作者: samiux 時間: 2018-9-6 12:24 標題: 【討論】如何防禦伺服器端攻擊?
如何防禦伺服器端攻擊?
網絡攻擊日益嚴重,如何防範黑客的攻擊,已經成為資訊科技人員的主要工作。為了要防禦伺服器端攻擊,我設計了一部實驗機來證明我的理論是可行的。
首先,我們需要了解一下黑客作出攻擊行為時所要達到的目的是為何。
(一) 網絡攻擊種類 :
伺服器端攻擊
網頁應用程式攻擊
無綫網絡攻擊
瀏覽器端攻擊
社會工程攻擊
(二) 網絡攻擊前的準備 :
盡量搜集有關目標的資料,當獲得所需資料便可以進行進一步行動。
(三) 在伺服器瑞攻擊上需要搜集的資料 :
伺服器的作業系統種類和版本
伺服器上所有對外開放的應用程式種類和版本
伺服器對外開放的埠
伺服器上運行的應用程式的登入賬號和密碼
伺服器上運行的作業系統和應用程式的漏洞
(四) 在網頁應用程式攻擊上需要搜集的資料 :
網頁應用程式的種類和版本
網頁應用程式管理員的登入賬號和密碼
網頁應用程式的漏洞
(五) 在無綫網絡攻擊上需要搜集的資料 :
無綫網絡的名稱和密碼
無綫路由器的種類和版本
無綫路由器的漏洞
(六) 在社會工程攻擊上需要搜集的資料 :
利用社會工程獲取受害人的詳細資料或引誘其作出或不作出某種行為。
硏究與討論範圍主要集中在伺服器端攻擊,其他的攻擊面,容後有機會再討論和硏究。
現在的伺服器端方面的防禦方法是這樣的,大多數的資訊科技安全專家們會安裝防火牆,有的更會安裝入侵防禦系統,但坊間 (包括付費與否) 的防火牆或入侵防禦系統都未能阻止黑客在伺服器端進行資料搜集的行為。
我硏究中的伺服器端防禦方法是這樣的,若果黑客未能從資料搜集中獲取所需的資料,如伺服器作業系統資料、在其上運行的應用程式的資料等,進而未能獲得有關漏洞的資訊,如果強行作出攻擊,只會是徒勞無功的。
在這個理論上,我已經有實驗機 (Proof of Concept) 來證明這是可行的。如果大家有興趣的話,可以盡情去搜集我的實驗機的資訊,其網址是 infosec-ninjas.com,大家可以利用黑客工具,如 nmap 等,或者可以到 Shodan 網站查詢一下其結果。這部實驗機已經在互聯網中運作了超過六年,這並不存在互聯網沒有這部機的資訊了。
若果大家有任何建議,可以在這裡提出。
Samiux
OSCE OSCP OSWP
via HKEPC IR Pro 3.4.0 - Android(2.3.4)
作者: samiux 時間: 2018-9-9 08:55
本帖最後由 samiux 於 2018-9-9 09:45 編輯
牛角麵包 - 防禦入侵系統
牛角麵包 (Croissants) 是一項開源項目,但有一項同名的項目是商業版本的,開源版本的名字為牛角麵包 (社區版,Community Edition)。收費版本具有禦防網絡掃描器的偵測和推送更新的技術,其他的與開源版本大致是一樣的。
牛角麵包與統一威脅管理系統 (Unified Threat Management System, UTM) 和下世代防火牆 (Next Generation Firewall, NG Firewall) 有相當程度是相若的,不同的只是牛角麵包並沒有防火牆。
牛角麵包是由黑客設計與開發出來對付黑客的一個系統,不論他們是道德黑客或者是惡意黑客。
開源版的特性 :
她具有統一威脅管理系統和下世代防火牆的大部份特性,例如防禦漏洞利用、防止病毒攻擊、惡意網絡地址黑名單、防禦惡意軟件攻擊、惡意網頁攻擊過濾、防止洋蔥網絡 (Tor) 瀏覽、防止有敵意的網絡流量、偵測網絡掃描器掃描等。
至於效能方面,她有極低延遲性的特點,有效地提高網絡遊戲的可玩性,而且能夠有效地播放 4K 的多媒體,她更能夠處理大約 40GB 或以上的流量,當然這也與硬件的規格有相當大的關係。
至於配置方面,她幾乎可以配置在網絡中的任何位置,包括網外和網內。如果再配合奧德拉 (Audra) (偵測入侵系統),這樣每個網段都涵蓋得到。奧德拉也是基於牛角麵包 (社區版) 而設計的偵測入侵系統,其元件是完全一樣的。
收費版的特性 :
除了具有社區版的功能外,她還有推送更新技術,如遇緊急情況,可以立刻對牛角麵包作出遠端更新,以求達到防禦入侵的最佳效果。
另外她還可以擋格所有網絡掃描器的偵測,令黑客不能有效地得到意圖入侵目標的資訊,從而未能有效地作出攻擊。如果盲目地作出攻擊,這是徒勞無功的。這樣就可以防止或延遲被入侵的可能性,這功能特別適合於有伺服器配置在網絡中的環境。
如果想體驗一下收費版的特殊功能,可以利用網絡掃描器,如 nmap 等工具掃描一下 infosec-ninjas.com 或者到 Shodan 網站查詢一下。如果大家不想用自己的電腦作出掃描,坊間是有一些綫上掃描器的,大家不妨一試。
詳細資料可以到 https://www.infosec-ninjas.com 瀏覽。有空的話不妨也看看我寫有關資訊科技安全的電子書,看了後你就更會了解牛角麵包背後設計的理念。
Samiux
OSCE OSCP OSWP
via HKEPC IR Pro 3.4.0 - Android(2.3.4)
作者: da7lee 時間: 2018-9-9 16:28
支持!
