ПРОЕКТЫ 

  АРХИВ 

Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 

  СТАТЬИ 

  ПЕРСОНАЛЬНОЕ 

  ПРОГРАММЫ 

ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Отлов ботнета

  • To: nginx-ru@xxxxxxxxx
  • Subject: Re: Отлов ботнета
  • From: "Alexey Karagodov" <karagodov@xxxxxxxxx>
  • Date: Mon, 10 Sep 2007 04:01:47 +0400
  • Dkim-signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=beta; h=domainkey-signature:received:received:message-id:date:from:to:subject:in-reply-to:mime-version:content-type:references; bh=8dVKFY4up6ny87Elxyyg5q7P1yLx73UM72XEF/akGxM=; b=VtFPkDspOPnKEVG+x1jqpVP+3LE8hxaFP5dV6FbAAPHFtEiZURLstdGqEOHpkIjHVaGVtYlizg1XNBikVAvuuuJ4Zp8t0BKg7gfN/yiiGztSCkI9BtFqaLV5t60BB13HuqzUZIl26biEU2RpEG9rfl4Z4jrFbTZvhqInMUFR63U=
  • Domainkey-signature: a=rsa-sha1; c=nofws; d=gmail.com; s=beta; h=received:message-id:date:from:to:subject:in-reply-to:mime-version:content-type:references; b=g6LYAjFGWyiIiRo+k9xe2wcc/+yYo5jUA10RkhWSvijvar90t3SoXDW+uDvXcb2KcyCAotcUv0GQ3MlhxvfTgWUC3O7vdcDox6KknvTHaS6CysN+1kqyyQs70VIOc39/9S7cmGF9yz7LXTdT79BAsHAPblA4fVHmH17u2c2L2Nw=
  • In-reply-to: <564556046.20070909234550@xxxxxxxxx>
  • References: <a23608a90709071338l13dd1c2l8017b84fdb9dc613@xxxxxxxxxxxxxx> <564556046.20070909234550@xxxxxxxxx>
прям хоть проси клиента умножить/разделить/что_нить_сделать с парой чисел перед тем, как пустить во внутрь :) 

10.09.07, lethality@xxxxxxxxx <lethality@xxxxxxxxx> написал(а):
Hello Дмитрий,


1. Настроить систему так как было прекрасно описано
   "Настройка FreeBSD для обслуживания 100-200 тысяч соединений." (C) Игорь Сысоев

2. Методика редиректов.

   CLIENT --- [URI] ---> SERVER
   SERVER --- [URI]+[SECURITY CODE] (HTTP 307 CODE) --> CLIENT
   CLIENT --- [URI]+[SECURITY CODE] ---> SERVER
   SERVER --- [URI] (HTTP 307 CODE) ---> CLIENT

   Пример работы:

1. [ЗАПРОС]
   GET / HTTP/1.1
   Host: www.xxx.com

2. [ОТВЕТ]
   HTTP/1.1 307
   Location: http://www.xxx.com/?code=ABCDEFGHIJKLMNOPQ

3. [ЗАПРОС]
   GET /?code=ABCDEFGHIJKLMNOPQ HTTP/1.1
   Host: www.xxx.com

4. [ОТВЕТ]
   HTTP/1.1 307
   Location: http://www.xxx.com/

5. [ЗАПРОС]
   GET / HTTP/1.1
   Host: www.xxx.com

6. [ОТВЕТ]
   HTTP/1.1 200
   DATA

   Соответственно, мы должны иметь таблицу соответствия кодов и ип
   адресов авторизированных клиентов.
   Если клиенты проходят авторизацию, стоит добавлять их в разрешающий
   список и не применять к ним защиту на протяжении некоторого
   времени.

   Процесс редиректа, шаги 2-3, можно повторять случайно количество
   раз, но не стоит делать больше 5-6 раз.

   Реализация этого метода на PHP не поможет, как и других скриптовых
   языках. Лучше всего создавать модуль к nginx.

P.S. Последние встреченные мною ботнеты, обходят подобную защиту, и
легко поддерживают все виды HTTP 3xx редиректов.



--
Best regards,
lethality                            mailto:lethality@xxxxxxxxx




 



Copyright © Lexa Software, 1996-2009.