echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout

lub dodać wpis do /etc/sysctl.conf:

net.ipv4.tcp_fin_timeout = 30

Wszystkie połączenia w stanie TIME_WAIT możemy wyświetlić za pomocą polecenia: netstat -tapn | grep TIME_WAIT. Oprócz skrócenia czasu dla oczekiwania w tym stanie możemy dodatkowo wykorzystać mechanizm „recyklingu” tych gniazd:

echo 1 > /proc/sys/net/ipv4/tcp_tw_recycle

lub dodać wpis do /etc/sysctl.conf:

net.ipv4.tcp_tw_recycle = 1

Z opcją tą należy obchodzić się dość ostrożnie, ponieważ w niektórych warunkach szybkie odzyskiwanie gniazd TIME_WAIT może spowodować problemy – szczególnie w warunkach, w których występuje równoważenie obciążenia (ang. load balancing) lub poprawna praca mimo awarii (ang. failover). Znacznie bezpieczniejsze z punktu widzenia protokołu jest wykorzystanie techniki ponownego użycia gniazd TIME_WAIT:

echo 1 > /proc/sys/net/ipv4/tcp_tw_reuse

lub dodać wpis do /etc/sysctl.conf:

net.ipv4.tcp_tw_reuse = 1

Jest to bardzo przydatne ustawienie szczególnie w warunkach, w których następuje otwieranie licznych, krótkich połączeń zostawianych w stanie TIME_WAIT – np. serwery WWW. Ponowne wykorzystywanie tego rodzaju stanów dla nowych połączeń może bardzo efektywnie zmniejszyć obciążenie serwera.

Więcej informacji: Protokół TCP, man netstat, Kształtowanie Ruchu i Zaawansowany Routing

o niedawna hasła były wystarczającym zabezpieczeniem ważnych danych przed nieuprawnionym dostępem do nich. Czy jest tak nadal? Z całą pewnością nie. Posiadając odpowiednią wiedzę oraz oprogramowanie, użytkownik jest w stanie bez większych przeszkód uzyskać dostęp do zabezpieczonych plików.

Artykuł ten został opublikowany w numerze 01/2009 (44) magazynu hakin9.

Artykuł w formacie PDF

krypt (D)DoS-Deflate jest skryptem powłoki stworzonym przez użytkownika forum Defender Hosting o nicku Zaf na potrzeby firmy hostingowej MediaLayer. W historii firmy (w 2005 roku) zapisała się karta, w której firmowe serwery stały się celem ataku bazującego na nawiązaniu bardzo dużej ilości połączeń z wielu adresów IP (Distributed Denial of Service – DDoS). Chociaż dla MediaLayer blokowanie adresów było już powszechną praktyką – to tym razem postawiono na zautomatyzowanie tego procesu.

Od 2005 roku skala ataków typu DoS i DDoS jest na tyle poważna, że prezentowany skrypt można jedynie traktować jako prostą ochronę przed floodowaniem strony (hosta), która najczęściej ma miejsce poprzez odwiedzające ją spamboty lub inne szkodliwe oprogramowanie próbujące np. złamać hasło metodą brute force. Skrypt bazuje na poleceniu:

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr

Zlicza ono liczbę wszystkich połączeń TCP/IP oraz UDP serwera z pojedynczymi hostami i przedstawia je w formie adresów IP. Dlatego nie ma mowy o możliwości zatrzymania prezentowanym skryptem ataku DDoS, którego fala uderzeniowa składała by się np. z 2.000 hostów o różnych adresach IP, a każdy z tych hostów wykonywał by po 10 połączeń. Liczba przypadająca na pojedynczy host jest bardzo mała, ale po zsumowaniu wszystkich hostów osiąga 20.000 połączeń. Instalację skryptu przeprowadzamy następująco:

wget http://www.inetbase.com/scripts/ddos/install.sh
chmod 0700 install.sh
./install.sh

Skrypt instalacyjny ściągnie wszystkie, pozostałe skrypty oraz pliki konfiguracyjne umieszczając je w katalogu /usr/local/ddos. Plik konfiguracyjny odpowiadający za (D)DoS-Deflate to ddos.conf. Jego konfiguracja może przedstawiać się następująco:

PROGDIR="/usr/local/ddos"
PROG="/usr/local/ddos/ddos.sh"
IGNORE_IP_LIST="/usr/local/ddos/ignore.ip.list"
CRON="/etc/cron.d/ddos.cron"
APF="/etc/apf/apf"
IPT="/sbin/iptables"
FREQ=1
NO_OF_CONNECTIONS=200
APF_BAN=0
KILL=1
EMAIL_TO="administrator@dot.com"
BAN_PERIOD=7200

Zmienna CRON definiuje położenie pliku wywołującego, co minutę (FREQ) za pomocą programu cron – skrypt (PROG) ddos.sh, który wychwytuje hosty, których liczba połączeń jest większa niż 200 (NO_OF_CONNECTIONS) oraz za pomocą programu sterującego filtrem pakietów – iptables (APF_BAN) blokuje (KILL) danemu hostowi dostęp do naszego serwera na dwie godziny (BAN_PERIOD wyrażony w sec.) powiadamiając o tym fakcie administratora systemu (EMAIL_TO). Oprócz czystego filtra iptables istnieje również możliwość wykorzystania nakładki APF (ang. Advanced Policy Firewall) – wówczas zmienna APF_BAN przyjmuje wartość równą 1. Za wykluczenia odpowiada plik ignore.ip.list, w którym należy umieścić wszystkie adresy IP nie mające podlegać filtrowaniu przez skrypt.

