GeekGao
Jan 16, 2019, 2:55:43 AM1/16/19
to python-cn(华蟒用户组,CPyUG 邮件列表)
rt,大神们有没有啥好思路?重点是能扛得住破解。
GeekGao
Jan 16, 2019, 2:56:33 AM1/16/19
to python-cn(华蟒用户组,CPyUG 邮件列表)
实现这类的客户端
在 2019年1月16日星期三 UTC+8下午3:55:43,GeekGao写道:
在 2019年1月16日星期三 UTC+8下午3:55:43,GeekGao写道:
rt,大神们有没有啥好思路?重点是能扛得住破解。
张博涵
Jan 16, 2019, 3:55:57 AM1/16/19
to pyth...@googlegroups.com
没有什么思路,但是破解的话 c++...
Shell Xu
Jan 16, 2019, 4:41:39 AM1/16/19
to CUPG
你换个思路思考呢?把网吧的集成服务端当作客户端,把管理软件客户端当作服务器,反过来测试服务端业务逻辑的完备性。这个问题就变成测试问题了。原则上说,破解者始终可以模拟出一致的结果。但是开销会比较高。
另外,做断网的时候也要注意一点。仅仅做MAC地址过滤是不行的,因为有可能抢其他MAC地址用。还得做一个端口绑定。当然,这个应该是常识,我就不啰嗦了。
On Wed, Jan 16, 2019 at 3:55 PM GeekGao <gee...@139.com> wrote:
--
rt,大神们有没有啥好思路?重点是能扛得住破解。
邮件来自: `CPyUG`华蟒用户组(中文Python技术邮件列表)
规则: http://code.google.com/p/cpyug/wiki/PythonCn
详情: http://code.google.com/p/cpyug/wiki/CpyUg
严正: 理解列表! 智慧提问! http://wiki.woodpecker.org.cn/moin/AskForHelp
---
您收到此邮件是因为您订阅了Google网上论坛上的“python-cn(华蟒用户组,CPyUG 邮件列表)”群组。
要退订此群组并停止接收此群组的电子邮件,请发送电子邮件到python-cn+...@googlegroups.com。
要发帖到此群组,请发送电子邮件至pyth...@googlegroups.com。
要查看更多选项,请访问https://groups.google.com/d/optout。
彼節者有間,而刀刃者無厚;以無厚入有間,恢恢乎其於游刃必有餘地矣。
blog: http://shell909090.org/
blog: http://shell909090.org/
80x24
Jan 16, 2019, 5:05:46 AM1/16/19
to CPyUG
On Wed, Jan 16, 2019 at 5:41 PM Shell Xu <shell...@gmail.com> wrote:
>
> 你换个思路思考呢?把网吧的集成服务端当作客户端,把管理软件客户端当作服务器,反过来测试服务端业务逻辑的完备性。这个问题就变成测试问题了。原则上说,破解者始终可以模拟出一致的结果。但是开销会比较高。
> 另外,做断网的时候也要注意一点。仅仅做MAC地址过滤是不行的,因为有可能抢其他MAC地址用。还得做一个端口绑定。当然,这个应该是常识,我就不啰嗦了。
第一反应也是,从服务端出发和网络层面将不合规的拿下。检查客户机完备性这个思路不错。
>
> 你换个思路思考呢?把网吧的集成服务端当作客户端,把管理软件客户端当作服务器,反过来测试服务端业务逻辑的完备性。这个问题就变成测试问题了。原则上说,破解者始终可以模拟出一致的结果。但是开销会比较高。
> 另外,做断网的时候也要注意一点。仅仅做MAC地址过滤是不行的,因为有可能抢其他MAC地址用。还得做一个端口绑定。当然,这个应该是常识,我就不啰嗦了。
问问这集成管理软件是自己做吗?