作者: max35988 時間: 2018-9-18 01:26
Ching好勁,支持多啲講資安
via HKEPC Reader for Android
作者: wiz123 時間: 2018-9-18 19:00
本帖最後由 wiz123 於 2018-9-18 19:06 編輯
而家有CLOUDFLARE其實好方便. 咁以前咁多野要唸要做
用IPTABLE一句就封晒D IP, 剩比CLOUDFLARE 果幾十個IP RANGE入到PORT 80, 攪店

如果果個HACKER用D招數新到勁到連CF個PROXY都DETECT唔到, 只有用最後RESTORE OFFLINE BACKUP一招. 好彩呢D咁勁HACKER都會唔對D普通網站有興趣
作者: samiux 時間: 2018-9-18 19:55
本帖最後由 samiux 於 2018-9-18 19:58 編輯
而家有CLOUDFLARE其實好方便. 咁以前咁多野要唸要做
用IPTABLE一句就封晒D IP, 剩比CLOUDFLARE 果幾十個IP ...
wiz123 發表於 2018-9-18 19:00
其實 Cloudflare 是可以繞過的,我能夠繞過她,是非常容易的,另外如果你的網站是用加密的,在 Cloudflare 後面都不是那麼安全,因為我都能夠繞過。
我不是一定要獲取網站的真實的地址的情況下去繞過她。
via HKEPC IR Pro 3.4.0 - Android(2.3.4)
作者: wiz123 時間: 2018-9-18 23:13
本帖最後由 wiz123 於 2018-9-19 03:16 編輯
Cloudflare是可以繞過, 但....首先要知道TARGET的真實IP,
而且TARGET己SET 了FIREWALL, 只會對來自Cloudflare IP的TRAFFIC回應.
這個設定不能用己被公開的漏洞來入侵吧.
要扮自己是CLOUFLARE IP應該不是普通人能做到的事, 除非上層ROUTER已被HACK

作者: samiux 時間: 2018-9-19 09:29
Cloudflare是可以繞過, 但....首先要知道TARGET的真實IP,
而且TARGET己SET 了FIREWALL, 只會對來自Cloud ...
wiz123 發表於 2018-9-18 23:13
不是!我已經說過,我可以在不需要伺服器的真實地址下來繞過 Cloudflare。你所講的設定是毫無用處的,其實 Cloudflare 是非常容易被繞過,不論你如何設定她。
via HKEPC IR Pro 3.4.0 - Android(2.3.4)
作者: wiz123 時間: 2018-9-19 12:08
本帖最後由 wiz123 於 2018-9-19 12:31 編輯
如果有時間我試下用FREE cloud求其SET個SERVER START黎比你HACK, 改到INDEX PAGE當HACK到. 我都想知係咪真係咁易
其實你係咪想講, 有好多EMAIL SERVER和WEB SERVER用埋同一個IP, 只要一CHECK DNS RECORD, 個WEB SERVER真實IP就會知道左? CLOUDFLARE個FAQ話要分開兩個IP如果唔想比人知真實IP
作者: wiz123 時間: 2018-9-19 12:22
本帖最後由 wiz123 於 2018-9-19 12:24 編輯
就算能繞過Cloudflare也沒有用, 如果目標只會對Cloudflare IP作出回應
作者: kenfung 時間: 2018-9-19 12:39
Cloudflare是可以繞過, 但....首先要知道TARGET的真實IP,
而且TARGET己SET 了FIREWALL, 只會對來自Cloud ...
wiz123 發表於 2018-9-18 23:13
我想信要過CF 對好多hacker 來講不是什麼..但問題...要attack 只對cf IP 做response 的server.. 真係咁容易嗎 ?