Zdefiniowanie liczby dopuszczalnych połączeń hostów z naszym serwerem (w tym przykładzie 200) zależy od naszych preferencji hostingowych (sprzęt, łącze, konfiguracja serwera etc.). Jeśli, zależy nam na częstszym sprawdzaniu ilości połączeń niż raz na minutę możemy zmienić to poprzez edycję pliku ddos.cron. Na przykład dopisanie wartości:

SHELL=/bin/sh
0-59/1 * * * * root /usr/local/ddos/ddos.sh >/dev/null 2>&1
0-59/1 * * * * root sleep 30; root /usr/local/ddos/ddos.sh >/dev/null 2>&1

Spowoduje uruchamianie skryptu, co 30 sekund.

Więcej informacji: (D)DoS Deflate

hociaż wszyscy mogą dostrzec zewnętrzne okoliczności, nikt oprócz mnie nie powinien rozumieć sposobu, w jaki zwyciężam. Dlatego po osiągnięciu zwycięstwa nie powtarzam tej samej taktyki, lecz w następnej walce odpowiadam na zaistniałe okoliczności. – Sun Tzu

Artykuł ten został opublikowany w numerze 11/2009 (53) magazynu hakin9.

Artykuł w formacie PDF

przypadku systemów Windows XP/Vista/Win7 nie musimy koniecznie dysponować dystrybucją Linuksa w formie LiveCD z zainstalowanym (lub możliwością ściągnięcia i zainstalowania) programem chntpw. Wystarczy dowolna płyta umożliwiająca zamontowanie i modyfikację systemu plików firmy Microsoft (NTFS / FAT). Po zamontowaniu partycji z systemem Windows należy przejść do katalogu System32 oraz podmienić plik o nazwie utilman.exe (ang. Windows Utility Manager) na cmd.exe (ang. Command Prompt):

cd /mnt/Windows/System32
mv Utilman.exe Utilman.old
cp cmd.exe Utilman.exe

Po wykonaniu w/w czynności należy zrestartować komputer uruchamiając go z oryginalnie zainstalowanego systemu. Podczas pojawienia się ekranu logowania uruchamiany podmieniony Windows Utility Manager za pomocą kombinacji klawiszy: Klawisz Windows (tzw. WinKey) + U. Zamiast WUM powinna wystartować konsola z uprawnieniami administratora, w której możemy uruchomić system za pomocą polecenia explorer lub zmienić hasło wybranego użytkownika, którego login pojawił się podczas ekranu logowania systemu Windows np.:

net user Agresor *

Po wykonaniu zmiany hasła najbezpieczniej jest ponownie uruchomić system i zalogować się na wybranego użytkownika.

Więcej informacji: Offensive Security

orzystając z bezpiecznego połączenia, użytkownik Internetu jest pewien, że nic nie grozi jego danym. Przy nowym ataku SSLStrip nie jest to takie oczywiste. Brak jednej literki „s” w zasobie URL może oznaczać kłopoty. Poniżej pokazujemy, że „https” czasami może okazać się tylko zwykłym „http”.

Artykuł ten został opublikowany w numerze 10/2009 (52) magazynu hakin9.

Artykuł w formacie PDF

Zasady uczestnictwa

Aby wziąć udział w konkursie należy opublikować jeden lub więcej tekstów o tematyce związanej z szeroko pojętym IT w serwisie OSblog.pl. Opublikowane teksty zostaną automatycznie objęte licencją Creative Commons Uznanie Autorstwa. Szczegóły uczestnictwa znajdują się w regulaminie na stronie konkursu.

Kryteria oceny artykułów

Przy ocenie tekstów brane będą pod uwagę takie kryteria jak: poziom merytoryczny, unikalność tematyki (tekst nie był publikowany wcześniej), interesująca tematyka (w tym wyjątkowość poruszanego tematu), precyzja w wyrażaniu myśli, poprawność językowa, obecność zrzutów ekranowych / ilustracji.

Nagrody

Nagrody w konkursie ufundował sponsor, firma Securitum.

Pierwsza nagroda to Apple iPad 16GB, WiFi

(lub inny wybrany sprzęt podobnej wartości lub 2000 zł w gotówce)
Drugą nagrodą jest bezpłatny udział w jednym z organizowanych przez Securitum szkoleń:

• a) Bezpieczeństwo sieci
• b) Testy penetracyjne systemów IT
• c) Bezpieczeństwo aplikacji www
• d) Bezpieczeństwo systemów IT

(możliwe jest przyznanie drugiej nagrody kilku blogerom)
Przewidziane są również nagrody pocieszenia w postaci gadżetów z Butiku Jakilinux.

Więcej o konkursie: http://osblog.pl/konkurs-dla-blogerow/

Informacja o organizatorach

Securitum organizuje autorskie szkolenia z bezpieczeństwa IT. Drugą specjalizacją firmy są audyty bezpieczeństwa systemów IT. Grupa OSmedia (otwarte i społecznościowe media) skupia takie witryny jak OSnews.pl, OSblog.pl, jakilinux.org, Filmaster.pl czy playr.pl. Ideą grupy jest połączenie niezależnych, obywatelskich projektów mediowych, publikujących na otwartych licencjach Creative Commons.