b1tdust d
Jan 16, 2019, 6:05:00 AM1/16/19
to pyth...@googlegroups.com
现成的东西:H3C的inode,各大高校的收费上网客户端甚至运营商的拨号软件等等,走的是8021x接入控制协议,你在客户端写上私有的密钥生成算法,每台机器绑定帐号做登录。如果客户端推出,交换机自然就把设备踢下线了。如果黑客破解客户端,也就只能拿到帐号和对应密钥,登录认证的话会在服务器后台留记录,只要你想查,通过日志记录分析异常帐号行为就可以了~比如多点登录啊,上传信息不完整啊什么的。
80x24 <aleip...@gmail.com> 于2019年1月16日周三 下午6:05写道:
--
邮件来自: `CPyUG`华蟒用户组(中文Python技术邮件列表)
规则: http://code.google.com/p/cpyug/wiki/PythonCn
详情: http://code.google.com/p/cpyug/wiki/CpyUg
严正: 理解列表! 智慧提问! http://wiki.woodpecker.org.cn/moin/AskForHelp
---
您收到此邮件是因为您订阅了 Google 网上论坛的“python-cn(华蟒用户组,CPyUG 邮件列表)”群组。
要退订此群组并停止接收此群组的电子邮件,请发送电子邮件到python-cn+...@googlegroups.com。
要向此群组发帖,请发送电子邮件至 pyth...@googlegroups.com。
要查看更多选项,请访问 https://groups.google.com/d/optout。
b1tdust d
Jan 16, 2019, 6:17:28 AM1/16/19
to pyth...@googlegroups.com
总之局域网接入控制有现成的方案(如8021x),而且现有交换机基本都有支持情况下也很容易部署,所以不建议自己造轮子。专心写好客户端认证功能和管理后台就可以了~
b1tdust d <bitd...@gmail.com> 于2019年1月16日周三 下午7:04写道:
Shell Xu
Jan 16, 2019, 6:41:34 AM1/16/19
to CUPG
我对802.1x不熟啊,问个题外问题。
如果攻击者装个小虚拟机,然后把拨号软件装虚拟机里面,可以拨号成功么?
您收到此邮件是因为您订阅了Google网上论坛上的“python-cn(华蟒用户组,CPyUG 邮件列表)”群组。
要退订此群组并停止接收此群组的电子邮件,请发送电子邮件到python-cn+...@googlegroups.com。
要发帖到此群组,请发送电子邮件至pyth...@googlegroups.com。
要查看更多选项,请访问https://groups.google.com/d/optout。
muxueqz(张明源)
Jan 16, 2019, 7:07:22 AM1/16/19
to pyth...@googlegroups.com
b1tdust d
Jan 16, 2019, 7:16:13 AM1/16/19
to pyth...@googlegroups.com
如果虚拟机接成桥接网卡的话,虚拟机内8021x可以认证成功。但是你可以从后台发现登录异常,也可以强制踢人。建议你参考下H3C的inode的功能实现,这是一套完整的用户行为控制系统。针对虚拟机有检测处理,上传信息分析后,由服务后台发起踢人下线就可以了。
Shell Xu <shell...@gmail.com> 于2019年1月16日周三 下午7:41写道:
我对802.1x不熟啊,问个题外问题。如果攻击者装个小虚拟机,然后把拨号软件装虚拟机里面,可以拨号成功么?
Zoom.Quiet
Jan 16, 2019, 7:39:29 AM1/16/19
to CPyUG~华蠎用户组
是也乎,( ̄▽ ̄)
这种反破解的, 就别想仅仅靠谱一个客户端软件来完成了...
一般都是依赖路由器或是服务端的吧...
比如:
嘦客户端有什么意外, 服务端拿到不安全心跳就报警
b1tdust d <bitd...@gmail.com> 于2019年1月16日周三 下午8:16写道:
life is pathetic, go Pythonic! 人生苦短, Python当歌!
俺: http://zoomquiet.io
授: http://creativecommons.org/licenses/by-sa/2.5/cn/
怒: 冗余不做,日子甭过!备份不做,十恶不赦!
KM keep growing environment culture which promoting organization learning!
这种反破解的, 就别想仅仅靠谱一个客户端软件来完成了...
一般都是依赖路由器或是服务端的吧...
比如:
嘦客户端有什么意外, 服务端拿到不安全心跳就报警
b1tdust d <bitd...@gmail.com> 于2019年1月16日周三 下午8:16写道:
俺: http://zoomquiet.io
授: http://creativecommons.org/licenses/by-sa/2.5/cn/
怒: 冗余不做,日子甭过!备份不做,十恶不赦!
KM keep growing environment culture which promoting organization learning!
Shell Xu
Jan 16, 2019, 8:27:29 AM1/16/19
to CUPG
所以简单来说,可以成功拨号。而用户行为控制是H3C客户端的内置功能。虚拟机无法执行是基于H3C的虚拟机检测功能?
那有人尝试过修改H3C代码的虚拟机检测功能使其失效么?或者检测时得到一个mock的结果?
貌似变成早些年反病毒领域的斗争了。
b1tdust d
Jan 16, 2019, 8:38:36 AM1/16/19
to pyth...@googlegroups.com
有,干成过。但是也被发现过。总之,凡是写死的机制总是可以被绕过的。但是只要有管理员时不时看下日志,或者每隔几天出个统计数据,注意下异常的用户登录行为,被发现只是时间问题。软件上也可以做些备用的机制,隔几天动态下发做一下检测。黑客们都很懒的,如果觉得你这个算法不常用,八成也不会去破解实现。
Shell Xu <shell...@gmail.com> 于2019年1月16日周三 下午9:27写道:
Shell Xu
Jan 16, 2019, 9:39:45 AM1/16/19
to CUPG
但一般我知道的实际状况是,管理员比黑客懒...