作者: kenfung 時間: 2018-9-19 12:46
Hi Samiux,
想問下 Croissants 可以裝係VM 嗎 ?
作者: samiux 時間: 2018-9-19 13:46
理論上可以,但處理器的負荷會非常高。
牛角麵包需要有至少 AVX2 的處理能力。
via HKEPC IR Pro 3.4.0 - Android(2.3.4)
作者: samiux 時間: 2018-9-19 13:54
其實你們都不明白 Cloudflare 的設計和運作。
她的主要功能只是抵擋分佈式的拒絕服務攻擊或一般的拒絕服務攻擊。
如果你要瀏覽被 Cloudflare 保護的伺服器,就是用 Cloudflare 的地址去瀏覽,所以你的網站只回應 Cloudflare 的地址,在對黑客來說是沒有問題的。
via HKEPC IR Pro 3.4.0 - Android(2.3.4)
作者: wiz123 時間: 2018-9-19 21:41
本帖最後由 wiz123 於 2018-9-19 21:45 編輯
Cloudflare除左阻DDOS, 重應該有個資料庫去MATCH D已公開左的ATTACK PATTERN,
如果連Cloudflare個資料庫都MATCH唔到果個攻擊PATTERN比佢D TRAFFIC過到.
呢D我會當佢做最高級別的ZERO DAY ATTACK, 冇得救的,
就算救到都晒時間精神, 救呢D要24小時MON住
普通人不會有D咁重要野, 值得比D真正高手咁HACK法,
而且佢只要用左一次, Cloudflare個資料庫就有左佢個PATTERN, 下次已經冇得再用, 唔值
作者: samiux 時間: 2018-9-19 23:31
Cloudflare除左阻DDOS, 重應該有個資料庫去MATCH D已公開左的ATTACK PATTERN,
如果連Cloudflare個資料庫 ...
wiz123 發表於 2018-9-19 21:41
真的嗎?是官方的申述? 抑或是你的估計?
我經常會遇到由 Cloudflare 保護的網站,只要目標是具有漏洞的,我是可以入侵無誤的,而且是不費吹灰之力。
當然,她具有網頁防火牆的功能,但不是你想像中的超強威力,是非常容易繞過的。
如果你要強和有相同功能的供應商,是有兩個的,她們是這個行業的表表者,至於名稱我不便透露,因為她們實在是很強的,我暫時未能繞過,或者另有高手可以做到吧!
via HKEPC IR Pro 3.4.0 - Android(2.3.4)
作者: wiz123 時間: 2018-9-20 10:58
本帖最後由 wiz123 於 2018-9-20 11:12 編輯
如果你試過, 至少在你的Cloudflare設定和你的測試下, 在目前是真的
另外2間乜水有時間我都想試下
有冇其他高手知道願意大方透露一下
BTW, 最好攪實名IP地址, 好似人名咁, IP地址跟一世
INTERNET跟本就是現實世界, 應該同現實世界一樣,
作者: qkuser 時間: 2018-9-20 12:12
本帖最後由 qkuser 於 2018-9-20 12:26 編輯
1, Akamai Edge
2, Amazon CloudFront
3, MaxCDN
Cloudflare 係有ATTACK PATTERN database , 但有幾強大就唔知了, 對我來講,佢只係比較多reverse proxy , 用來擋下ddos 無問題
Cloudflare 賣點:
Added security. Protects your website from all sorts of online threats. Including DDoS protection.
Site analytics. View your website traffic, but also the number of threats avoided, bot traffic, and more.
24/7 email and phone support, but only on the most expensive plan.
作者: samiux 時間: 2018-9-20 20:58
新蛋網最近發現被黑,被入侵時間長達一個月,客戶的信用卡資料恐被盜。
我於是看看她是否有雲端網頁防火牆之類的保護,查看後並作了一個不專業的分析,我認為她在被入侵前已經被知名的雲端網頁防火牆所保護 (當然不是很爛的 Cloudflare 啦,就是我提及的兩個其中一個)。
果然尚有高手! 佩服佩服!
via HKEPC IR Pro 3.4.0 - Android(2.3.4)
作者: wiz123 時間: 2018-9-20 23:14
新蛋網最近發現被黑,被入侵時間長達一個月,客戶的信用卡資料恐被盜。
我於是看看她是否有雲端網頁防火牆之類的保護,查看後並作了一個不專業的分析,我認為她在被入侵前已經被知名的雲端網頁防火牆所保護 (當然不是很爛的 Cloudflare 啦,就是我提及的兩個其中一個)。
果然尚有高手! 佩服佩服!
samiux 發表於 2018-9-20 20:58
如果有個賊仔搵到支AK47打劫金行, 會有D乜野人佩服佢
其實而家呢個世代拿到信用卡資料冇乜大用途, 錢流向實CHECK到, 估計多數羅去買BITCOIN. 呢D代幣其實應該一早就禁, 主要用途都係比人洗黑錢.
