Перейти к содержанию
Авторизация  
logan22

Рекомендации По Защита От Брутфорса

Рекомендуемые сообщения

В данной статье Я хочу сказать несколько уловок и рекомендаций по поводу защиты от Брута ваших java серверов.

 

Конечно на 100% даже Европейские сервера не защищены.

Но некоторые манипуляции сделать возможно.

Существует такая программа как l2brute - она в открытом доступе.

Существует ещё и другая, она распространена для узкого круга.

 

Но прежде чем Я буду говорить как защитить Я Вам объясню откуда такие БД берутся с аккаунтами и паролями.

Расскажу поверхностно, чтоб вы имели представление как это делается.

Представьте себе картину...

Вы играете на каком-то сервере с хорошим онлайном, наверное там уйма донов и латентных задротов.

И в какой-то момент сервер перестает работать.

У Админа на компе тысячи аккаунтов и паролей разных людей, которая находиться непосредственно в БД.

Пароль выглядит зашифрованным (нынче Sha1(Base64), бывают и другие к примеру Whirlpool), расшифровать невозможно.

Можно использовать брут, который будет создавать пароль и шифровать по алгоритму SHA1(Base64), а дальше сравнивать сбрученный пароль с паролей который в БД.

Если сравнение удачно значит пароль верный.

Скорость брута может быть и 10-50-100 миллионов за 1 сек. В моем случае играет роль видеокарта.

В принципе так создаются словари для аккаунтов и паролей.

 

Словарь с брутом можно указать в спец. программе для брута серверов LineAge 2.

 

На сервере стоит базовая защита с ограничением по времени на подключение к серверу.

К примеру если за 1 минуту коннектов будет 10 то Вас дисконнектит.

Если в л2Бруте delay( задержку ) на 8 сек., получиться за 1 минуту 7 проверочных аккаунтов.

Теперь если Вы человек толковый в Вашем распоряжении должно быть пару взломанных дедиков, к примеру 10.

На всех дедиках начинаем брутить, + ваш личный комп.

За час брута с 11 компьютеров будет проверенно примерно 4620 аккаунтов.

 

Зачастую, чтоб не продисконнектило, возможно создать "правильное" подключение через каждых 3-4 коннекта из словаря для брута.

Правильное имеется в виду аккаунт и пароль который существует на сервере.

Обычно после успешного коннекта к серверу счётчик который считает кол-во подключений сбивается.

 

Обезопасить себя в данном случае можно если на сервере стоит префикс при создании аккаунта.

Вы не поверите, существуют умельцы которые знают как и это обойти :-)

......

 

Так как Я когда-то хотел ставить сервер много думал о безопасности персонажей..анализировал..сверял..обдумывал все "за" и "против".

Пришел к выводу что человек не любит напрягать голову чтоб придумать новый пароль.

Нужно сделать это за него.

Рекомендую чтоб пароль для аккаунта создавался случайным образом из списка английских слов которые длиннее 7 символов.

Почему?

Английский язык богатый словами и используется нами в повседневной жизни.

Он проще, его слово легче запомнить и восприятие к английскому языку у нас ближе чем к другому.

В пароле случайным образом установить где будет находиться случайная цифра.

Первая или на 6 месте слево.

abando9n

Этот нюанс уменьшит шанс подобрать пароль к персу в тысячу раз.

К примеру у нас 2к английских слов.

длиной от 7 до 10 символов.

Теперь представьте это громадное число возможных паролей.

В Эксперименте используем два числа "1" и "0".

1abandon
a1bandon
ab1andon
aba1ndon
aban1don
aband1on
abando1n
abandon1
0abandon
a0bandon
ab0andon
aba0ndon
aban0don
aband0on
abando0n
abandon0

 

 

Слово abandon можно разбить цифрой как угодно и отгадать где и какая цифра практически невозможно, включая ещё само слово которое нужно отгадать.

 

 

Основная задача обезопасить ваших игроков от брута это заставить их отказаться от паролей которые были у них в прошлом.

 

По мимо этого есть ещё много способов как увести аккаунт. Но не думаю что на этом форуме кому-то интересно.

 

В основном главную проблему я сказать выше.

Восстановление пароля через E-Mail нынче грешно. Создавайте секретные вопросы и только по ним можно восстановить пароль.

Почта очень уязвимая, так как пароль на неё меняется очень редко и обычно пароль от почты и пароль от аккаунта игрового сервера идентичны.

 

Поверьте безопасность и анонимность Ваших игроков это очень хорошая репутация игрового сервера.

 

Ах да и ещё одно.

Если Вы в конфиге сервера нашли что-то что похоже на Анти-Брут то лучше его не трогать.

Стоящая защита от брута - стоит денег. Всё другое только усложнит жизнь игрокам. А хацкер просто поменяет настройки в бруте под ваш сервер. Так что толку нет.

  • Upvote 9

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Хорошая статься, многим будет полезна. Но давно уже есть иных технические механизмы, без создания излишнего геомороя для пользователей.

  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Все карты раскрыть нельзя, ибо когда мы вымрем думать будет некому!

Всегда говорил что нельзя всё говорить и всё показывать.

Нужно оставить небольшой пробел с неясностью чтоб читатель напрягал мозги и искал сам ответ.

Но подтолкнуть к правильную сторону нужно :clapping:

Так меня учили мои учителя.

Изменено пользователем logan22
  • Upvote 2

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Спасибо, отличная статья !

Мне вот интересно, а как сделать чтобы пароль для аккаунта создавался случайным образом ?

