 AMاحتمالا با ایده Honeypot ها آشنا هستید. به طور خلاصه Honeypot ابزاریست برای به اشتباه انداختن یا حداقل تلف کردن وقت نفوذگر (وبه خصوص ابزارهای اسکن و ...) ، که با روشها و ابزارهای مختلفی قابل انجام است. اما یکی از ایده های جالب در این زمینه، tarpitها هستند که گاهی از آنها به عنوان Sticky Honeypot نام برده میشود. این ایده به عنوان روشی برای مقابله با کرم Code Red مطرح شد و گسترش پیدا کرد، به طوری که امروزه در مجموعه patchهای استاندارد فایروال لینوکس پیاده سازی شده و قابل استفاده است، همچنین پروژه LaBrea این ابزار را برای ویندوز، Solaris و FreeBSD هم فراهم کرده است. کرم Code Red با اسکن کردن مداوم سرویس http روی شبکه آلوده، مقدار زیادی از پهنای باند را اشغال میکند. لذا ایده tarpit برای محدود کردن سرعت و متوقف کردن این نحوه اسکن مطرح شد. و اما نحوه کار به این شکل است که tarpit مجموعه IP های بلااستفاده شبکه را (با گوش دادن به بسته های arp بی پاسخ) مونیتور میکند. با یافتن این IP ها، پاسخ بسته های arp را با یک MAC Address جعلی (که در شبکه موجود نیست) به نفوذگر ارسال میکند و از این پس خود را به عنوان دارنده IP بلااستفاده تحمیل میکند. از اینجا به بعد، ارسال بسته ACK ، برقراری اتصال TCP و بقیه موارد توسط Tarpit انجام میشود، در حالی که واقعا چنين IP و چنين سرویسی در شبکه موجود نیست. بر اساس طبیعت پروتکل TCP و مکانیزم Flow Control آن، ارسال بسته ها میان نفوذگر و tarpit چند بار تکرار شده و اتلاف وقت میشود، و البته در مورد کرم ها، معمولا امکان ادامه اين سناریو پیاده سازی نشده و وجود ندارد. بنا بر اين اتصال TCP ایجاد شده، اما هیچ داده ای در آن قابل ارسال نیست، و تقاضای بسته شدن اتصال هم توسط tarpit پذیرفته نمیشود، لذا باید اتصال مربوطه timeout شود. اين مساله برای ابزارهای اسکن اتوماتیک و همینطور کرمها ایجاد مشکل میکند. (البته بعضی از ابزارهای اسکن امکان شناخت tarpit را دارند) نكته: در فايروال لينوكس براي استفاده از امكان tarpit بايد ابتدا kernel و iptables را patch كرده و سپس به جاي DROP كردن بسته ها٬ كافي است كه از كلمه TARPIT در قواعد فايروال استفاده كنيد. برای اطلاعات بیشتر به سایت های زیر مراجعه کنید: http://cansecwest.com/core02/honeypots-0.2.ppt http://www.securityfocus.com/infocus/1723 http://www.impsec.org/linux/security/scanner-tarpit.pdf Amir_P3021-09-2005, 02:06 PMممنون از مقالتون از اين كه با ما همكاري ميكنيد متشكرم ولي اينجا رو هم لطفا بخونيد: 15113 anarchist6021-12-2005, 05:47 AMخانم بهاره مقالاتت خيلي جالب فقط يه مشكلي هست. شما كه اينقدر به آموزش روشهاي نفوذ مي پردازي يكمم به فكر ما سايت دارهاي بي گناه باش :sad: حالا كه اينقدر كارت درست!!؟ يكمم به آموزش روشهاي دفاعي بپرداز (نمي دونم شايدم باشه ولي من كه چبزي نديدم) مرسي :blink: سایت ما را در گوگل محبوب کنید با کلیک روی دکمه ای که در سمت چپ این منو با عنوان +1 قرار داده شده شما به این سایت مهر تأیید میزنید و به دوستانتان در صفحه جستجوی گوگل دیدن این سایت را پیشنهاد میکنید که این امر خود باعث افزایش رتبه سایت در گوگل میشود

این صفحه را در گوگل محبوب کنید

[ارسال شده از: سایت ریسک]

[مشاهده در: www.ri3k.eu]

[تعداد بازديد از اين مطلب: 298]