ПРОЕКТЫ 

  АРХИВ 

Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 

  СТАТЬИ 

  ПЕРСОНАЛЬНОЕ 

  ПРОГРАММЫ 

ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Отлов ботнета

  • To: Дмитрий Леоненко <nginx-ru@xxxxxxxxx>
  • Subject: Re: Отлов ботнета
  • From: lethality@xxxxxxxxx
  • Date: Sun, 9 Sep 2007 23:45:50 +0300
  • Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=beta; h=domainkey-signature:received:received:date:from:x-priority:message-id:to:subject:in-reply-to:references:mime-version:content-type:content-transfer-encoding; bh=fcMd54Lvzcj6u8AZN1hG90yn5IosGaMsmD540zvgl1Y=; b=f6Jy5s8ULZ0x4DQLmadUFRG3mBNo57xqhH+LLaU8Odj14QIwBqXP5jUuwhD/E0LBlMTgZ0pX+28YvAB5h1Z/4qEMUZl0v7BnBfMXbd4fq4F4e5cORVW9z1VPW71kSqCjBKr5zNClUqGxxzRzBEOhFae0aOSw7jSxdCKe+hkpBs0=
  • Domainkey-signature: a=rsa-sha1; c=nofws; d=gmail.com; s=beta; h=received:date:from:x-priority:message-id:to:subject:in-reply-to:references:mime-version:content-type:content-transfer-encoding; b=QpA155PssxtFQag7WE+HY8JTUAQAxmIxLnkMJhS8+lEGzxhylipu2hXKMBBUH52mlgRRA5frd8Wg5xsRXpDfpAqwimzh95qwrUxk9dGcUok8q+34HF9QC11qbla1Lc5UvJB1m4yeBqfmFeGBFNaAMEjhA7T4JPS5DEIYAewTNz0=
  • In-reply-to: <a23608a90709071338l13dd1c2l8017b84fdb9dc613@xxxxxxxxxxxxxx>
  • References: <a23608a90709071338l13dd1c2l8017b84fdb9dc613@xxxxxxxxxxxxxx>
Hello Дмитрий,


1. Настроить систему так как было прекрасно описано
   "Настройка FreeBSD для обслуживания 100-200 тысяч соединений." (C) Игорь 
Сысоев
   
2. Методика редиректов.

   CLIENT --- [URI] ---> SERVER
   SERVER --- [URI]+[SECURITY CODE] (HTTP 307 CODE) --> CLIENT
   CLIENT --- [URI]+[SECURITY CODE] ---> SERVER
   SERVER --- [URI] (HTTP 307 CODE) ---> CLIENT

   Пример работы:

1. [ЗАПРОС]
   GET / HTTP/1.1
   Host: www.xxx.com

2. [ОТВЕТ]
   HTTP/1.1 307
   Location: http://www.xxx.com/?code=ABCDEFGHIJKLMNOPQ

3. [ЗАПРОС]
   GET /?code=ABCDEFGHIJKLMNOPQ HTTP/1.1
   Host: www.xxx.com

4. [ОТВЕТ]
   HTTP/1.1 307
   Location: http://www.xxx.com/

5. [ЗАПРОС]
   GET / HTTP/1.1
   Host: www.xxx.com

6. [ОТВЕТ]
   HTTP/1.1 200
   DATA

   Соответственно, мы должны иметь таблицу соответствия кодов и ип
   адресов авторизированных клиентов.
   Если клиенты проходят авторизацию, стоит добавлять их в разрешающий
   список и не применять к ним защиту на протяжении некоторого
   времени.

   Процесс редиректа, шаги 2-3, можно повторять случайно количество
   раз, но не стоит делать больше 5-6 раз.

   Реализация этого метода на PHP не поможет, как и других скриптовых
   языках. Лучше всего создавать модуль к nginx.

P.S. Последние встреченные мною ботнеты, обходят подобную защиту, и
легко поддерживают все виды HTTP 3xx редиректов.


-- 
Best regards,
 lethality                            mailto:lethality@xxxxxxxxx

 



Copyright © Lexa Software, 1996-2009.