Рекомендации По Защита От Брутфорса

[logan22 169]

В данной статье Я хочу сказать несколько уловок и рекомендаций по поводу защиты от Брута ваших java серверов.

 

Конечно на 100% даже Европейские сервера не защищены.

Но некоторые манипуляции сделать возможно.

Существует такая программа как l2brute - она в открытом доступе.

Существует ещё и другая, она распространена для узкого круга.

 

Но прежде чем Я буду говорить как защитить Я Вам объясню откуда такие БД берутся с аккаунтами и паролями.

Расскажу поверхностно, чтоб вы имели представление как это делается.

Представьте себе картину...

Вы играете на каком-то сервере с хорошим онлайном, наверное там уйма донов и латентных задротов.

И в какой-то момент сервер перестает работать.

У Админа на компе тысячи аккаунтов и паролей разных людей, которая находиться непосредственно в БД.

Пароль выглядит зашифрованным (нынче Sha1(Base64), бывают и другие к примеру Whirlpool), расшифровать невозможно.

Можно использовать брут, который будет создавать пароль и шифровать по алгоритму SHA1(Base64), а дальше сравнивать сбрученный пароль с паролей который в БД.

Если сравнение удачно значит пароль верный.

Скорость брута может быть и 10-50-100 миллионов за 1 сек. В моем случае играет роль видеокарта.

В принципе так создаются словари для аккаунтов и паролей.

 

Словарь с брутом можно указать в спец. программе для брута серверов LineAge 2.

 

На сервере стоит базовая защита с ограничением по времени на подключение к серверу.

К примеру если за 1 минуту коннектов будет 10 то Вас дисконнектит.

Если в л2Бруте delay( задержку ) на 8 сек., получиться за 1 минуту 7 проверочных аккаунтов.

Теперь если Вы человек толковый в Вашем распоряжении должно быть пару взломанных дедиков, к примеру 10.

На всех дедиках начинаем брутить, + ваш личный комп.

За час брута с 11 компьютеров будет проверенно примерно 4620 аккаунтов.

 

Зачастую, чтоб не продисконнектило, возможно создать "правильное" подключение через каждых 3-4 коннекта из словаря для брута.

Правильное имеется в виду аккаунт и пароль который существует на сервере.

Обычно после успешного коннекта к серверу счётчик который считает кол-во подключений сбивается.

 

Обезопасить себя в данном случае можно если на сервере стоит префикс при создании аккаунта.

Вы не поверите, существуют умельцы которые знают как и это обойти :-)

......

 

Так как Я когда-то хотел ставить сервер много думал о безопасности персонажей..анализировал..сверял..обдумывал все "за" и "против".

Пришел к выводу что человек не любит напрягать голову чтоб придумать новый пароль.

Нужно сделать это за него.

Рекомендую чтоб пароль для аккаунта создавался случайным образом из списка английских слов которые длиннее 7 символов.

Почему?

Английский язык богатый словами и используется нами в повседневной жизни.

Он проще, его слово легче запомнить и восприятие к английскому языку у нас ближе чем к другому.

В пароле случайным образом установить где будет находиться случайная цифра.

Первая или на 6 месте слево.

abando9n

Этот нюанс уменьшит шанс подобрать пароль к персу в тысячу раз.

К примеру у нас 2к английских слов.

длиной от 7 до 10 символов.

Теперь представьте это громадное число возможных паролей.

В Эксперименте используем два числа "1" и "0".

1abandon
a1bandon
ab1andon
aba1ndon
aban1don
aband1on
abando1n
abandon1
0abandon
a0bandon
ab0andon
aba0ndon
aban0don
aband0on
abando0n
abandon0

 

 

Слово abandon можно разбить цифрой как угодно и отгадать где и какая цифра практически невозможно, включая ещё само слово которое нужно отгадать.

 

 

Основная задача обезопасить ваших игроков от брута это заставить их отказаться от паролей которые были у них в прошлом.

 

По мимо этого есть ещё много способов как увести аккаунт. Но не думаю что на этом форуме кому-то интересно.

 

В основном главную проблему я сказать выше.

Восстановление пароля через E-Mail нынче грешно. Создавайте секретные вопросы и только по ним можно восстановить пароль.

Почта очень уязвимая, так как пароль на неё меняется очень редко и обычно пароль от почты и пароль от аккаунта игрового сервера идентичны.

 

Поверьте безопасность и анонимность Ваших игроков это очень хорошая репутация игрового сервера.

 

Ах да и ещё одно.

Если Вы в конфиге сервера нашли что-то что похоже на Анти-Брут то лучше его не трогать.

Стоящая защита от брута - стоит денег. Всё другое только усложнит жизнь игрокам. А хацкер просто поменяет настройки в бруте под ваш сервер. Так что толку нет.

[Akumu 1117]

Хорошая статься, многим будет полезна. Но давно уже есть иных технические механизмы, без создания излишнего геомороя для пользователей.

[Jumper 551]

даже не лень читать было) интересно

[logan22 169]

Все карты раскрыть нельзя, ибо когда мы вымрем думать будет некому!

Всегда говорил что нельзя всё говорить и всё показывать.

Нужно оставить небольшой пробел с неясностью чтоб читатель напрягал мозги и искал сам ответ.

Но подтолкнуть к правильную сторону нужно

Так меня учили мои учителя.

Изменено 11 октября, 2012 пользователем logan22

[Mixer 67]

Спасибо, отличная статья !

Мне вот интересно, а как сделать чтобы пароль для аккаунта создавался случайным образом ?

Изменено 11 октября, 2012 пользователем Mixer

[FludGod 91]

Все карты раскрыть нельзя, ибо когда мы вымрем думать будет некому!