作者: samiux 時間: 2018-9-20 23:30
如果曹操是奸的話,為何他也有知心好友,而忠的關雲長亦有對頭人?
via HKEPC IR Pro 3.4.0 - Android(2.3.4)
作者: wiz123 時間: 2018-9-21 09:38
本帖最後由 wiz123 於 2018-9-21 09:49 編輯
...所以學校教育必須德育并重,
如果人們只擁有知識技術而沒有駕馭它的能力, 人類世界只會走向滅忙
上年咁大單有間銀行比人HACK左18億元, 好似香港冇乜人講過
如果HACKER換晒BITCOIN重點追
https://www.ithome.com.tw/news/117397
在10月3日這一天,遠東國際商業銀行(簡稱遠銀)的國際匯款系統SWIFT(環球銀行間金融電訊網路)發生了交易系統異常,駭客盜轉了18億元匯款到海外三國,遠東銀行在3天後的傍晚對外公開,立刻震驚了全臺。
作者: samiux 時間: 2018-9-21 10:18
我有高尚情操, 就可以違法達義。 不是我定義的, 是香港很多法官和學者的定義, 所以如果要駡的話, 請不要罵我, 請駡他們, 是他們教我的。
via HKEPC IR Pro 3.4.0 - Android(2.3.4)
作者: 20152015 時間: 2018-9-21 10:56
via HKEPC IR Pro 3.4.0 - Android(2.3.4?
作者: tmaxene 時間: 2018-9-21 11:20
提示: 作者被禁止或刪除 內容自動屏蔽
作者: freefdhk 時間: 2018-9-21 13:32
如果 IP 好似 身份證咁跟一世的確好多野好易追,
不過而家換 IP 易其實都吾錯, 被Attack 就換IP , 面層用 CF 底層用 浮動IP 做 Server ( HKT RECONECT 換IP ) ,
真IP 偵測到有不正常的其他訊號就直接 send 訊息比 firewall reconect 換 IP (行dual wan 確保吾好同時2粒 ip 同換就冇downtime )

不過 data center host server 通常都吾俾係咁換ip , 都係商用寬頻 pppoe 容易簡單快捷.
作者: freefdhk 時間: 2018-9-21 13:34
bypass左個 cloudflare , 而對方server 只回應 cloudflare ip ,
咁其實 hack 到既係 攔截 package 定係 可以好似冇用咁 hack埋 server 改 web program code ?
作者: samiux 時間: 2018-9-21 14:23
bypass左個 cloudflare , 而對方server 只回應 cloudflare ip ,
咁其實 hack 到既係 攔截 package ...
freefdhk 發表於 2018-9-21 13:34
你所提到的轉換新地址是沒有用處的,黑客根本不是要你的真實地址,有你的網址就可以了。
另外,Cloudflare 和網址都是指向你的網頁伺服器,所以黑客的攻擊是直接指向你的網頁伺服器。你們現在是否明白這個運作原理嗎?
via HKEPC IR Pro 3.4.0 - Android(2.3.4)
作者: wiz123 時間: 2018-9-21 15:08
本帖最後由 wiz123 於 2018-9-21 15:23 編輯
換IP至少可以暫時避到直接DDOS真實IP
跟住就有時間CHECK下個攻擊邊到黎, 係佢後面出招
之前有新聞, 大陸有個好出名的BOTNET就係咁拉到個主腦, 不過呢D人拉到可能都係比軍方招入伍...
