درود به همگی . امروز حملات بالای بر روی یکی از سرور های ما انجام شد که حملات با استفاده از سیستم های آلوده از کشور های مختلف در حال انجام بود که عمده آنها از کشور چین بود . حملات باعث اختلال در سرویس apache شده و از آنجای که سرویس آپاچی در جلوی حملات DDOS ضعیف عمل میکند سایت های سرور با سرعت خیلی کمی بارگزاری میشدند .

----------------------------------------------

خوب دوستان گلم . در این مواقع شما میتوانید در سرور های لینوکس با استفاده از دستور زیر لیست IP های متصل به سرور و تعداد کانکشن های آنهارا مشاهده کنید :



netstat -atun | awk '{print $5}' | cut -d: -f1 | sed -e '/^$/d' |sort | uniq -c | sort -n



( حمله ای که بر روی سرور ما بود 2642 ای پی از کشور های مختلف و با تعداد کنکشن های مختلف بودن . )

کارهای که شما باید انجام بدید در صورت امکان وارد کانفیگ CSF خود شوید و PORT 80 را از لیست TCP_IN و TCP_OUT پاک کنید



با اینکار شما پورت 80 را بر روی سرور خود مسدود میکنید و با خیال راحت میتوانید به مرحله بعد بروید . در صورتی که نمیخواهید سایت ها از دسترس خارج شوند میتوانید این کار را انجام ندهید .

پس از بستن PORT 80 ابتدا وارد ConfigServer Firewal شوید و تغیرات زیر را انجام دهید .

---------------------------------------------------------------------------------
تنظیمات مربوط به فایل csf.conf را بصورت زیر تنظیم نمایید:
حفاظت از سیل حملات DOS وSYN





CT_LIMIT = "80"

CT_INTERVAL = "50"
CT_PERMANENT = "1"
CT_BLOCK_TIME = "1800"
CT_INTERVAL = "60"
CT_SKIP_TIME_WAIT = "1"
SYNFLOOD = "1"





در حال حاضر سرور شما از DOS و حملات SYN محافظت می شود، و از طریق ایمیل زمانی که یک IP مسدود شده است، مطلع خواهید شد. همچنین:






CONNLIMIT = "22;5,80;20"





تعداد کانکشن های همزمان مجاز برای پورت 22 مقدار 5 وبرای پورت 80 مقدار 20 کانکشن






PORTFLOOD = "80;tcp;20;300"





این تنظیم به این معنا می باشد که تمام درخواست به پورت 80 از نوع TCP از 20 درخواست درثانیه را
در بازه زمانی 300 ثانیه را قبل از آزاد شدن کانکشن محدود میکند.

حفاظت از SPAM هرزنامه





LF_DSHIELD = "86400"
LF_SPAMHAUS = "86400"
LF_BOGON = "86400"







این تنظیم اختیاری است و پیشنهاد نمی شود زیرا سرور شما از یک لیست بزرگ از IP های بد شناخته شده محافظت می شود،

که همیشه در حال رشد است. سایر تنظیمات مفید شما می توانید دسترسی IP کشورهای مخصوصی را ببندید






CC_DENY = "GB,CN"





شما می توانید lfd را برای تشخیص دایرکتوری های مشکوک تنظیم نمایید:





LF_DIRWATCH = "300"







منبع : serversetup.ir (http://www.serversetup.ir/articles/%D8%AA%D9%86%D8%B8%DB%8C%D9%85%D8%A7%D8%AA-%D9%BE%DB%8C%D8%B4%D8%B1%D9%81%D8%AA%D9%87-csf)
-------------------------------------------

خوب نکته مهم

شما وقتی دستور :


netstat -atun | awk '{print $5}' | cut -d: -f1 | sed -e '/^$/d' |sort | uniq -c | sort -n



را در سرور خود وارد میکنید لیست IP های متصل به سرور شما + تعداد کانکشن نمایش داده میشود ، IP های نمایش داده شده را در سایت زیر وارد کنید :


http://geoip.flagfox.net/?ip=

و بعد از نمایش مشخصات در قسمت Country Code مخفف نام کشور ( برای مثال Iran = IR ) را برای شما نمایش میدهد . بجز IP کشور های مهم مثل : آلمان ، آمریکا ، ایران و ... تمامی IP های نمایش داده شده را ابتدا Country Code آنهارا به دست بیاورید و سپس مثل آموزش بالا وارد ConfigServer Firewall شوید و آن ها را در لیست CC_DENY قرار داده و ذخیره کنید ، سرویس CSF و LFD را ریستارت دهید و سپس سرور خود را reboot دهید . و بعد PORT 80 را در سرور خود باز کنید .

