معرفی tarpit (نوع خاصی از honeypot ها) قابل توجه صاحبان وب سایت ها
احتمالا با ایده Honeypot ها آشنا هستید. به طور خلاصه Honeypot ابزاریست برای به اشتباه انداختن یا حداقل تلف کردن وقت نفوذگر (وبه خصوص ابزارهای اسکن و ...) ، که با روشها و ابزارهای مختلفی قابل انجام است.
اما یکی از ایده های جالب در این زمینه، tarpitها هستند که گاهی از آنها به عنوان Sticky Honeypot نام برده میشود. این ایده به عنوان روشی برای مقابله با کرم Code Red مطرح شد و گسترش پیدا کرد، به طوری که امروزه در مجموعه patchهای استاندارد فایروال لینوکس پیاده سازی شده و قابل استفاده است، همچنین پروژه LaBrea این ابزار را برای ویندوز، Solaris و FreeBSD هم فراهم کرده است. کرم Code Red با اسکن کردن مداوم سرویس http روی شبکه آلوده، مقدار زیادی از پهنای باند را اشغال میکند. لذا ایده tarpit برای محدود کردن سرعت و متوقف کردن این نحوه اسکن مطرح شد. و اما نحوه کار به این شکل است که tarpit مجموعه IP های بلااستفاده شبکه را (با گوش دادن به بسته های arp بی پاسخ) مونیتور میکند. با یافتن این IP ها، پاسخ بسته های arp را با یک MAC Address جعلی (که در شبکه موجود نیست) به نفوذگر ارسال میکند و از این پس خود را به عنوان دارنده IP بلااستفاده تحمیل میکند. از اینجا به بعد، ارسال بسته ACK ، برقراری اتصال TCP و بقیه موارد توسط Tarpit انجام میشود، در حالی که واقعا چنين IP و چنين سرویسی در شبکه موجود نیست. بر اساس طبیعت پروتکل TCP و مکانیزم Flow Control آن، ارسال بسته ها میان نفوذگر و tarpit چند بار تکرار شده و اتلاف وقت میشود، و البته در مورد کرم ها، معمولا امکان ادامه اين سناریو پیاده سازی نشده و وجود ندارد. بنا بر اين اتصال TCP ایجاد شده، اما هیچ داده ای در آن قابل ارسال نیست، و تقاضای بسته شدن اتصال هم توسط tarpit پذیرفته نمیشود، لذا باید اتصال مربوطه timeout شود. اين مساله برای ابزارهای اسکن اتوماتیک و همینطور کرمها ایجاد مشکل میکند. (البته بعضی از ابزارهای اسکن امکان شناخت tarpit را دارند)
نكته: در فايروال لينوكس براي استفاده از امكان tarpit بايد ابتدا kernel و iptables را patch كرده و سپس به جاي DROP كردن بسته ها٬ كافي است كه از كلمه TARPIT در قواعد فايروال استفاده كنيد.
برای اطلاعات بیشتر به سایت های زیر مراجعه کنید:
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
[ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]
جواب بصورت نقل قول
حالا كه اينقدر كارت درست!!؟ يكمم به آموزش روشهاي دفاعي بپرداز (نمي دونم شايدم باشه ولي من كه چبزي نديدم)