DDOS就算個SERVER銅牆鐵壁HACK唔入, 全世界入唔到即係同死機一樣

作者: samiux 時間: 2018-9-21 15:22
CDN (Content Delivery Network) 不是這樣分流分佈式拒絕服務攻擊的,你們連這個原理都不明白,又怎樣知道 CDN 是你們所需要的服務呢?
via HKEPC IR Pro 3.4.0 - Android(2.3.4)
作者: wiz123 時間: 2018-9-21 15:25
本帖最後由 wiz123 於 2018-9-21 15:29 編輯
大家都重以為係講緊D中小型網站, 唔會用到果類CDN
最多人最有興趣都係CLOUDFLARE入面最普通果款果類
作者: samiux 時間: 2018-9-21 15:38
真是牛皮燈籠,Cloudflare 就是內容傳遞網絡 (CDN) 了。
via HKEPC IR Pro 3.4.0 - Android(2.3.4)
作者: wiz123 時間: 2018-9-21 22:38
本帖最後由 wiz123 於 2018-9-21 22:40 編輯
真是牛皮燈籠,Cloudflare 就是內容傳遞網絡 (CDN) 了。
via HKEPC IR Pro 3.4.0 - Android(2.3.4) ...
samiux 發表於 2018-9-21 15:38
CDN = CLOUD?
作者: samiux 時間: 2018-9-21 23:44
我在三十樓和三十二樓已經講了。請多多問谷歌大神。
via HKEPC IR Pro 3.4.0 - Android(2.3.4)
作者: wiz123 時間: 2018-9-22 11:31
本帖最後由 wiz123 於 2018-9-22 11:32 編輯
CDN=content delivery network 是cloud的一種, 或者是cloud的一個SUBSET, 但cloud 不等如CDN,
就好似FACEBOOK是一個CDN, 不會把它說是CLOUD吧?
如果你講到FACEBOOK果類CDN, 都唔係普通人用, 用到係果到D保安方法未必用到係中小型網站.
講真好多時都唔想用google, 如果D字眼比教敏感, 佢乜都FLAG, 手尾長
作者: samiux 時間: 2018-9-22 12:05
CDN=content delivery network 是cloud的一種, 或者是cloud的一個SUBSET, 但cloud 不等如CDN,
就好似FACE ...
wiz123 發表於 2018-9-22 11:31
其實我不知道要說些什麼!
https://www.cloudflare.com/lp/content-delivery-network/?_bt=268144030759&_bk=cloudflare&_bm=e&_bn=g&_bt=268144030759&_bk=cloudflare&_bm=e&_bn=g&gclid=Cj0KCQjwrZLdBRCmARIsAFBZllGvXQrIfPH99WF6nAF2nBt-UTlgmOzO_deFG5A1OXQ2gVcLSU0VDWcaAs2hEALw_wcB
via HKEPC IR Pro 3.4.0 - Android(2.3.4)
作者: wiz123 時間: 2018-9-22 15:10
其實我不知道要說些什麼!
https://www.cloudflare.com/lp/co ... etwork/?_bt=2681440 ...
samiux 發表於 2018-9-22 12:05
cloudflare其中一個功能是CDN,
我的CDN定義是不包括FIREWALL, CDN就係字面咁解content delivery network
不過無謂做字眼針著, 牛津字典都成日加新字,
如果大家將來都指鹿為馬, 只要大家都知道大家係講緊有角個隻動物就是了, 文字是用來溝通
作者: samiux 時間: 2018-9-22 19:00
cloudflare其中一個功能是CDN,
我的CDN定義是不包括FIREWALL, CDN就係字面咁解content delivery network
...
wiz123 發表於 2018-9-22 15:10
若果你在 Cloudflare 公司出現時就開始留意她的話,你就知道起初她是一間內容傳遞網絡公司,當時她的主要業務是阻擋分佈式拒絕服務攻擊,後來出了名之後就在其服務中加入雲端網頁防火牆,其後更加入加密證書服務。
所以 Cloudflare 名乎其實是一間內容傳遞網絡公司。如果想了解更多,可以閱讀她以往的博客。
via HKEPC IR Pro 3.4.0 - Android(2.3.4)
作者: samiux 時間: 2018-9-25 06:38
雲端網頁防火牆安全嗎?
大部份的雲端網頁防火牆 (Cloud Based Web Application Firewall, WAF) 是基建於內容傳遞網絡 (Content Delivery Network, CDN)。她們大致是使用類似代理伺服器 (Proxy) 的原理來完成網頁防火牆的功能。
現在幾乎所有網站都使用了加密證書 (SSL Certificate) 以加密的方式來連接。因為這個原因,除了自身網站的加密證書外,雲端防火牆亦有一張雲端網頁防火牆供應商的加密證書。
每當客戶端連接網頁伺服器時,就會經過兩張加密證書,可以說是雙重加密。問題來了,要知道加密了的流量 (traffic) 是不能夠被第三者檢視,所以由網頁伺服器流出或流入的流量都不能夠被雲端網頁防火牆所檢測,而由雲端網頁防火牆流出或流入到網頁伺服器的流量亦都不能被網頁伺服器所檢測。
至於有一些雲端網頁防火牆的客戶沒有網頁伺服器加密證書,只使用雲端網頁防火牆的。但是大部份的雲端網頁防火牆都是共享式的加密證書,其存在安全性的疑問。
就是因為加密了,所以第三方的網頁防火牆不能夠容易地解讀其經過的流量。高端黑客就是這樣繞過雲端網頁防火牆的。所以我個人認為雲端網頁防火牆不是想像中的那麼安全。
Samiux
OSCE OSCP OSWP
via HKEPC IR Pro 3.4.0 - Android(2.3.4)
作者: dllm2048 時間: 2018-9-25 14:30
Cloudflare 點只CDN, 佢都有WAF.