اما بنظر من پیشگیری بهتر از درمان است . مشتریان شما یا از ایران هستن یا خارج و یا اینکه از قند شکن استفاده میکنند . شما مخاطبی در کشور چین و یا افریقای و سایر کشور های غریبه ندارید . من در سرورم لیست کشور های زیر را مسدود کردم . شما میتوانید با توجه به درخواست های خود و نوع حملات آن هارا تغیر دهید .

GB,CN,TR,VE,SE,BR,CL,IN,AE,MX,ID,VN,TH,LK,NG,KE,AR ,EC,PA,PK,MY,RU,IQ,EU,CO,PS,UA,NL,KH,HK,CZ,BD,RO,P H,KR,TW

.

دوستان لطفا توجه داشته باشید که این آموزش برای حملات بر روی سطح 7 شبکه میباشد ( سطح نرم افزار) که سرویس APache را مورد حمله قرار داده بودن . در حملات بر روی شبکه و یا .... شما از هیچ نرم افزاری بجز firewall سخت افزاری و یا استفاده از میکروتیک نمیتوانید جلویه حملات را بگیرید . دلیل هم عدم دسترسی و مدیریت نرم افزار ها به سایر لایه های شبکه میباشد .


با تشکر .

البته این کار یک راه حل موقت و تا حدودی سخت گیرانه است. چون خیلی از مرورگرها و وب سایت ها هستند که با تعدد اتصال به سرور شما دارند کار میکنند اما معناش نیست که در حال اتک به شما می باشند.

مثلا یک کافی نت را فرض کنید که چندین رایانه از یک IP باش وصل هستند یا مراکزی مثل کتابخانه ها و ... خوب با اونها چه میخواهید بکنید؟ آیا اونها هم چون بیش از 20 اتصال دارند مثل مهاجم برخورد می کنید؟

اگر سرور شما کیپ الایو هم روش فعال باشد که اون وقت با توجه به قطع نشدن کانکشن ها برای مدتی تقریبا میشه گفت اکثر کاربران شما قربانی تنظیم غلط فایروال شما میشوند.

همانطور که اکثر دوستان مشرف هستند حملات دیداس خودش انواع مختلف دارد، در حقیقت مقابله خودکار با حملات دیداس حتی از دست گرانقیمت ترین فایروال ها نیز خارج است و فقط حضور یک اپراطور پای سیستم در اون لحظه است که می تواند کار ساز باشد و تلرانس خطای فایروال ها در تشخیص حملات خیلی بیشتر از انتظار است. یا حملات را کشف نمی کنند که بی فاید است یا تعداد قابل توجهی از کاربران را قربانی شناسایی غلط می کنند.

یکی از روش های جدیدی که اتفاقا CSF هم قابلیتش را فراهم کرده است ( البته نه خیلی حرفه ای ) ریدایرکت کردن حملات میباشد. البته در CSF قابلیت ریدایرکت کل درخواست ها وجود دارد. اما به شکل حرفه ای تر، شما میتوانید درصدی عمل کنید و نیمی از کانکشن های هر Ip را به خودش بازگردانید.

به طور مثال چنین شرطی در بین باشد:

اگر تعداد درخواست ها بیش از 20 عدد بود، 10%

اگر بیش از 50 عدد بود 25%

اگر بیش از 100 عدد بود 50%

اگر بیش از 200 عدد بود 70%

خوب در این صورت اگر حملات واقعی باشد که با رفلکت شدن درخواست ها سرور شما لودش بالا نخواهد رفت و فرصت بلاک کردن IP مهاجم را به راحتی دارید که تازه لود خود سرور مهاجم هم با توجه به رفلکت شدن ترافیک خودش روی خودش بالا خواهد رفت.

اگر هم مهاجمی نباشد و تنها کاربر باشد، باز با قعطی دسترسی و اینها روبرو نخواهد شد و فقط شاهد کندی سرعت سایت و البته اینترنت خودش خواهد بود. آن هم به نسبت پیش رویش از حد غیر مجاز مد نظر ما.

این را میتوان نسبتا حرفه ای ترین شیوه مقابله با دیداس معرفی کرد که تفاوتی هم براش نداره مهاجم از چه شیوه ای استفاده کرده باشد یا با چند IP در حال اتک دادن هست.

