Расшифровка ошибок "подозрение на атаку (тип ХХ)"

[HukpoFuJl]

Ув. Максимы, если не сложно и таковой списочек имеется, можете описать что к чему и какие номера кодов что значат? В частности часто сталкиваемся с 1, 9, 14, 221.

Вот что уже успел прочесть сдесь:

Тип 1 - нарушение последовательности данных от клиента. Серьезные меры стоит предпринимать если таких строк много от одного и того же пользователя.

У нас в чате замечалось у пользователей с "пустыми" нкиами.

Тип 221 - попытка переключения в состояние, выходящее за пределы ограничений для строки состояния. Длина состояния не может превышать 64 символов и не может содержать служебных символов. Строка состояния не может состоять из одних только пробелов.

Также данное "подозрение на атаку" вызывается периодически ломаным (нелицензионым) CrazyPlugin'ом версии Plus.

Тип 224 - Попытка авторизации с именем, содержащим запрещенные символы (в обход ограничения на клиентской стороне).

у себя не замечал данного.

Подозрения на флуд-атаки - наверное у пользователя установлены боты или плагины связанные с запросами к серверу и при этом для его учетной записи не отключена защита от флуда.

Дополняйте сисок описаний атак, буду благодарен

[nikitka]

Все данные типы атак у меня присутствуют, большинство идёт от плагина Crazy и перебора паролей к учёткам и применение спец. знаков.
А так же хотелось бы знать, что за разновидности такие типа флуд-атак, таких типов я насчитал 10.

[Maxim Mirgorodsky]

Тип 221 - попытка переключения в состояние, выходящее за пределы ограничений для строки состояния. Длина состояния не может превышать 64 символов и не может содержать служебных символов. Строка состояния не может состоять из одних только пробелов.

Это самая распространенная проблема, и вина в ней больше наша чем плагина. Нам нужно было конвертировать состояние в допустимое перед отправкой его на сервер (на данный момент оно конвертируется при ручном вводе через интерфейс, однако при получении от плагина не обрабатывается). Разумеется, ситуацию исправим в следующей версии.

Что касается остальных типов подозрения на атаку. На сервере установлено множество "ловушек" сконфигурированных таким образом, чтобы разрывать соединение при подозрении на нештатное использование (т.е. атаку). Их много, описывать каждую нет смысла. При обычном использовании клиента не должно таких ситуаций возникать. Однако, такие ситуации могут провоцировать плагины и программы-дополнения (работающие с функциями инициирующими обращение к серверу). В этих случаях необходимо отключать флуд-защиту через настройку прав для учетной записи.

[HukpoFuJl]

Это самая распространенная проблема, и вина в ней больше наша чем плагина.

Хм, попробуем попользоватся без функций переключения с состояния... Посмотрим на логи...

Их много, описывать каждую нет смысла.

В прнципе согласен, все описывать смысла нету, судя по номеру типа, который я как-то заметил (2234 вроде) описания всех займут немало времени... Но есть и актуальные, часто встречающиеся атаки... С недавнего времени у нас на сервере вот таких вот "появившихся в логах сервера" начали потиху банить... Но какбы банить по 200 человек в час совсем не актуально - нужно пользователям что-то советовать, т.к. перспектива поставить "чистый" коммфорт без дополнений устраивает не всех... А чтоб советовать - нужно знать чем вызвана проблема

[Maxim Mirgorodsky]

Как мы уже отмечали, в случае установки дополнений инициирующих обращения к серверу необходимо отключить для учетной записи защиту от флуда. В этом случае никаких проблем быть не должно, за исключением переключений состояния (221).

Протокол TCP следит за соблюдением последовательности данных. Соответственно, второй популярной причиной срабатывания защиты у добропорядочных пользователей является попытка подключения сторонней программой к CommFort-серверу (например, IRC клиентом).

[Chapai518]

Привет, объясните пожалуйста следующий момент, в логах постоянно повторяется "подозрение на атаку (тип 1)" с одного и тогоже ип,по базе проверил с таким ип нет зарегистрированных ников,что это значит?
досит чтоль кто-то

[Maxim Mirgorodsky]

Тип 1 - несоответствие данных от клиента протоколу CommFort.

Если строка появляется не чаще раза в несколько секунд, то, скорее всего, пользователь пытается подключиться к серверу CommFort сторонней программой (например, IRC клиентом).

