- Регистрация
- 30 Янв 2026
- Сообщения
- 2
- Реакции
- 0
- Баллы
- 0
ТЫ ДУМАЕШЬ, ЧТО ТВОЙ ФАЙРВОЛ И WPA2 ТЕБЯ ЗАЩИЩАЮТ? ЗАБУДЬ. ПРОТОКОЛЫ, НА КОТОРЫХ ВСЁ ЕДЕТ, — ЭТО РЫХЛЫЕ РУИНЫ, И ИХ ЛОМАЮТ КАЖДЫЙ ДЕНЬ.
Сижу тут, разгребаю логи после одного инцидента на небольшой, но важной сети. Не какой-то продвинутый APT, а тупой, топорный эксплойт, который прошёл потому, что все думали: «да это же базовые протоколы, они ж безопасные». Вот тебе непричёсанная выжимка того, с чем сейчас реально сталкиваешься, когда опускаешься ниже уровня «красивых кнопочек» в панели админа.
HTTP/2 И HTTP/3 — ЭТО НЕ ПРО СКОРОСТЬ, А ПРО НОВЫЕ ДЫРЫ ДЛЯ DDoS.
Всем впаривают, что HTTP/2 и QUIC (основа HTTP/3) — это быстрее и лучше. По факту — это новые огромные поверхности для атаки, которые многие даже не мониторят. Вот реальный кейс, с которым бились ребята из знакомого хостинга.
Атака HTTP/2 Rapid Reset (CVE-2023-44487). Это не просто «много запросов». Это изящное издевательство над логикой протокола. Злоумышленник устанавливает одно соединение с сервером (например, nginx) и в рамках него открывает тысячи потоков (streams) — так позволяет HTTP/2. А потом мгновенно сбрасывает их через RST_STREAM, не давая серверу их нормально обработать. Сервер тратит ресурсы на создание потоков, но не получает ни данных, ни нормального завершения. И всё это — в одном соединении. Масштабируешь это на ботнет — и получаешь терабитный DDoS, который почти неотличим от легитимного трафика, потому что это «в рамках протокола».
Что в логах было? Не аномальный рост запросов к страницам, а взрывное количество RST_STREAM фреймов в метриках. Защита? Пришлось экстренно патчить nginx, выставлять лимиты http2_max_concurrent_streams и http2_max_field_size. Без понимания, как работает фреймовая структура HTTP/2, эту атаку не поймать.
DNS — ЭТО НЕ «ТЕЛЕФОННАЯ КНИГА», А ПРЯМОЙ ПУТЬ К ТВОИМ ДАННЫМ.
Все слышали про DNSSEC и DoH/DoT. Но на практике всё упирается в кэширующие резолверы, которые никто не харденит. Видел ситуацию, когда через DNS Cache Poisoning на уровне локального роутера в небольшой фирме подменили запись для mail.google.com. Пользователи неделю ходили на фишинговый сайт, вводили пароли от Gmail, и всё это летело на левый сервак. А всё потому, что на роутере был старый dnsmasq с предсказуемыми TXID.
Как сейчас бьют? Через амплификацию — да, но ещё и через туннелирование. Malware, который пролез внутрь, не светится наружу большими соединениями. Он шлёт команды и выгружает данные через DNS-туннель: кодирует информацию в поддомены типа {data}.evil.com, а DNS-запросы выглядят как безобидное разрешение имён. Файрволл, который не делает глубокий анализ DNS-трафика (типа проверки длины запроса, частоты, невероятных доменов), это пропустит.
WPA2/WPA3 — ТОТ СЛУЧАЙ, КОГДА СТАНДАРТ СЛОМАН ФУНДАМЕНТАЛЬНО.
Все помнят KRACK (Key Reinstallation Attack) против WPA2. Многие думают: «Ну, обновил клиентов и точку — и всё». На деле — хрена. Уязвимость в самой спецификации протокола рукопожатия (4-way handshake). Это значит, что даже самая свежая прошивка может быть уязвима, если реализация не была переписана с нуля. А в публичных Wi-Fi (кафе, аэропорты) это до сих пор золотая жила для снятия сессионных куков.
С WPA3, который должен был всех спасти, тоже не слава богу. Dragonblood — атаки через downgrade или side-channel, которые позволяют подобрать пароль к сети. И если в сети один слабый пароль — всё, сеть скомпрометирована.
Личный совет: Для дома ставь сложную passphrase из 6-8 слов (diceware), отключай WPS нафиг, и по возможности — отдельную VLAN для гостей с изоляцией клиентов. Для чего-то серьёзного — только провод или отдельная физическая точка доступа с RADIUS-авторизацией (802.1X).
TCP/IP — СТАРИЧОК, КОТОРЫЙ ВСЕ ЕЩЁ КРОВИТ.
SYN-флуд — это детский лепет. Сейчас куда интереснее TCP Middlebox Reflection. Обнаружили, что многие «умные» сетевые коробки (прокси, фильтры провайдеров, некоторые файрволлы) неправильно обрабатывают невалидные TCP-пакеты. Отправляешь такой пакет с поддельным IP-адресом жертвы на такую коробку, а она в ответ генерирует огромный ответный пакет уже на жертву. Итог — мощный DDoS из легальных сетевых устройств.
ЧТО ДЕЛАТЬ? НЕ СЛЕДОВАТЬ СЛЕПО ГАЙДАМ, А ДУМАТЬ.
Вот мой набор для параноика, который можно прикрутить даже к домашней сети:
1. Для своего сервера (VPS):
· Nginx/Apache: Вырубить HTTP/2, если не нужен, или агрессивно лимитить потоки. Для HTTP/3 (QUIC) — пока не включать в продакшн, если не готов мониторить его как космический корабль.
· Fail2ban + анализ не по логам, а по tcpdump: Настроить детект аномальных RST, SYN без ACK, спама в DNS-запросах.
· DNS-резолвер (Bind9, Unbound): Включить DNSSEC validation, использовать QNAME minimization, разрешать рекурсии только со своих сетей.
2. Для домашней сети:
· Роутер: Снести стоковую прошивку, поставить OpenWrt. Вырубить внешний доступ к админке, вырубить UPnP. Настроить изоляцию гостевой сети.
· Wi-Fi: Только WPA2/WPA3 с длинной passphrase. Выключить WPS (он дырявый всегда). Сменить дефолтный IP/логин/пароль роутера.
· Локальный DNS: Поднять Pi-hole не только для рекламы, но и как DNS-фильтр. Он будет блокировать запросы к известным C&C-доменам.
3. Для мониторинга (бесплатно):
· Security Onion — тяжёлая, но можно. Или Zabbix с кастомными триггерами на сетевые аномалии (например, резкий рост DNS-трафика).
· Просто графики трафика по портам в самом роутере (OpenWrt). Увидел, что какой-то хост ночью грузит канал на 443 порт — уже повод копнуть.
ВЫВОД: БЕЗОПАСНОСТЬ — ЭТО НЕ КОГДА ТЫ СТАВИШЬ ГАЛОЧКИ В ГАЙДЕ.
Это когда ты понимаешь, как работают твои инструменты на уровне байтов, и можешь предугадать, как их сломают. Самый опасный протокол — тот, в безопасности которого ты слепо уверен. Ломают всегда не там, где ждут, а там, где перестали смотреть. Начинай смотреть глубже.