Ochrana proti upraveným paketům

[Jan Jurík]

Zdravím přátelé, obracím se na Vás ohledne jedné rady, spíše nasměrování.

Mám na debianu určitý sw, ale bohužel jsou mezi námi tací co mi do daneho sw posílají upravene packety pomocí software WPE (Winsock Packet Editor). Chtěl bych se tedy optat, jde se proti tomu bránit a případne čím nebo zda můj problém uspokojí iptables? Děkuji za informaci.

[Reklama]

[Anonymous]

zalezi od rozdilu mezi nezadoucimi paketmi a zadoucimi. adresa odesilatele? nejaka specificka byte sekvence? pripadne bych zvazil odstraneni mozneho bugu v software

[Jan Jurík]

Adresa odesílatele není známá, na server se pripojuje zároven až 200 různých IP, ale pouze třeba 5 se snaží využívat programu WPE a proto aby serveru odesílaly falešné packety. Bug v sw není, jen práve že wpe umožnuje odesilat zkreslené a upravene packety. A tím si upravovat hodnoty dat co prijma server. A nevím jak se tomu bránit aby sever upravene packety neprijmal.

[Logik]

A čím se liší ty upravené od těch neupravených?

[Pajk]

Zdravím,
tohle vypadá jako např. nějaký gameserver, na který game client (gamesa u uživatele) posílá např. dosažené score, tím packet editorem si to podvodník "vylepší" a server nepozná, že byl paket změněn mimo originální aplikaci, protože data nejsou nijak podepsaná (checksum, ssl ) ...
Jestli je to tak, tak je to docela problém, protože beze změny protokolu lze asi jen hádat na straně serveru pravděpodobné podvodníky (příliš velká změna příliš rychle apod. ...).

[Reklama]

[rob]

Winsock Packet Editor

neni jediny packet editor

protože data nejsou nijak podepsaná (checksum, ssl ) ...

Checksumem detekujeme chyby a ssl sifrujeme a autentizujeme

Pokud sw vklada data do paketu v otevrene forme, tak mate smulu

[Tropl]

Z principu samozřejmě nepujde rozeznat data odeslaná aplikací a data upravená. Nemusí ani používat žádný packet editor, muže si nějaký svobodný software překompilovat sám. Data z neznámého zdroje jsou vždycky nespolehlivá a musí se kontrolovat. Třeba WPE se dříve zneužíval ve hrách typu WoW, server musí pak testovat prakticky vše jestli se hráč nepohybuje rychleji než má, jestli neprodává něco co nemá atd.

[designerrr]

Čau,
např. mmorpg hra lineage 2 funguje takto.
V klientovi je uložen jeden staticky blowfish key. Jakmile se klientem připojíš na server, tak první příchozí paket je zašifrovaný tímto statickým blowfishem a v paketu se nachází nový dynamicky vygenerovaný blowfish key, který se bude následně používat pro šifrování jak klientem, tak serverem. Dál se v onom paketu nachází veřejný klič pro RSA šifrování, kterým se zašifrují přihlašovací údaje. RSA klič je navíc zpřeházený a každý paket nakonci projde takovou xor smyčkou.
I přes tohle všechno se stejně podařilo to rozluštit a  vzniklo několik prográmků, jako např. l2 walker, který hraje za hráče, takže si to pustíte a jdete do školy a postava se vesele expí.
Dokonce nějaký rusák udělal program - hlapex - který umožňoval právě vyrábět itemy atd. tím, že vytvářel "fejk" pakety, takže se musela dělat ochrana ještě na serveru, jako např. kontrolovat, jestli item, co se přidává do invu, opravdu někde vypadl z moba atd..
Je to celkem složitá záležitost, ale jestli to je nějaké tvoje home-made hra, kterou hraje pár lidí a jen se našli nějací blbánci, co si hrajou na hackery, tak bych řekl, že stačí bohatě šifrování nějakou symetrickou šifrou a máš po problémech. Pokuď ti do toho bude bušit banda rusáků, tak stejně neuděláš nic.

[Mordae]

Hehe, proti blbe koncipovanemu softwaru nepomuze ani tisic sifer. :-D Napis o co presne se jedna, trebas neco vymyslime.

[Jenda]

Pokud sw vklada data do paketu v otevrene forme, tak mate smulu

A i pokud je podepisuje, šikovný reverzní inženýr ten klíč stejně dostane.

[Sten]

Bug v sw není

Pokud server přijme podvržený paket a provede bez jakékoliv kontroly to, co v něm je, pak je ten software děravý a dokonce to je jeden z nejzávažnějších bugů.

Žádný program nesmí věřit externímu vstupu, uživatelé (a hackeři) jsou velice vynalézaví, a pro veřejně přístupný server to platí obzvlášť, protože je to obrovská brána pro útok na ten server.

[.]

Jenže tady se jedná o podvádění ze strany klienta nějaké pitomé hry. Takže server to samozřejmě přijme, samozřejmě to zpracuje a samozřejmě to ničemu nevadí. A nějaký neoficiální server pro nelegální klienty bez anticheatu pochopitelně nikoho nepálí.

[DK]

v tomto pripade se to musi osetrit na strane serveru (bud client+serverova cast - urcity kus kodu na klientovi, ktery to bude sifrovat, nebo pridavat nejaky salt, pripadne jeste sifrovane spojeni), nebo kontrola "pravosti packetu" na strane serveru

[Jenda]

v tomto pripade se to musi osetrit na strane serveru (bud client+serverova cast - urcity kus kodu na klientovi, ktery to bude sifrovat, nebo pridavat nejaky salt, pripadne jeste sifrovane spojeni), nebo kontrola "pravosti packetu" na strane serveru

Ne, uživatel si salt může z programu vyextrahoavat  a jsme tam, kde jsme byli.

[Jenda]

Jenže tady se jedná o podvádění ze strany klienta nějaké pitomé hry. Takže server to samozřejmě přijme, samozřejmě to zpracuje a samozřejmě to ničemu nevadí. A nějaký neoficiální server pro nelegální klienty bez anticheatu pochopitelně nikoho nepálí.

Moc rád bych viděl nějaký funkční anticheat. Škoda, že nic takového nelze z principu udělat.