當然佢保護性幾強就見仁見智.
S會員成日強調"高端黑客", 你遇到"高端黑客"咩都冇用呀.
作者: samiux 時間: 2018-9-25 16:22
高端者 (Advanced) 是有經驗吧!高端黑客滿街都是,有可能是你身旁的大叔,又或者是十來歲的稚童。
via HKEPC IR Pro 3.4.0 - Android(2.3.4)
作者: dllm2048 時間: 2018-9-25 16:50
"高端黑客滿街都是"

真有趣
作者: samiux 時間: 2018-9-25 18:51
本帖最後由 samiux 於 2018-9-25 19:00 編輯
當人人都懂得用電腦時,掌握黑客技術有多難?只要理解入侵原理和使用技術,每個人都可以是黑客。當黑客並不是難事,我曾認識一位五十來歲的大叔,他具有高超的黑客技術。新聞亦曾看見稚童是黑客,入侵而被捕。
via HKEPC IR Pro 3.4.0 - Android(2.3.4)
作者: mmkacey 時間: 2018-9-25 19:11
提示: 作者被禁止或刪除 內容自動屏蔽
作者: samiux 時間: 2018-9-25 19:28
回復 samiux
建議你唔洗 post lor.
你乜背景,層次冇人知,
會唔會係 hacker 來搵人笨開 port?
via HKEP ...
mmkacey 發表於 2018-9-25 19:11
我幾時叫人開端口?你有閱讀障礙?
via HKEPC IR Pro 3.4.0 - Android(2.3.4)
作者: dllm2048 時間: 2018-9-25 20:03
佢只係不斷推POST, 呃like, 呃view, 係EPC幫自己產品買廣告.
作者: samiux 時間: 2018-9-25 21:03
我們現在正討論的是雲端網頁防火牆或者網頁防火牆,而我開發的是入侵防禦系統,如果對此有基本常識都知道大家是不同的,是兩碼子的事,何來作推廣呢?
況且,在這裡會有公司的掌舵人或信息安全官來這裡採購?
via HKEPC IR Pro 3.4.0 - Android(2.3.4)
作者: dllm2048 時間: 2018-9-25 21:23
唔覺得你有進行有建設性討論, 你只係一直踏cloudflare.
咁推銷法真係反感.
你可能網絡安全方面好強, 但推銷, 個人包裝, 講說技巧就太差了.
作者: samiux 時間: 2018-9-25 21:39
我對雲端網頁防火牆 (包括 Cloudflare) 的評論是公正的。我只是分析和說明雲端網頁防火牆的原理和其弊病。
我何來推廣?數十萬港元的入侵防禦系統你們能負擔得起?
via HKEPC IR Pro 3.4.0 - Android(2.3.4)
作者: mmkacey 時間: 2018-9-25 21:52
提示: 作者被禁止或刪除 內容自動屏蔽
作者: fvson 時間: 2018-9-26 15:38
本帖最後由 fvson 於 2018-9-26 15:42 編輯
裝個Suricata 加ELK stack 要幾十萬?
要幾唔要面先會將人地個open source IDS/IPS project, Suricata, 當係自己project, 仲當commerical product 賣出街
作者: fvson 時間: 2018-9-26 17:26
原本都唔想理你
不過見你咁可恥真係頂唔順
你講啲野前言不對後語
一開始自己走去分"伺服器瑞攻擊"同"網頁應用程式攻擊"
話"硏究與討論範圍主要集中在伺服器端攻擊"
結果去到cloudflare
個user 用cloudflare + ip whitelist 你根本講唔出點做"伺服器瑞攻擊"
講黎講去+閃爍其辭都係"網頁應用程式攻擊"
呢個仲可笑
用左CDN, 所有requests 都係先係CDN 處理, 再由CDN 決定是否回源
所以任何形式既DDOS都係CDN 先承受, 而cloudflare 更加唔會forward 呢啲
requests 去origin, 咁點直接影響origin?