البته تنظیمات CSF هم اگر خوب انجام شود تا حد قابل توجهی ارتقا دهنده امنیت سرور هست. اما فاصله زیادی با یک کانفیگ امنیتی حرفه ای دارد.

البته این کار یک راه حل موقت و تا حدودی سخت گیرانه است. چون خیلی از مرورگرها و وب سایت ها هستند که با تعدد اتصال به سرور شما دارند کار میکنند اما معناش نیست که در حال اتک به شما می باشند.

مثلا یک کافی نت را فرض کنید که چندین رایانه از یک IP باش وصل هستند یا مراکزی مثل کتابخانه ها و ... خوب با اونها چه میخواهید بکنید؟ آیا اونها هم چون بیش از 20 اتصال دارند مثل مهاجم برخورد می کنید؟

اگر سرور شما کیپ الایو هم روش فعال باشد که اون وقت با توجه به قطع نشدن کانکشن ها برای مدتی تقریبا میشه گفت اکثر کاربران شما قربانی تنظیم غلط فایروال شما میشوند.

همانطور که اکثر دوستان مشرف هستند حملات دیداس خودش انواع مختلف دارد، در حقیقت مقابله خودکار با حملات دیداس حتی از دست گرانقیمت ترین فایروال ها نیز خارج است و فقط حضور یک اپراطور پای سیستم در اون لحظه است که می تواند کار ساز باشد و تلرانس خطای فایروال ها در تشخیص حملات خیلی بیشتر از انتظار است. یا حملات را کشف نمی کنند که بی فاید است یا تعداد قابل توجهی از کاربران را قربانی شناسایی غلط می کنند.

یکی از روش های جدیدی که اتفاقا CSF هم قابلیتش را فراهم کرده است ( البته نه خیلی حرفه ای ) ریدایرکت کردن حملات میباشد. البته در CSF قابلیت ریدایرکت کل درخواست ها وجود دارد. اما به شکل حرفه ای تر، شما میتوانید درصدی عمل کنید و نیمی از کانکشن های هر Ip را به خودش بازگردانید.

به طور مثال چنین شرطی در بین باشد:

اگر تعداد درخواست ها بیش از 20 عدد بود، 10%

اگر بیش از 50 عدد بود 25%

اگر بیش از 100 عدد بود 50%

اگر بیش از 200 عدد بود 70%

خوب در این صورت اگر حملات واقعی باشد که با رفلکت شدن درخواست ها سرور شما لودش بالا نخواهد رفت و فرصت بلاک کردن IP مهاجم را به راحتی دارید که تازه لود خود سرور مهاجم هم با توجه به رفلکت شدن ترافیک خودش روی خودش بالا خواهد رفت.

اگر هم مهاجمی نباشد و تنها کاربر باشد، باز با قعطی دسترسی و اینها روبرو نخواهد شد و فقط شاهد کندی سرعت سایت و البته اینترنت خودش خواهد بود. آن هم به نسبت پیش رویش از حد غیر مجاز مد نظر ما.

این را میتوان نسبتا حرفه ای ترین شیوه مقابله با دیداس معرفی کرد که تفاوتی هم براش نداره مهاجم از چه شیوه ای استفاده کرده باشد یا با چند IP در حال اتک دادن هست.

البته تنظیمات CSF هم اگر خوب انجام شود تا حد قابل توجهی ارتقا دهنده امنیت سرور هست. اما فاصله زیادی با یک کانفیگ امنیتی حرفه ای دارد.


با تشکر از آموزش مفیدتون . اما همانطور که گفتم تنها IP های کشور های متفرقه را باید مسدود کرد . حمله ها از ایران انجام نمیگره به دلیل پاین بودن سرعت اینترنت . همچنین در CSF شما میتوانید با وارد کردن IR

در CC_Allow دسترسی IP های ایران را باز بگزارید تا بتوانید محدودیت هارا بر روی مهاجمین اعمال کنید . در این نوع از حمله DDOS بر روی وب سرور apache با درگیر کردن این سرویس باعث از دسترس خارج شدن سایت های شما میشوند در صورتی که load سرور شما پایین است .

به هر حال به نظر من بستن IP های کشور های چین ، ترکیه ، کره و .... خیلی مهم است . چون این کشور ها کاربران مخرب زیادی داره .

حق با شماست، بلاک کردن برخی کشورها درصد قابل توجهی حملات کور یا گاهی هدفمند را بلاک خواهد کرد.