[dv]

[Сообщение yдалено]

[Maxim Mirgorodsky]

2248 - ?
2221 - ?
2250 - ?
2234 - ?

Все "подозрения на атаку" - несоответствие протоколу CommFort. Несоответствия могут быть абсолютно разными. В некоторых случаях даже неумышленными (подключение другой программой, деятельность плагина, сбой системы). Анализировать их имеет смысл только в случае возникновения проблем.

[dv]

[Сообщение yдалено]

[Maxim Mirgorodsky]

Надо подозревать что циферки разработчиками придуманы не просто так .

Повторяем, анализировать имеет смысл только в случае возникновения проблем.

2250 - что-то похоже на - попытка входа в чат, когда учётка еще не активирована.

Попытка подключения к каналу до авторизации.

[Yaroslav]

О чём может говорить такое:

Тип 25 16 Вт 19:06:32 91.124.76.51 подозрение на атаку (тип 1)
Тип 25 16 Вт 19:07:28 91.124.76.51 подозрение на атаку (тип 1)
Тип 25 16 Вт 19:08:16 91.124.76.51 подозрение на атаку (тип 1)
Тип 25 16 Вт 19:09:50 91.124.76.51 подозрение на атаку (тип 1)
Тип 25 16 Вт 19:10:54 91.124.76.51 подозрение на атаку (тип 1)
Тип 25 16 Вт 19:12:10 91.124.76.51 подозрение на атаку (тип 1)
Тип 25 16 Вт 19:13:39 91.124.76.51 подозрение на атаку (тип 1)
Тип 25 16 Вт 19:15:00 91.124.76.51 подозрение на атаку (тип 1)
Тип 25 16 Вт 19:15:59 91.124.76.51 подозрение на атаку (тип 1)
Тип 25 16 Вт 19:16:59 91.124.76.51 подозрение на атаку (тип 1)
Тип 25 16 Вт 19:18:06 91.124.76.51 подозрение на атаку (тип 1)
Тип 25 16 Вт 19:19:34 91.124.76.51 подозрение на атаку (тип 1)
Тип 25 16 Вт 19:20:50 91.124.76.51 подозрение на атаку (тип 1)
Тип 25 16 Вт 19:21:47 91.124.76.51 подозрение на атаку (тип 1)
Тип 25 16 Вт 19:22:54 91.124.76.51 подозрение на атаку (тип 1)
Тип 25 16 Вт 19:23:49 91.124.76.51 подозрение на атаку (тип 1)
Тип 25 16 Вт 19:24:41 91.124.76.51 подозрение на атаку (тип 1)
Тип 25 16 Вт 19:26:09 91.124.76.51 подозрение на атаку (тип 1)

и так на протяжении суток и суток... Круглосуточно, почти без перерывов. IP меняется каждые сутки. IP из диапазона УкрТелекома (потенциальные наши посетители). Меняется раз в сутки потому, что [удалено как офтопик] но продолжительность сессии DSL соединения не может превышать 24 часа.

[Yaroslav]

Про ошибки «подозрение на атаку» понятно, это своего рода защита, поэтому разглашать тонкости не желательно, но с защитой от флуда, наверное, всё проще.

сработала защита от флуд-атаки (тип - 14), пользователь отключен

Может возможно получить список таких ошибок?
Хотелось бы добавить в мой веб интерфейс более подробные описания.

[Maxim Mirgorodsky]

О чём может говорить такое:

Тип 25 16 Вт 19:26:09 91.124.76.51 подозрение на атаку (тип 1)

и так на протяжении суток и суток... Круглосуточно, почти без перерывов. IP меняется каждые сутки. IP из диапазона УкрТелекома (потенциальные наши посетители). Меняется раз в сутки потому, что (будете смеяться, наверное [1]) но продолжительность сессии DSL соединения не может превышать 24 часа.

Несоответствие протокола. Попытка подключаться к серверу CommFort сторонним ПО (например, клиентом IRC). Еще возможно, что пользователь вписал адрес сервера в поле адреса прокси-сервера.

Может возможно получить список таких ошибок?
Хотелось бы добавить в мой веб интерфейс более подробные описания.

Таких событий очень много. В опциях настраиваются далеко не все.