DDoS का मुकाबला करने के लिए नेगनेक्स मॉड्यूल, फ्लैश के माध्यम से एक कुकी सेट करता है

बॉट्स से निपटने के लिए डिज़ाइन किए गए नगनेक्स मॉड्यूल के बारे में एक लेख प्रकाशित करने के बाद, मुझे बहुत प्रतिक्रिया मिली जिसमें लोगों ने फ्लैश समर्थन के बारे में पूछा।
मुझे यकीन था कि उचित परिश्रम के साथ, हर कोई इन कार्यों को अपने दम पर लागू कर सकता है, जैसे कि थर्ड-पार्टी एप्लिकेशन, बिना मॉड्यूल के कोड को बदले, लेकिन किसी ने भी ऐसा नहीं किया, इसलिए मुझे PoC करना पड़ा।

प्रारंभ में, मैं मॉड्यूल करना चाहता था प्रपत्र डिजाइनर में था, और KISS के सिद्धांत, रद्द नहीं किया गया है ताकि सभी क्लाइंट साइड कार्यक्षमता, यह तीसरे दल के अनुप्रयोगों के रूप में लागू करने का फैसला किया गया था। Nginx परदे के पीछे से ठीक कर रहा है, इसलिए सबसे आसान तरीका उन्हें अलग HTTP सेवाओं के रूप में लिखना है।
यह निम्नलिखित लाभ प्रदान करता है:

• हम अपने लिए सुविधाजनक किसी भी भाषा में लिखते हैं (मैं पाइथन पसंद करता हूं)
• हम नंगेक्स से बंधे नहीं हैं, कोड की गुणवत्ता इतनी महत्वपूर्ण नहीं है - आप इसे इत्यादि को अवरुद्ध कर सकते हैं।
• हम कैशिंग कार्यक्षमता nginx की पूरी श्रृंखला का उपयोग कर सकते हैं
• भले ही सेवा झूठ हो, सभी वैध उपयोगकर्ता जो पहले से ही अपनी कुकी प्राप्त कर चुके हैं, वे इस पर ध्यान नहीं देते हैं - मुख्य संसाधन उनके लिए उपलब्ध है ।

मुझे जो जोड़ना था

Testcookie- फिल्टर मॉड्यूल के मुख्य निर्देश के लिए, पुराने "ऑन" और "ऑफ" मूल्यों के अलावा, अब एक और जोड़ा गया है - "var"। यदि मॉड्यूल var मोड में है, तो दिए गए स्थान के लिए:

• कुकी सत्यापन किया जाएगा;
• nginx चर (सभी लेकिन $ testcookie_nexturl) उजागर किया जाएगा;
• पुनर्निर्देश, कुकीज़ सेट करना और अनुरोध को रोकना नहीं होगा ।

इसके लिए क्या है?

इस प्रकार, अब आप HTTP हेडर के माध्यम से अपने कुकी के लिए सही कुकी मान ट्रांसफर कर सकते हैं:

location = /testcookie.swf { testcookie var; proxy_pass http://127.0.0.1:1234/; proxy_set_header Testcookie-Value $testcookie_set; proxy_set_header Testcookie-Valid $testcookie_ok; proxy_set_header Testcookie-Name "BPC"; } 

हेडर के माध्यम से और फ्लैश के मामले में परम के माध्यम से क्यों नहीं?
चूंकि क्लाइंट भाग में मान स्पष्ट नहीं दिखता है, इसलिए इसे regexp द्वारा नहीं निकाला जा सकता है।

फिर भी, फ्लैश?

मेरा मानना ​​है कि फ्लैश के माध्यम से कुकीज़ स्थापित करने का तरीका सबसे सही नहीं है, लेकिन चूंकि उपयोगकर्ता चाहते हैं, क्यों नहीं।
एक स्थिर एसडब्ल्यूएफ बनाने और उसमें मूल्यों को प्रतिस्थापित करने का विचार, जैसा कि रोबू में किया गया था, मैंने तुरंत खारिज कर दिया - इसे अलग करना आसान है, इसे संशोधित करना मुश्किल है, आदि।
इसलिए, हमलावर के जीवन को जटिल करने के लिए उपयोगकर्ता को अपने दम पर अवसर देने का निर्णय लिया गया था।
इसके लिए, परियोजना में 2 फाइलें हैं:
cookie_encoder.py (पायथन):

 def encode_cookie(cookie_value): key = 42 res = '' for x in cookie_value: res += chr(ord(x) ^ key) return res 