البته ما چند وقت پیش از داخل کشور هم روی یکی از سرورها دیداس داشتیم، خصوصا که بیش از 30 تا ip داشتند اتک میدادن همگی رنج یک شرکت غول داخلی هم بود که اتفاقا با ما قبلا سابقه همکاری تو پروژه ای هم داشتند و شاید از استقلال ما ناراضی بودند. حالا جای تعجب داشت با توجه به دانستن این که ما به سادگی میتونیم بفهمیم اتک از سمت و شبکه اونهاست چرا همچین حرکتی کردند خودش جای تعجب داره برا من هنوز.

البته ما اقداماتی کردیم از طریق پلیس فتا اما خوب متاسفانه نتیجه مطلوبی نگرفتیم و با توقف حملات از سمت اونها کلا دنبالش نکردیم خودمان هم.


صرفا منظورم این بود با روند رو به رشد دیتاسنترهای داخلی، بد نیست راهکارهای خودمان را گسترده تر از بلاک کردن کشورهای خارجی بکنیم. به نوعی آماده شدن برای مهاجمین داخلی هم مد نظر باشد.

درود
با گذاشتن اینهمه کشور در cc_deny به نظرم باعث بالا رفتن لود سرور میشید همونطور که من تجربه داشتم !
اونطور که در کنسول مشاهده میشد در هنگام بالا آمدن سرور csf همه ی رنج ها رو بلاک می کنه و خیلی خیلی زمانبر هست !
ره دیگری نیست ؟

درود
با گذاشتن اینهمه کشور در cc_deny به نظرم باعث بالا رفتن لود سرور میشید همونطور که من تجربه داشتم !
اونطور که در کنسول مشاهده میشد در هنگام بالا آمدن سرور csf همه ی رنج ها رو بلاک می کنه و خیلی خیلی زمانبر هست !
ره دیگری نیست ؟

این ویژگی در csf نسخه اخر برطرف شده است و هنگام ری استارت دیگر نیاز نیست منتظر بمانید تا ایپی ها یکی یکی بلاک شوند.

خیلی عالی بود واقعا مشکلی بود که باهاش به شدت درگیر بودیم
مرسی

مقاله خوبی بود ، همانطور که دوستان گفتن حتی با بلاک کردن ایپی ها هم نمیشه جلوی سرور رو گرفت چون پکت ها به سرور میرسن و مقداری بار ترافیکی روی سرور می اندازند ، مگر اینکه یک فایروال سختافزاری سر راه باشد و پکت ها روی اون بارریزی شوند

ممنون بابت این آموزش ...




حفاظت از SPAM هرزنامه
[CODE]



LF_DSHIELD = "86400"
LF_SPAMHAUS = "86400"
LF_BOGON = "86400"




من این تنظیمات رو ندارم !! :59:

ممنون بابت این آموزش ...



من این تنظیمات رو ندارم !! :59:

حتما در ورژن جدید این مورد حذف شده است . نیاز به تنظیم کردن این قسمت رو دارید ؟

به جای این که سرور رو درگیر بررسی آی پی ها , استفاده از geo برای تشخیص کشور آی پی مبدا و دیگر موارد کنید چرا از blackhole route استفاده نمیکنید ؟ خیلی ساده نتیجه درخواست روت رو میفرسته تو blackhole و ریکوئست حداقل فشار رو برروی سرور اصلی ایجاد میکنه .

با این تنظیمات شما بیشترین میزان مصرف منابع رو در اختیار lfd و chain های مربوط به csf میزارید که در زمان حمله باعث مصرف بیش از حد میشه و عملا خود lfd یا csf باعث کندی میشن .
البته روش دوست عزیزی که گفتن reflect کنیم درخواست ها رو من میپسندم . اما باید توسط یک واسطه انجام بشه . مثلا یک routing os ساده مثل ipcop یا میکروتیک این کارو انجام بده نه سرور اصلی .

به هر حال این روزهای بلاک کردن حملات ddos و حتی بعضا dos های سنگین هزینه های زیادی داره که دلیلش نبود که راهکار مشخص جهت دفع اونهاست .

به جای این که سرور رو درگیر بررسی آی پی ها , استفاده از geo برای تشخیص کشور آی پی مبدا و دیگر موارد کنید چرا از blackhole route استفاده نمیکنید ؟ خیلی ساده نتیجه درخواست روت رو میفرسته تو blackhole و ریکوئست حداقل فشار رو برروی سرور اصلی ایجاد میکنه .