Всегда говорил что нельзя всё говорить и всё показывать.

Нужно оставить небольшой пробел с неясностью чтоб читатель напрягал мозги и искал сам ответ.

Но подтолкнуть к правильную сторону нужно

Так меня учили мои учителя.

Воистину.

[BlackDream 321]

Достаточно интересная инфа ) + поставил

[BlackDream 321]

Моды тему надо закрепить )

[logan22 169]

не думаю что тут есть что-то ценное для закрепления.

Так как я дал пару очевидных рекомендации, к которым можно предложить и свои идеи по защите от брута.

Когда появиться первые пробные php скрипты с генератором паролей, можно будет и подкрепить.

Просто сегодня читал тему о бруте, где народ дискутировал и толком по существу ничего ценного не посоветовали

[mouse 23]

На мой взгляд, проблема кроется в том, что игроки для разных фришек используют один и тот же пароль. Да, генерация пароля безусловно спасет от брута, но далеко не все знают английский, чтобы с легкостью запоминать предложенные вами пароли.

Если у вас есть какие-то собственные уникальные наработки, то самое главное их не шарить. Особенно на форумах вроде этого. Как только ваш способ приобретет массовость и попадет в шару, найдется кто-то, кто придумает, как его обойти. Будем объективны, что 99% всех, ммм, скажем так, хакеров, не способны сделать и шага в сторону от инструкции к программе, которой они пользуются, и столкнувшись с чем-то, выходящим за рамки их шаблона, они просто забьют на это дело.

Лично я давно отказался от говеного стрессвеба, в пользу собственных наработок при регистрации/авторизации.

[slavik 5]

На мой взгляд, проблема кроется в том, что игроки для разных фришек используют один и тот же пароль. Да, генерация пароля безусловно спасет от брута, но далеко не все знают английский, чтобы с легкостью запоминать предложенные вами пароли.

Если у вас есть какие-то собственные уникальные наработки, то самое главное их не шарить. Особенно на форумах вроде этого. Как только ваш способ приобретет массовость и попадет в шару, найдется кто-то, кто придумает, как его обойти. Будем объективны, что 99% всех, ммм, скажем так, хакеров, не способны сделать и шага в сторону от инструкции к программе, которой они пользуются, и столкнувшись с чем-то, выходящим за рамки их шаблона, они просто забьют на это дело.

Лично я давно отказался от говеного стрессвеба, в пользу собственных наработок при регистрации/авторизации.

 

Нащёт Английского ты добавляешь цыфру к уже существующему паролю а не букву, думаю все знают цыфры=)) а даже если есть что незнают то они точно не слыхали о LineageII =)))))))))))

 

а статья реально зацепила...

[logan22 169]

На мой взгляд, проблема кроется в том, что игроки для разных фришек используют один и тот же пароль. Да, генерация пароля безусловно спасет от брута, но далеко не все знают английский, чтобы с легкостью запоминать предложенные вами пароли.

Если у вас есть какие-то собственные уникальные наработки, то самое главное их не шарить. Особенно на форумах вроде этого. Как только ваш способ приобретет массовость и попадет в шару, найдется кто-то, кто придумает, как его обойти. Будем объективны, что 99% всех, ммм, скажем так, хакеров, не способны сделать и шага в сторону от инструкции к программе, которой они пользуются, и столкнувшись с чем-то, выходящим за рамки их шаблона, они просто забьют на это дело.

Лично я давно отказался от говеного стрессвеба, в пользу собственных наработок при регистрации/авторизации.

 

Совершено верно, не все знают английский язык. Но все пользуются английской раскладкой на клавиатуре.

Легче запомнить читаемое словосочетание, чем случайно сгенерированный пароль в виде такого "sW2jx0wM".

 

Никто и ничем делиться с окружением не будет. Так как Я мыслю глобальнее чем говорю.

[mouse 23]

Нащёт Английского ты добавляешь цыфру к уже существующему паролю а не букву, думаю все знают цыфры=)) а даже если есть что незнают то они точно не слыхали о LineageII =)))))))))))

 

а статья реально зацепила...

У тебя вот я смотрю и с русским проблемы.

[Tosik 3]

Средств борьбы очень много, в первую очередь минимальные, заставлять пользователей использовать длинный пароль с разным регистром, и наполнением букв и цифр, и не использовать одноимённые аккаунты с никами в игре или никами на форуме, в icq и т.д. Или например что-то посложнее ,при 10 неверных вводах пароля, блокировать ип с возможностью разблокировки по e-mail или телефон(sms), т.е. на вышеуказанные адреса владельцев аккаунтов высылать код, gосле ввода коnрого аккаунт будет разблокирован. Это лишь идея которая случайно пришла в голову, ведь если задаться данным вопросом можно придумать кучу вариантов, каким образом отсеить нежелательные соединения.

[logan22 169]

при 10 неверных вводах пароля, блокировать ип с возможностью разблокировки по e-mail или телефон(sms), т.е.

Такая защита практически в каждой сборке, обходиться легко.

Я Ваш сервер начну брутить, в бруте укажу что каждый третий аккаунт и пароль будет верный. А если верный Ваш счётчик собьется и никогда не будет с моего IP 10 неверный ввода пароля.

[fireage 611]

Классно!Очень интерестно

[Tosik 3]

Такая защита практически в каждой сборке, обходиться легко.

Я Ваш сервер начну брутить, в бруте укажу что каждый третий Аккаунт и пароль будет верный. А если верный Ваш счётчик собьется и никогда не будет с моего IP 10 неверный ввода пароля.

На сутки 10-15 неверных вводов будет достаточно. Не сбрасывая счётчик при верном вводе.