दुनिया भर के लोगों से आपके सबसे करीबी दोस्त को abuse report भेजवाने का तरीका

 (delroth.net)
1 पॉइंट द्वारा GN⁺ 2024-10-30 | 1 टिप्पणियां | WhatsApp पर शेयर करें

परिचय

  • यह लेख सुरक्षा, नेटवर्किंग और abuse report से जुड़े एक निजी अनुभव पर आधारित है.
  • लेखक को यह रिपोर्ट मिली कि उनका सर्वर malware से संक्रमित है, लेकिन जांच के बाद पता चला कि कोई समस्या नहीं थी.

घटना की शुरुआत

  • लेखक को Hetzner से ईमेल मिला कि उनके IP address पर abuse report आई है.
  • सर्वर पर असामान्य SSH connection की कोशिशें दिखीं, लेकिन वास्तव में सर्वर से बाहर जाने वाले connection नहीं थे; बाहर से सर्वर की ओर TCP reset packets भेजे जा रहे थे.

IP spoofing

  • इंटरनेट पर IP spoofing का मतलब है source IP address को नकली बनाकर packets भेजना.
  • BCP38 यह सिफारिश करता है कि नेटवर्कों के बीच IP packets भेजते समय केवल अपेक्षित IP addresses की ही अनुमति हो, लेकिन सभी नेटवर्क इसका पालन नहीं करते.

मंशा पर अनुमान

  • हमलावर source IP को spoof करके port 22 पर connection request भेजता है, जिससे automated abuse report trigger होती है.
  • संभव है कि यह Tor network के कुछ nodes को निशाना बनाने वाला हमला हो.

Tor कनेक्शन

  • Tor relay anonymized traffic को आगे बढ़ाने का काम करते हैं और सीधे बाहरी इंटरनेट से कनेक्ट नहीं होते.
  • लेकिन कुछ इंटरनेट उपयोगकर्ता Tor को पसंद नहीं करते, और उसे निष्क्रिय करने की कोशिशें हो सकती हैं.

निष्कर्ष

  • इंटरनेट 25 साल पहले भी समस्याग्रस्त था, और आज भी है.
  • IP spoofing अब भी एक समस्या है, और BCP38 जैसे सुरक्षा नियम ठीक से लागू नहीं किए जाते.
  • अगर आपको ऐसी abuse report मिले, तो आप hosting provider को समझा सकेंगे कि सर्वर वास्तव में पीड़ित है.

# GN⁺ की संक्षिप्त टिप्पणी

  • यह लेख IP spoofing से जुड़ी सुरक्षा समस्या और Tor network से उसके संबंध की व्याख्या करता है.
  • यह इंटरनेट सुरक्षा के महत्व और BCP38 की आवश्यकता पर जोर देता है.
  • समान कार्यक्षमता वाले प्रोजेक्ट्स के रूप में विभिन्न security networking tools सुझाए जा सकते हैं.

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2024-10-30
Hacker News राय

  • IP spoofing की समस्या को हल करना मुश्किल है, क्योंकि दुर्भावनापूर्ण हमलावर और निर्दोष उपयोगकर्ता दोनों एक ही सफाई दे सकते हैं

    • इंटरनेट में यह समस्या 25 साल पहले से है, और अब भी हल नहीं हुई है
    • spoofed IP address की समस्या 2024 में भी मौजूद है, और इंटरनेट community इसे हल करने के लिए security rules लागू नहीं कर रही है

  • पहले बुनियादी firewall rules लागू किए गए थे, लेकिन spoofed packets की वजह से समस्या हुई

    • किसी खास IP से spoofed packets मिले, और इसे सुलझाने के लिए firewall rules समायोजित किए गए
    • कई IP addresses चलाना महत्वपूर्ण है, और अगर ISP source-based filtering करे तो दूसरे ISP पर बदल जाते हैं

  • अगर आपको ऐसा transit provider मिल जाए जो BCP38 filtering नहीं करता, तो आप अपनी इच्छानुसार किसी भी source IP से packets भेज सकते हैं

    • BCP38 की शुरुआत 1998 तक जाती है, लेकिन अब भी ऐसे network providers हैं जो इसे लागू नहीं करते
    • spoofing को रोकने के लिए उन सभी AS का traffic अस्वीकार करना जरूरी है जो BCP38 लागू नहीं करते

  • Tor relay से नफरत करने वाले किसी व्यक्ति का सिद्धांत बेकार लगता है

    • यह एक दुर्भावनापूर्ण relay चलाते हुए वैध relays को हटाने की कोशिश हो सकती है

  • यह swatting जैसी समस्या है, जिसमें किसी अप्रमाणित समस्या स्रोत पर अधिकारी गंभीर कार्रवाई कर देते हैं

    • फर्क यह है कि शिकायत असंबंधित पक्षों के जरिए दर्ज कराई जाती है

  • पहले DrDoS reflectors को scan किया गया था, और cloud providers को बड़ी मात्रा में शिकायतें मिली थीं

    • spoofed scan packets भेजने वाला server पकड़ा नहीं जाता, और इंटरनेट को बार-बार scan किया जा सकता है
    • spoofed packets के स्रोत का पता लगाना संभव है, लेकिन इसके लिए transit providers के सहयोग की जरूरत होती है

  • सिस्टम को किसी एक packet पर अपने-आप abuse report नहीं भेजनी चाहिए; रिपोर्ट तभी भेजनी चाहिए जब traffic service denial स्तर का हो

    • SSH के मामले में handshake होने से पहले उसे वैध connection attempt नहीं माना जा सकता

  • IP spoofing, swatting, patent trolling, और निर्दोष लोगों को फँसाने जैसी समस्या है

    • यह abuse protection mechanisms को हथियार बनाकर नापसंद लोगों पर हमला करने का तरीका है
    • अधिकारी खुद कमजोरी बन जाते हैं और दुर्भावनापूर्ण हमलावरों द्वारा weaponize किए जा सकते हैं

  • अगर हमले को hijack करके packets सबको भेज दिए जाएँ, तो providers abuse emails से इतने भर सकते हैं कि हमला काम ही न करे

    • honeypot abuse emails न भेजे, या providers उन्हें filter कर सकें