NFsec Logo

Łagodzenie ataków SYN oraz ACK flood cz.II

24/10/2015 w Bezpieczeństwo 1 komentarz.

N

o właśnie, co z tymi pakietami SYN? Tutaj ponownie pojawia się problem skalowalności systemu conntrack (tak jak dla stanu listen) dla tworzenia (lub usuwania) połączeń, które spowoduje zalew pakietów SYN. Nawet jeśli uporamy się z blokadą w warstwie conntrack to kolejnym krokiem wędrówki pakietu SYN będzie stworzenie gniazda w trybie „nasłuchu”, czyli kolejną barierą wydajnościową. Normalnym procesem łagodzenia tego typu pakietów w systemie Linux będzie mechanizm SYN-cookies, który również ma ograniczenia.
[ czytaj całość… ]

Młotkiem w wiele wirtualnych rdzeni – Receive Packet Steering

18/10/2015 w Administracja Możliwość komentowania Młotkiem w wiele wirtualnych rdzeni – Receive Packet Steering została wyłączona

S

krótów takich jak: RPS, RFS, XPS nie trzeba przedstawiać chyba nikomu – jeśli tak to warto się z nimi dogłębnie zapoznać. Zostały one wdrożone w wersji jądra 2.6.35 – 2.6.38 przez Toma Herberta z teamu Google i są aplikacyjną implementacją RSS (ang. Receive-Side Scaling). Na dedykowanych serwerach fizycznych do natłoku ruchu sieciowego możemy wykorzystać sprzętowe wsparcie kart sieciowych i mechanizmy do rozładowywania kolejek. Niestety na serwerach wirtualnych (Xen, KVM) cała ta praca spada na przypisany do maszyny procesor(y).
[ czytaj całość… ]

Intel(R) 10 Gigabit PCI Express Network Driver performance degradation

02/10/2015 w Administracja, Debug Możliwość komentowania Intel(R) 10 Gigabit PCI Express Network Driver performance degradation została wyłączona

O

statnio podczas testów linków 10G zauważyłem ciekawą zależność. Testując różne wersje jądra w systemie Ubuntu 12.04 ze względu na różne problemy z obsługą systemu plików ext4 na świat wyszedł inny błąd powiązany z sterownikiem sieciowym. Dla wersji jądra: Linux darkstar 3.13.0-32-generic #57~precise1-Ubuntu SMP test linków za pomocą iperf prezentuje się następująco:
[ czytaj całość… ]

Mr.Robot

29/09/2015 w Hackultura 1 komentarz.

M

r. Robot to serial, który skupia się na Elliocie mającym zaburzenia psychiczne. Przez swoją chorobę nie potrafi kontaktować się z ludźmi. Pewnego razu odkrywa, że może to robić przez hakowanie ich. Nowa umiejętność zmienia jego życie. Musi balansować między firmą zajmującą się bezpieczeństwem w sieci, dla której pracuje a podziemiem hackerskim, które chce go zatrudnić, aby pomógł im zniszczyć amerykańskie korporacje.
[ czytaj całość… ]

All your infrastructure are belong to us

31/07/2015 w Bezpieczeństwo Możliwość komentowania All your infrastructure are belong to us została wyłączona

A

ktualnie większość infrastruktur składających się z więcej niż 5 serwerów jest / powinna być zarządzana za pomocą tzw. menadżerów konfiguracji serwerów. Jednym z nich jest Puppet. Przy większej ilości maszyn administratorzy zazwyczaj tworzą (dash)boardy, które informują na jakich serwerach dokonały się (lub nie) aktualizacje konfiguracji. Pozwalają również na uzyskanie bardzo dokładnych informacji o obsługiwanej infrastrukturze (adresy sieciowe, wersje systemów i daemonów itp.). I tutaj pojawia się problem.
[ czytaj całość… ]

Łagodzenie ataków SYN oraz ACK flood cz.I

22/07/2015 w Bezpieczeństwo Możliwość komentowania Łagodzenie ataków SYN oraz ACK flood cz.I została wyłączona

P

odstawowy problem skalowalności protokołu TCP w jądrze Linuksa jest związany z liczbą nowych połączeń, jakie mogą być tworzone na sekundę. Odnosi się to bezpośrednio do obsługi gniazd powstających w trybie nasłuchu, które są blokowane. Blokady powodowane są nie tylko przez pakiety z flagą SYN, ale także SYN-ACK oraz ACK (ostatni w potrójnym uścisku dłoni). Podczas ataków DoS / DDoS za pomocą tego rodzaju pakietów atakujący ma na celu wysłanie, jak największej ilości spreparowanych pakietów, które mają na celu osiągnąć i spowodować problem z blokowaniem gniazd w trybie nasłuchu. Jedną z metod jest podniesienie bardzo niskiego limitu dla tego typu gniazd oraz kolejki oczekujących połączeń w systemie:
[ czytaj całość… ]

Odsłonięcie haseł Wi-Fi na Windows i Mac OS X

20/07/2015 w CmdLineFu Możliwość komentowania Odsłonięcie haseł Wi-Fi na Windows i Mac OS X została wyłączona

Na systemie Windows – uruchom „cmd„, z prawami administratora i wydaj polecenie:

netsh wlan show profile name=ssid key=clear

Gdzie ssid to nazwa sieci Wi-Fi. Na Mac OS X w terminalu należy wpisać:

sudo security find-generic-password -ga ssid | grep password

Wyłączenie ładowania dodatkowych modułów

28/06/2015 w Bezpieczeństwo Możliwość komentowania Wyłączenie ładowania dodatkowych modułów została wyłączona

O

d wersji 2.6.31 Linux daje nam namiastkę funkcjonalności jądra monolitycznego, czyli możliwość blokady ładowania nowych modułów. Wykorzystanie tej opcji podnosi poziom ochrony systemu przed załadowaniem szkodliwych modułów oraz ograniczenia działania niektórych rootkitów.
[ czytaj całość… ]

Nawet z VPN otwarte sieci WiFi powodują wyciek danych

15/06/2015 w Bezpieczeństwo 1 komentarz.

O

statnio Larry Seltzer wykonał prosty test w korzystaniu z otwartych sieci WiFi (tych, które nie oferują żadnego szyfrowania i najczęściej udostępniane są za darmo w restauracjach typu KFC, McDonalds, hotelach itd.). Polegał on na zbadaniu, czy rzeczywiście korzystanie z takich sieci nawet za pomocą wirtualnych sieci prywatnych zapewnia dobry stopień bezpieczeństwa.
[ czytaj całość… ]

Podstawy bezpieczeństwa BIND 9 cz. I

25/05/2015 w Bezpieczeństwo Możliwość komentowania Podstawy bezpieczeństwa BIND 9 cz. I została wyłączona

B

IND jest serwerem DNS tworzonym przez ISC (ang. Internet Systems Consortium) powszechnie używanym do rozwiązywania nazw hostów na adresy IP i odwrotnie. Jako kluczowy element infrastruktury serwery DNS często stają się celem ataków. Podejmując jednak kilka prostych kroków można pomóc w ochronie swojej sieci oraz całego Internetu. Niniejszy artykuł zawiera minimum informacji potrzebnych do poprawny bezpieczeństwa BIND9 pozwalając administratorom systemów zminimalizować zagrożenie. Zdecydowanie najważniejszą rzeczą jest, aby odseparować działanie serwera DNS od innych usług typu serwery WWW, poczty, czy ftp, które są równie często atakowanymi usługami.
[ czytaj całość… ]