ОРИГИНАЛЬНАЯ СТАТЬЯ
ПЕРЕВЕДЕНО СПЕЦИАЛЬНО ДЛЯ xss.pro
$10 на gas для Jolah Molivski ---> 0x5B1f2Ac9cF5616D9d7F1819d1519912e85eb5C09
Защита от грубой силы, предназначенная для защиты от таких атак, как подбор пароля, должна быть тщательно разработана и иметь соответствующие плюсы и минусы. Блокировка учетных записей, если она плохо спроектирована, может привести к атакам типа «отказ в обслуживании». CAPTCHA может раздражать пользователей и быть недоступной. В наши дни многие популярные средства защиты основаны на мониторинге и блокировании вредоносной активности на основе исходного IP-адреса. У этого есть много преимуществ по сравнению с другими методами: блокировка вредоносного источника не влияет на активность обычных пользователей, а поскольку не требуется взаимодействия с пользователем, легко доступно для всех юзеров приложения.
Эти типы блоков, связанных с исходным IP-адресом, часто также используются в сочетании с блокировками против «заведомо плохих» исходных IP-адресов, например, блокировка выходных узлов Tor, блокировка нежелательных исходных геолокаций или блокировка известных прокси-адресов. Комбинируя эти меры, многие поставщики приложений надеются, что они смогут сократить количество атак методом грубой силы со стороны большинства случайных злоумышленников. Предполагаемый барьер на данном этапе заключается в том, что злоумышленнику необходимо будет контролировать распределенную сеть (например, ботнет), чтобы иметь возможность провести такую атаку, и что это резко снизит уязвимость. Когда задействован IPv6, это предположение может оказаться неверным.
IPv6 предназначен для поддержки каждого подключенного к сети устройства, имеющего глобально маршрутизируемый адрес, что устраняет необходимость в абстракциях, таких как преобразование сетевых адресов (NAT). Адресное пространство для IPv6 гораздо! больше по сравнению с адресным пространством для устаревшего IPv4, которое сейчас исчерпано.
Интернет-провайдеры, поддерживающие собственные соединения IPv6 для своих клиентов, как правило, выделяют каждому клиенту выделенный блок подсети с префиксом /48 (из которого клиенты могут создать до 65 536 подсетей /64). Каждая из этих типичных подсетей /64 имеет 2 ** 64 (~18 квинтиллионов) потенциальных адресов — на несколько порядков больше возможных адресов, чем все адресное пространство IPv4.
На практике это означает, что пользователь с соединением IPv6 имеет доступ к потенциально огромному исходному адресному пространству IP-адресов.
Автоконфигурация адресов без сохранения состояния (SLAAC) MAC-адреса используются для создания идентификаторов интерфейса, которые являются частью адреса IPv6. Предполагается, что MAC является статическим и уникальным в глобальном масштабе, поэтому он включается в идентификатор интерфейса для адреса IPv6. Поскольку MAC-адреса связаны с конкретным сетевым интерфейсом (и не меняются в обычных условиях), это означает, что адреса, настроенные через SLAAC, имеют побочный эффект, позволяя отслеживать устройства в разных сетях. Если, например, пользователь перенес свой ноутбук из одной сети IPv6 в другую сеть IPv6, его идентификатор интерфейса не изменится, даже если его префикс изменится. Это приводит к очевидным проблемам конфиденциальности.
Для решения этой проблемы было введено расширение конфиденциальности IPv6 Privacy Extensions (https://www.rfc-editor.org/rfc/rfc4941). Большинство современных операционных систем используют временные адреса IPv6 для исходящего подключения, а не их SLAAC-адрес, связанный с MAC-адресом. Временные адреса генерируются узлом на основе изменяющихся во времени случайных битовых строк и имеют короткий срок службы (обычно не более одного дня). Из-за короткого срока службы и случайной природы они не позволяют отслеживать пользователей в различных сетях, что способствует конфиденциальности.
С сетевым подключением, поддерживающим SLAAC и подсетью IPv6, противнику очень легко начать атаку с одного хоста-источника, который обходит средства защиты, основанные на блокировке IP-адресов одного источника.
Например, на хосте Linux следующие два параметра ядра управляют временем жизни временного IPv6-адреса в секундах:
Понижение этих параметров означает, что временные адреса обновляются каждые несколько секунд:
Мы не тестировали это с сервером Windows, но принцип тот же.
Там, где автоматические средства защиты блокируют исходный IP-адрес, который делает определенное количество запросов в течение определенного периода времени, ротация временных IPv6-адресов каждые несколько секунд позволяет продолжить атаку без прерывания блоками. В нашем эксперименте с хостами и виртуальными машинами Linux поведение циклического изменения временных адресов IPv6 стало ненадежным, как только мы установили параметры времени жизни ниже 5 секунд, поэтому ваш результат может варьироваться в экспериментах с этим методом, но он, безусловно, позволял нам легко обойти контроль.
У этой тактики есть некоторые очевидные ограничения. В отличие от использования Tor, этот метод не обеспечивает анонимность; ваш интернет-провайдер увидит активность и сможет отследить эти адреса до вас, как клиента, но это позволит вам довольно быстро обходить блокировки на основе исходного IP-адреса.
Как защитник, если ваше предположение о барьере входа для контроля блокировки исходного IP-адреса состоит в том, что злоумышленнику потребуется большая бот-сеть для проведения атаки, вы, возможно, захотите пересмотреть это предположение. Вам следует рассмотреть другие элементы управления, которые вы могли бы реализовать в дополнение к этим.