Damon Chen
Jan 16, 2019, 10:39:34 AM1/16/19
to python-cn
est
Jan 17, 2019, 1:47:21 AM1/17/19
to pyth...@googlegroups.com
管理员启动就维持一个 tcp 长连接,listen 的 backlog 设置为 1 。加个 keepalive 10秒一跳。
tcp 断开则禁用客户端上网。
On Wed, Jan 16, 2019 at 3:55 PM GeekGao <gee...@139.com> wrote:
--
rt,大神们有没有啥好思路?重点是能扛得住破解。
Mengyang Li
Jan 22, 2019, 1:47:08 PM1/22/19
to pyth...@googlegroups.com
如果只是简单的环境,用管理员权限运行客户端,然后给用户普通权限。本地提权还是挺不容易的,就不用防止破解了…
On Tue, Jan 15, 2019 at 11:55 PM GeekGao <gee...@139.com> wrote:
>
>
> rt,大神们有没有啥好思路?重点是能扛得住破解。
>
> --
> 邮件来自: `CPyUG`华蟒用户组(中文Python技术邮件列表)
> 规则: http://code.google.com/p/cpyug/wiki/PythonCn
> 详情: http://code.google.com/p/cpyug/wiki/CpyUg
> 严正: 理解列表! 智慧提问! http://wiki.woodpecker.org.cn/moin/AskForHelp
> ---
> 您收到此邮件是因为您订阅了Google网上论坛上的“python-cn(华蟒用户组,CPyUG 邮件列表)”群组。
> 要退订此群组并停止接收此群组的电子邮件,请发送电子邮件到python-cn+...@googlegroups.com。
> 要发帖到此群组,请发送电子邮件至pyth...@googlegroups.com。
> 要查看更多选项,请访问https://groups.google.com/d/optout。
--
Best regards,
ᶘ ᵒᴥᵒᶅ
mengyang.li
On Tue, Jan 15, 2019 at 11:55 PM GeekGao <gee...@139.com> wrote:
>
>
> rt,大神们有没有啥好思路?重点是能扛得住破解。
>
> --
> 邮件来自: `CPyUG`华蟒用户组(中文Python技术邮件列表)
> 规则: http://code.google.com/p/cpyug/wiki/PythonCn
> 详情: http://code.google.com/p/cpyug/wiki/CpyUg
> 严正: 理解列表! 智慧提问! http://wiki.woodpecker.org.cn/moin/AskForHelp
> ---
> 您收到此邮件是因为您订阅了Google网上论坛上的“python-cn(华蟒用户组,CPyUG 邮件列表)”群组。
> 要退订此群组并停止接收此群组的电子邮件,请发送电子邮件到python-cn+...@googlegroups.com。
> 要发帖到此群组,请发送电子邮件至pyth...@googlegroups.com。
> 要查看更多选项,请访问https://groups.google.com/d/optout。
Best regards,
ᶘ ᵒᴥᵒᶅ
mengyang.li
Alexander Lee
Jan 27, 2019, 11:48:37 AM1/27/19
to pyth...@googlegroups.com
其实, 假设在没有802.1x没有inode什么的时候, 可能的方案也会设计得差不多, 因为不是交换机原生功能, 所以要求交换机支持SNMP可管理, 然后还是CS架构, 有客户端和服务器, 客户端登录后, 服务端就会记录下某服务端对应交换机的某端口和Mac, 如果登录失败就会直接通过SNMP控制交换机禁止这个mac地址的机器访问, 直到登录成功才会解除禁止. 客户端和服务端有心跳信号, 如果心跳信号停止, 则通过SNMP控制交换机将对应的端口关闭来实现禁网, 这样伪造mac也无济于事, 但是这样重新启动客户端就必须先用管理软件控制交换机开启关闭端口, 然后再登录.
当然现在有802.1x, 其实就不必这么麻烦了
Mengyang Li <mayl...@gmail.com> 于2019年1月23日周三 上午2:47写道:
您收到此邮件是因为您订阅了 Google 网上论坛的“python-cn(华蟒用户组,CPyUG 邮件列表)”群组。
要退订此群组并停止接收此群组的电子邮件,请发送电子邮件到python-cn+...@googlegroups.com。
要向此群组发帖,请发送电子邮件至 pyth...@googlegroups.com。
要查看更多选项,请访问 https://groups.google.com/d/optout。
kilnt
Apr 10, 2019, 1:16:56 AM4/10/19
to pyth...@googlegroups.com
包一层pppoe
muxueqz(张明源)
Apr 12, 2019, 3:05:44 AM4/12/19
to pyth...@googlegroups.com
是啊,有线网络基于交换机端口想做这种控制很简单,无线才麻烦,众人似乎都在造802.1X的轮子
Alexander Lee <superp...@gmail.com> 于2019年1月28日周一 上午12:48写道:
Reply all
Reply to author
Forward
0 new messages