با این تنظیمات شما بیشترین میزان مصرف منابع رو در اختیار lfd و chain های مربوط به csf میزارید که در زمان حمله باعث مصرف بیش از حد میشه و عملا خود lfd یا csf باعث کندی میشن .
البته روش دوست عزیزی که گفتن reflect کنیم درخواست ها رو من میپسندم . اما باید توسط یک واسطه انجام بشه . مثلا یک routing os ساده مثل ipcop یا میکروتیک این کارو انجام بده نه سرور اصلی .

به هر حال این روزهای بلاک کردن حملات ddos و حتی بعضا dos های سنگین هزینه های زیادی داره که دلیلش نبود که راهکار مشخص جهت دفع اونهاست .


گفتار شما صحیح است ، مدیر سرور با توجه به نوع حمله میتونه از روش های متعددی استفاده کنه و این موضوع بستگی به نوع حمله و شدت آن دارد .

یک نکته این روش مصرف منابع بالای ندارد این روش رو بنده اجرا کردم هیچ افزایش مصرفی چشم گیری که باعث بد تر شده وضعیت شود مشاهده نشد و خیلی ساده از حملات جلوگیری شد

به دلیل تنوع روش های حملات ddos بر روی لایه های مختلف شبکه تنها با یک نرم افزار ساده نمیشه انتظار بالای داشت در پست اول ذکر کرم که این روش تنها بر روی حملات لایه 7شبکه جواب میده که با کمترین امکانات کار میکنه فرضیه بر این است که کاربر تنها 1 سرور مجازی و یا اختصاصی بدون تجهیرات داره و با روش ساده بتواند جلو این نوع از حمله را بگیرد . از این رو در عنوان آموزش گفته شده با استفاده از CSF :)

گفتار شما صحیح است ، مدیر سرور با توجه به نوع حمله میتونه از روش های متعددی استفاده کنه و این موضوع بستگی به نوع حمله و شدت آن دارد .

یک نکته این روش مصرف منابع بالای ندارد این روش رو بنده اجرا کردم هیچ افزایش مصرفی چشم گیری که باعث بد تر شده وضعیت شود مشاهده نشد و خیلی ساده از حملات جلوگیری شد

به دلیل تنوع روش های حملات ddos بر روی لایه های مختلف شبکه تنها با یک نرم افزار ساده نمیشه انتظار بالای داشت در پست اول ذکر کرم که این روش تنها بر روی حملات لایه 7شبکه جواب میده که با کمترین امکانات کار میکنه فرضیه بر این است که کاربر تنها 1 سرور مجازی و یا اختصاصی بدون تجهیرات داره و با روش ساده بتواند جلو این نوع از حمله را بگیرد . از این رو در عنوان آموزش گفته شده با استفاده از CSF :)


مطمئن هستم که قصد شما از ایجاد این آموزش افزایش قدرت افرادی هست که حداقل یک سرور مجازی در اختیار دارن و ممکنه با این حملات مواجه بشن . افزایش دانش و قدرت باعث پیشرفت خواهد شد حتما .

ولیکن کماکان به این نظر پایبند هستم که csf و به طور کلی فایروال های براساس iptables قدرت مانور و مقابله با حجمه هایی از نو DDoS یا حتی DoS های نیمه سنگین را ندارند . البته این حملات الزاما برروی پورت 80 اعمال نمیشن و میتونه حملات براساس smtp reject یا درخواست برروی پورت های سرویس دهی دیگه ای پیاده بشن .

توصیه میکنم این پست رو مطالعه کنید : The difference between iptables DROP and null-routing. – tummy.com, ltd. (http://www.tummy.com/blogs/2006/07/27/the-difference-between-iptables-drop-and-null-routing/)

ممنون آموزش مفیدی بود .
من از طرف دوستانی که پست شما رو میخوانن و حتی توان کلیک بر روی گزینه تشکر ندارن تشکر میکنم . :67:

البته این کار یک راه حل موقت و تا حدودی سخت گیرانه است. چون خیلی از مرورگرها و وب سایت ها هستند که با تعدد اتصال به سرور شما دارند کار میکنند اما معناش نیست که در حال اتک به شما می باشند.

مثلا یک کافی نت را فرض کنید که چندین رایانه از یک IP باش وصل هستند یا مراکزی مثل کتابخانه ها و ... خوب با اونها چه میخواهید بکنید؟ آیا اونها هم چون بیش از 20 اتصال دارند مثل مهاجم برخورد می کنید؟

اگر سرور شما کیپ الایو هم روش فعال باشد که اون وقت با توجه به قطع نشدن کانکشن ها برای مدتی تقریبا میشه گفت اکثر کاربران شما قربانی تنظیم غلط فایروال شما میشوند.