कुकी_डॉकरोड (एक्शनस्क्रिप्ट):

 function flash_cookie_crypt_routine(str) { var result; for (var i = 0; i < str.length; i++) { result += String.fromCharCode(str.charCodeAt(i) ^ 42); } return result; } getURL("javascript:void(document.cookie='#TESTCOOKIE_NAME#=" + flash_cookie_crypt_routine("#TESTCOOKIE_VALUE#") + "');void(location.href='" + nexturl + "');"); 

जैसा कि आप अनुमान लगा सकते हैं, पहला एक मूल्य एन्कोडिंग के लिए है (उदाहरण में, ४२ पर xorim), दूसरा ग्राहक पक्ष पर डिकोडिंग के लिए (एक बार फिर, ४२ पर xorim)।

एक्शनस्क्रिप्ट को परिश्रम का उपयोग करके SWF में गतिशील रूप से संकलित किया जाता है । वैसे, मुझे इसे थोड़ा सा पैच करना था, इसलिए प्रोजेक्ट केवल मेरे कांटे के साथ काम करेगा, कम से कम जब तक मेंटेनर्स फंक्शन नामों को चुनना बंद नहीं करता है और मेरे पुल को मंजूरी देता है।

सेवा ढांचे में फेप्स 3 , पायथन के लिए एक तेज अतुल्यकालिक वेब सर्वर का उपयोग किया जाता है।

सभी एक साथ एक पुराने coreduo पर, एक प्रक्रिया में, यह बिना किसी अनुकूलन और कैशिंग के, अपनी 1k req / concurency 1k पर देता है। उत्पादन में, आप nginx प्रॉक्सी कैश का उपयोग कर सकते हैं, इसलिए प्रत्येक क्लाइंट के लिए SWF केवल एक बार उत्पन्न होगा, इसे nginx के साथ वितरित करना और सेवा को स्वयं डालना काफी मुश्किल होगा।

सभी एक साथ

विन्यास उदाहरण:

 server { listen 80; server_name domain.com; testcookie off; testcookie_name BPC; testcookie_secret keepmescret; testcookie_session $remote_addr; testcookie_arg attempt; testcookie_max_attempts 3; testcookie_fallback /cookies.html?backurl=http://$host$request_uri; testcookie_get_only on; testcookie_redirect_via_refresh on; 

# कनेक्ट testcookie.swf swfobject के माध्यम से (हाँ, मैं आलसी हूँ)
# testcookie_refresh_template निर्देश का उपयोग करें,
# परम के माध्यम से $ testcookie_nexturl का मान पास करें

  testcookie_refresh_template '<html><body><script type="text/javascript" src="/swfobject.js"></script><script type="text/javascript">swfobject.embedSWF("/testcookie.swf", "cookie_installer", "100", "100", "9.0.0", "/expressInstall.swf", {"nexturl":"$testcookie_nexturl"});</script><div id="cookie_installer">welcome screen</div></body></html>'; 

# कुकी जाँच अक्षम करें
# फ़ॉलबैक URL के लिए, swfobject.js और expressInstall.swf

  location = /cookies.html { root /var/www/public_html; } location = /swfobject.js { gzip on; gzip_min_length 1000; gzip_types text/plain; root /usr/local/nginx/root; } location = /expressInstall.swf { testcookie off; gzip on; gzip_min_length 1000; gzip_types text/plain; root /usr/local/nginx/root; } 

# इस स्थान पर सेवा गतिशील रूप से SWF उत्पन्न करती है

  location = /testcookie.swf { #  testcookie   var testcookie var; #  testcookie-flash-processor proxy_pass http://127.0.0.1:1234/; #    cookies proxy_set_header Testcookie-Value $testcookie_set; #    ? #    SWF  , #      cookie proxy_set_header Testcookie-Valid $testcookie_ok; #  cookie -     #   testcookie_name proxy_set_header Testcookie-Name "BPC"; } 

# बैकएंड एक्सेस के साथ मुख्य स्थान

  location / { testcookie on; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_pass http://127.0.0.1:8080; } } 

कैप्चा उसी तरह से खराब है।

स्रोत कोड

स्थापना निर्देशों और प्रलेखन वाले स्रोत बीएसडी लाइसेंस के तहत जीथब पर उपलब्ध हैं।
पैच, ऐड-ऑन, परीक्षण और बग रिपोर्ट का स्वागत है।