Изменено пользователем Mixer
  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Все карты раскрыть нельзя, ибо когда мы вымрем думать будет некому!

Всегда говорил что нельзя всё говорить и всё показывать.

Нужно оставить небольшой пробел с неясностью чтоб читатель напрягал мозги и искал сам ответ.

Но подтолкнуть к правильную сторону нужно :clapping:

Так меня учили мои учителя.

Воистину.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

не думаю что тут есть что-то ценное для закрепления.

Так как я дал пару очевидных рекомендации, к которым можно предложить и свои идеи по защите от брута.

Когда появиться первые пробные php скрипты с генератором паролей, можно будет и подкрепить.

Просто сегодня читал тему о бруте, где народ дискутировал и толком по существу ничего ценного не посоветовали :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

На мой взгляд, проблема кроется в том, что игроки для разных фришек используют один и тот же пароль. Да, генерация пароля безусловно спасет от брута, но далеко не все знают английский, чтобы с легкостью запоминать предложенные вами пароли.

Если у вас есть какие-то собственные уникальные наработки, то самое главное их не шарить. Особенно на форумах вроде этого. Как только ваш способ приобретет массовость и попадет в шару, найдется кто-то, кто придумает, как его обойти. Будем объективны, что 99% всех, ммм, скажем так, хакеров, не способны сделать и шага в сторону от инструкции к программе, которой они пользуются, и столкнувшись с чем-то, выходящим за рамки их шаблона, они просто забьют на это дело.

Лично я давно отказался от говеного стрессвеба, в пользу собственных наработок при регистрации/авторизации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

На мой взгляд, проблема кроется в том, что игроки для разных фришек используют один и тот же пароль. Да, генерация пароля безусловно спасет от брута, но далеко не все знают английский, чтобы с легкостью запоминать предложенные вами пароли.

Если у вас есть какие-то собственные уникальные наработки, то самое главное их не шарить. Особенно на форумах вроде этого. Как только ваш способ приобретет массовость и попадет в шару, найдется кто-то, кто придумает, как его обойти. Будем объективны, что 99% всех, ммм, скажем так, хакеров, не способны сделать и шага в сторону от инструкции к программе, которой они пользуются, и столкнувшись с чем-то, выходящим за рамки их шаблона, они просто забьют на это дело.

Лично я давно отказался от говеного стрессвеба, в пользу собственных наработок при регистрации/авторизации.

 

Нащёт Английского ты добавляешь цыфру к уже существующему паролю а не букву, думаю все знают цыфры=)) а даже если есть что незнают то они точно не слыхали о LineageII =)))))))))))

 

а статья реально зацепила...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

На мой взгляд, проблема кроется в том, что игроки для разных фришек используют один и тот же пароль. Да, генерация пароля безусловно спасет от брута, но далеко не все знают английский, чтобы с легкостью запоминать предложенные вами пароли.

Если у вас есть какие-то собственные уникальные наработки, то самое главное их не шарить. Особенно на форумах вроде этого. Как только ваш способ приобретет массовость и попадет в шару, найдется кто-то, кто придумает, как его обойти. Будем объективны, что 99% всех, ммм, скажем так, хакеров, не способны сделать и шага в сторону от инструкции к программе, которой они пользуются, и столкнувшись с чем-то, выходящим за рамки их шаблона, они просто забьют на это дело.

Лично я давно отказался от говеного стрессвеба, в пользу собственных наработок при регистрации/авторизации.

 

Совершено верно, не все знают английский язык. Но все пользуются английской раскладкой на клавиатуре.

Легче запомнить читаемое словосочетание, чем случайно сгенерированный пароль в виде такого "sW2jx0wM".

 

Никто и ничем делиться с окружением не будет. Так как Я мыслю глобальнее чем говорю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Нащёт Английского ты добавляешь цыфру к уже существующему паролю а не букву, думаю все знают цыфры=)) а даже если есть что незнают то они точно не слыхали о LineageII =)))))))))))

 

а статья реально зацепила...

У тебя вот я смотрю и с русским проблемы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Средств борьбы очень много, в первую очередь минимальные, заставлять пользователей использовать длинный пароль с разным регистром, и наполнением букв и цифр, и не использовать одноимённые аккаунты с никами в игре или никами на форуме, в icq и т.д. Или например что-то посложнее ,при 10 неверных вводах пароля, блокировать ип с возможностью разблокировки по e-mail или телефон(sms), т.е. на вышеуказанные адреса владельцев аккаунтов высылать код, gосле ввода коnрого аккаунт будет разблокирован. Это лишь идея которая случайно пришла в голову, ведь если задаться данным вопросом можно придумать кучу вариантов, каким образом отсеить нежелательные соединения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

при 10 неверных вводах пароля, блокировать ип с возможностью разблокировки по e-mail или телефон(sms), т.е.

Такая защита практически в каждой сборке, обходиться легко.

Я Ваш сервер начну брутить, в бруте укажу что каждый третий аккаунт и пароль будет верный. А если верный Ваш счётчик собьется и никогда не будет с моего IP 10 неверный ввода пароля.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Такая защита практически в каждой сборке, обходиться легко.

Я Ваш сервер начну брутить, в бруте укажу что каждый третий Аккаунт и пароль будет верный. А если верный Ваш счётчик собьется и никогда не будет с моего IP 10 неверный ввода пароля.

На сутки 10-15 неверных вводов будет достаточно. Не сбрасывая счётчик при верном вводе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
Авторизация  

  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу

×
×
  • Создать...