ПЕРЕВЕДЕНО СПЕЦИАЛЬНО ДЛЯ xss.pro
$10 на gas для Jolah Molivski ---> 0x5B1f2Ac9cF5616D9d7F1819d1519912e85eb5C09
Защита от грубой силы, предназначенная для защиты от таких атак, как подбор пароля, должна быть тщательно разработана и иметь соответствующие плюсы и минусы. Блокировка учетных записей, если она плохо спроектирована, может привести к атакам типа «отказ в обслуживании». CAPTCHA может раздражать пользователей и быть недоступной. В наши дни многие популярные средства защиты основаны на мониторинге и блокировании вредоносной активности на основе исходного IP-адреса. У этого есть много преимуществ по сравнению с другими методами: блокировка вредоносного источника не влияет на активность обычных пользователей, а поскольку не требуется взаимодействия с пользователем, легко доступно для всех юзеров приложения.
Эти типы блоков, связанных с исходным IP-адресом, часто также используются в сочетании с блокировками против «заведомо плохих» исходных IP-адресов, например, блокировка выходных узлов Tor, блокировка нежелательных исходных геолокаций или блокировка известных прокси-адресов. Комбинируя эти меры, многие поставщики приложений надеются, что они смогут сократить количество атак методом грубой силы со стороны большинства случайных злоумышленников. Предполагаемый барьер на данном этапе заключается в том, что злоумышленнику необходимо будет контролировать распределенную сеть (например, ботнет), чтобы иметь возможность провести такую атаку, и что это резко снизит уязвимость. Когда задействован IPv6, это предположение может оказаться неверным.
Адресное пространство IPv6
IPv6 предназначен для поддержки каждого подключенного к сети устройства, имеющего глобально маршрутизируемый адрес, что устраняет необходимость в абстракциях, таких как преобразование сетевых адресов (NAT). Адресное пространство для IPv6 гораздо! больше по сравнению с адресным пространством для устаревшего IPv4, которое сейчас исчерпано.Интернет-провайдеры, поддерживающие собственные соединения IPv6 для своих клиентов, как правило, выделяют каждому клиенту выделенный блок подсети с префиксом /48 (из которого клиенты могут создать до 65 536 подсетей /64). Каждая из этих типичных подсетей /64 имеет 2 ** 64 (~18 квинтиллионов) потенциальных адресов — на несколько порядков больше возможных адресов, чем все адресное пространство IPv4.
На практике это означает, что пользователь с соединением IPv6 имеет доступ к потенциально огромному исходному адресному пространству IP-адресов.
Временная адресация IPv6
Автоконфигурация адресов без сохранения состояния (SLAAC) MAC-адреса используются для создания идентификаторов интерфейса, которые являются частью адреса IPv6. Предполагается, что MAC является статическим и уникальным в глобальном масштабе, поэтому он включается в идентификатор интерфейса для адреса IPv6. Поскольку MAC-адреса связаны с конкретным сетевым интерфейсом (и не меняются в обычных условиях), это означает, что адреса, настроенные через SLAAC, имеют побочный эффект, позволяя отслеживать устройства в разных сетях. Если, например, пользователь перенес свой ноутбук из одной сети IPv6 в другую сеть IPv6, его идентификатор интерфейса не изменится, даже если его префикс изменится. Это приводит к очевидным проблемам конфиденциальности.Для решения этой проблемы было введено расширение конфиденциальности IPv6 Privacy Extensions (https://www.rfc-editor.org/rfc/rfc4941). Большинство современных операционных систем используют временные адреса IPv6 для исходящего подключения, а не их SLAAC-адрес, связанный с MAC-адресом. Временные адреса генерируются узлом на основе изменяющихся во времени случайных битовых строк и имеют короткий срок службы (обычно не более одного дня). Из-за короткого срока службы и случайной природы они не позволяют отслеживать пользователей в различных сетях, что способствует конфиденциальности.
Злоупотребление IPv6, чтобы избежать ограничения скорости
С сетевым подключением, поддерживающим SLAAC и подсетью IPv6, противнику очень легко начать атаку с одного хоста-источника, который обходит средства защиты, основанные на блокировке IP-адресов одного источника.Например, на хосте Linux следующие два параметра ядра управляют временем жизни временного IPv6-адреса в секундах:
Код:
net.ipv6.conf.all.temp_prefered_lft = 86400
net.ipv6.conf.all.temp_valid_lft = 604800Понижение этих параметров означает, что временные адреса обновляются каждые несколько секунд:
Код:
sysctl net.ipv6.conf.all.temp_prefered_lft=5
sysctl net.ipv6.conf.all.temp_valid_lft=5Мы не тестировали это с сервером Windows, но принцип тот же.
Там, где автоматические средства защиты блокируют исходный IP-адрес, который делает определенное количество запросов в течение определенного периода времени, ротация временных IPv6-адресов каждые несколько секунд позволяет продолжить атаку без прерывания блоками. В нашем эксперименте с хостами и виртуальными машинами Linux поведение циклического изменения временных адресов IPv6 стало ненадежным, как только мы установили параметры времени жизни ниже 5 секунд, поэтому ваш результат может варьироваться в экспериментах с этим методом, но он, безусловно, позволял нам легко обойти контроль.
У этой тактики есть некоторые очевидные ограничения. В отличие от использования Tor, этот метод не обеспечивает анонимность; ваш интернет-провайдер увидит активность и сможет отследить эти адреса до вас, как клиента, но это позволит вам довольно быстро обходить блокировки на основе исходного IP-адреса.
Как защитник, если ваше предположение о барьере входа для контроля блокировки исходного IP-адреса состоит в том, что злоумышленнику потребуется большая бот-сеть для проведения атаки, вы, возможно, захотите пересмотреть это предположение. Вам следует рассмотреть другие элементы управления, которые вы могли бы реализовать в дополнение к этим.