跟住你駁malicious requests 已經去返"網頁應用程式攻擊"層面
個程式有漏洞你裝個幾十萬既defense system 都未必有用
最後更加冇提你所謂果套牛角包會點幫到
作者: samiux 時間: 2018-9-26 18:46
首先,不是由我提出討論雲端網頁防火牆或者是 Cloudflare 的,是其中一位會員提出的。我也不是針對雲端網頁防火牆而來的。基於我對雲端網頁防火牆略有認識,所以作出解答。請回看之前的討論,請不要無故作出不合理的論述或者斷章取義。
其次,入侵防禦系統是與網頁防火牆原則上是不同的產品。基本上入侵防禦系統是不能夠處理已經加密的流量,包括由網頁伺服器加密了的流量。因為這是第三方的處理方案,有如雲端網頁防火牆一樣都是第三方。所以第三方的雲端網頁防火牆是不能正常或完全處理加密了的流量。(按:有可能你不明白我在說些甚麼)
這時你可以說,入侵防禦系統在這個情況也是完全毫無用處的。在這個情況下,這的確是毫無用武之地。所以這就說明了任何一個解決方案都有其盲點,包括雲端網頁防火牆和入侵防禦系統。
至於如何繞過雲端網頁防火牆,恕我直言,不便透露。當然你可以說我是不懂的,這又何干呢?證明了又如何,你們看得懂嗎或聽得明嗎?
開源項目是否可以賣錢的,不是由我首創的,市場上的比比皆是。至於如何值這麼多錢,如果你不是潛在客戶的話,我是不會與你討論她如何這麼值錢。況且,我不會在這裡買賣我的產品,因為這裡大致是沒有人知道這是甚麼東東來的。而且這裡不可以在未獲批准的情況下作出商業活動。
況且,如果你對企業用的入侵防禦系統略有認識的話,你就會知道為何她們這麼貴了。我相信大家未必使用過這類的產品。
再者,這裡太多人不了解甚麼是開源項目。每個人都只是用自己的理解方式或者意願去了解或解說她。
我在這裡提出這個討論題目,只是想與大家一起去探討如何防止伺服器端的攻擊。當然我首先要有些資訊提出或者作出立論。或者大家有比我更好的方法去處理她也不定。討論問題未必一定有一個結論,但可以作為一個非常有效的腦震盪吧。
最後,如骨在喉,不吐不快,這裡有一個非常特別的風氣,不論任何版塊,就是有一些人特別喜歡去攻擊別人,而不是正正經經地去討論問題。至於甚麼呃瀏覽等指控,我是否有實質價值上的獲益嗎?這可說是非常幼稚的想法。就因為這樣,有識之士不會立於危牆下,這裡只會「塘水滾塘魚」!
via HKEPC IR Pro 3.4.0 - Android(2.3.4)
作者: fvson 時間: 2018-9-26 22:52
本帖最後由 fvson 於 2018-9-26 23:09 編輯
我只需要問你成段介紹文, 有邊啲功能係你contribute, 有邊啲係reuse third party 既
除左個installer script, 我見唔到個project有咩contribution
然後你將所有功能, 當係自己做, 冇畀人地credit
我冇話你違反GNU, 我話你無恥
我當然唔會係你個客, suricata 我自己都識
我畀錢subscribe rule update 好過
你話你想討論
下下話人唔識唔解釋, 叫討論? 定自命不凡孤芳自賞
大把WAF, 包括cloudflare, 已經可以做SSL Termination, 所以你話用HTTPS 就可以繞過都唔知係幾多年前既事
FYI HKU 全民投票果次cloudflare 已經有做SSL Termination
亦係首次公開發現有人用cpu consuming crypto algo 去做HTTPS DDOS
作者: fvson 時間: 2018-9-26 23:45
雲端網頁防火牆安全嗎?
大部份的雲端網頁防火牆 (Cloud Based Web Application Firewall, WAF) 是基建於 ...
現在幾乎所有網站都使用了加密證書 (SSL Certificate) 以加密的方式來連接。因為這個原因,除了自身網站的加密證書外,雲端防火牆亦有一張雲端網頁防火牆供應商的加密證書。
每當客戶端連接網頁伺服器時,就會經過兩張加密證書,可以說是雙重加密。問題來了,要知道加密了的流量 (traffic) 是不能夠被第三者檢視,所以由網頁伺服器流出或流入的流量都不能夠被雲端網頁防火牆所檢測,而由雲端網頁防火牆流出或流入到網頁伺服器的流量亦都不能被網頁伺服器所檢測。
至於有一些雲端網頁防火牆的客戶沒有網頁伺服器加密證書,只使用雲端網頁防火牆的。但是大部份的雲端網頁防火牆都是共享式的加密證書,其存在安全性的疑問。
samiux 發表於 2018-9-25 06:38
錯,根本冇雙重加密
User ------> WAF / CDN -------> Origin
User 到WAF 係一個HTTPS Session, CDN 到Origin 係另一個HTTPS Session
何來WAF 因為HTTPS 加密而不能檢查data?
然後,
共享式的加密證書有乜安全疑問?
你係咪話用共享式的加密證書容易被人破解? 理據?
定private key 容易洩漏? 但shared cert 既private key 只有CDN 系統先有, key leakage個risk 同你upload 張私人cert 上去一樣
作者: samiux 時間: 2018-9-27 00:56
錯,根本冇雙重加密
User ------> WAF / CDN -------> Origin
User 到WAF 係一個HTTPS Session, CDN 到O ...
fvson 發表於 2018-9-26 23:45
首先,閣下來勢兇兇,我不知道我有何冒犯了你。
如果你真的知道和認識 Suricata 的話,你應該可以察覺得到有何不同。當然我不是指我更改了 Suricata 的核心部份呢。況且,我已經標示了我所使用了那些主要的開源軟件。難道我不提及其他開發者的名字,就是指我開發的?道理何在?
如果你懷疑我沒有對我的入侵防禦系統作出修改或加添功能的話,你可以嘗試攻擊我的伺服器和你自己的 Suricata 作出比較,你就會知道的了。攻擊當然不是指拒絕服務攻擊或分佈式拒絕服務攻擊了吧!
至於你提到的 SSL Termination,你是指分佈式拒絕服務攻擊部份?如果是的話,抱歉我直言,你真的不明白我在說些甚麼。
至於你說不是雙重加密的話,就不是雙重加密吧!反正這又不與我有關,我是不會使用雲端網頁防火牆的。如果你認為是我錯了,這就我錯了吧,不用這麼勞氣。我只是分析這個設計的原理和其弊病。如果有人相信我的話,就請加留意這個問題。如果從前在西方,我說地球是圓的話,將會被燒死,我可算幸運的,只是被人駡幾句可恥吧了!
至於所謂共享加密證書的疑問,這是未被證實的,所以不便公開和莽加評論,我只是提出一下吧了。
至於討論這問題,我是討論如何防禦伺服器端攻擊。而這個話題被其他人扯開了,而我只是分析被扯開的話題,並不是與其討論這個被扯開的話題。
via HKEPC IR Pro 3.4.0 - Android(2.3.4)
作者: fvson 時間: 2018-9-28 10:14
唔識既人係你吧
SSL termination 即係decrypt SSL, so the SSL session is terminated there
你係識HTTPS 既話你應該知道CDN唔decrypt HTTPS traffic, 就攞唔到HTTP Header, 就唔知個request 係去邊個domain, 咁仲點做CDN??
所以話用HTTPS 就可以bypass 因為CDN decrypt 唔到, 真係荒天下之大謬
最後suricata 只不過係個Engine, 係按rules 去出alert 甚至filter traffic, 視乎一個人點裝
出面有免費rules, 亦有收費既. e.g. https://www.proofpoint.com/us/threat-insight/et-pro-ruleset
所以你話你所謂既牛角包會做得比suricata 好, 就不過係啲rules 好啲(相對自帶既非常基本而言)
但啲rules 又唔係你maintain 喎
根本你claim 既features 都唔係你contribute 既
作者: samiux 時間: 2018-9-28 14:42
唔識既人係你吧
SSL termination 即係decrypt SSL, so the SSL session is terminated there
你係識HTTP ...
fvson 發表於 2018-9-28 10:14
我以為 SSL Termination 是指甚麼新事物,Cloudflare 的做法,我相信大致是 SSL Termination Proxy 和 Server Name Indication (SNI) 的做法。我在今年年中曾經繞過她,所以我才這樣說。
官方有文章講述她如何處理加密證書的,其連結是這個。
至於我的入侵防禦系統牛角麵包是使用了 Suricata 做主要核心引擎,如果你說我的牛角麵包是優於 Suricata 的,你絕對錯誤,牛角麵包就是 Suricata。
我編寫了一些自己的規則給我的牛角麵包,這些規則是針對黑客的思維和技術而編寫的。當然牛角麵包當中也有其他的開源規則。至於收費版本與開源版本是大致一樣,只是開源版本少了一些特異功能。收費版本不會隨便售賣的,有時有錢都未必買到她,因為我不是商人,我不是為錢而設計她的。
牛角麵包是由黑客設計來對付黑客的工具。
via HKEPC IR Pro 3.4.0 - Android(2.3.4)