همانطور که اکثر دوستان مشرف هستند حملات دیداس خودش انواع مختلف دارد، در حقیقت مقابله خودکار با حملات دیداس حتی از دست گرانقیمت ترین فایروال ها نیز خارج است و فقط حضور یک اپراطور پای سیستم در اون لحظه است که می تواند کار ساز باشد و تلرانس خطای فایروال ها در تشخیص حملات خیلی بیشتر از انتظار است. یا حملات را کشف نمی کنند که بی فاید است یا تعداد قابل توجهی از کاربران را قربانی شناسایی غلط می کنند.

یکی از روش های جدیدی که اتفاقا CSF هم قابلیتش را فراهم کرده است ( البته نه خیلی حرفه ای ) ریدایرکت کردن حملات میباشد. البته در CSF قابلیت ریدایرکت کل درخواست ها وجود دارد. اما به شکل حرفه ای تر، شما میتوانید درصدی عمل کنید و نیمی از کانکشن های هر Ip را به خودش بازگردانید.

به طور مثال چنین شرطی در بین باشد:

اگر تعداد درخواست ها بیش از 20 عدد بود، 10%

اگر بیش از 50 عدد بود 25%

اگر بیش از 100 عدد بود 50%

اگر بیش از 200 عدد بود 70%

خوب در این صورت اگر حملات واقعی باشد که با رفلکت شدن درخواست ها سرور شما لودش بالا نخواهد رفت و فرصت بلاک کردن IP مهاجم را به راحتی دارید که تازه لود خود سرور مهاجم هم با توجه به رفلکت شدن ترافیک خودش روی خودش بالا خواهد رفت.

اگر هم مهاجمی نباشد و تنها کاربر باشد، باز با قعطی دسترسی و اینها روبرو نخواهد شد و فقط شاهد کندی سرعت سایت و البته اینترنت خودش خواهد بود. آن هم به نسبت پیش رویش از حد غیر مجاز مد نظر ما.

این را میتوان نسبتا حرفه ای ترین شیوه مقابله با دیداس معرفی کرد که تفاوتی هم براش نداره مهاجم از چه شیوه ای استفاده کرده باشد یا با چند IP در حال اتک دادن هست.

البته تنظیمات CSF هم اگر خوب انجام شود تا حد قابل توجهی ارتقا دهنده امنیت سرور هست. اما فاصله زیادی با یک کانفیگ امنیتی حرفه ای دارد.



این تنظیمات رو توضیح میدید چطور رو csf انجام بدیم؟
ممنون

بسیار پست مفیدی بوده نشکر میکنم

فکر میکنم استفاده از میکروتیک قبل از سرور برای هم ریدایرکت کردن حملات و هم محدود سازی تعداد کانکشن ها به سرور
و همینطور تنظیم csf مشابه میکروتیک برای ریدایرکت کردن ترافیک زیاد و همینطور محدود سازی کانکشن راه جالی است

و اگر دوستی به صورت تجربی و عملی انجام داده بود و در این پست توضیحاتی راجب کانفیگ قرار میداد پست بسیار زیبا میشد

درود به همگی . امروز حملات بالای بر روی یکی از سرور های ما انجام شد که حملات با استفاده از سیستم های آلوده از کشور های مختلف در حال انجام بود که عمده آنها از کشور چین بود . حملات باعث اختلال در سرویس apache شده و از آنجای که سرویس آپاچی در جلوی حملات ddos ضعیف عمل میکند سایت های سرور با سرعت خیلی کمی بارگزاری میشدند .

----------------------------------------------

خوب دوستان گلم . در این مواقع شما میتوانید در سرور های لینوکس با استفاده از دستور زیر لیست ip های متصل به سرور و تعداد کانکشن های آنهارا مشاهده کنید :



netstat -atun | awk '{print $5}' | cut -d: -f1 | sed -e '/^$/d' |sort | uniq -c | sort -n



( حمله ای که بر روی سرور ما بود 2642 ای پی از کشور های مختلف و با تعداد کنکشن های مختلف بودن . )

کارهای که شما باید انجام بدید در صورت امکان وارد کانفیگ csf خود شوید و port 80 را از لیست tcp_in و tcp_out پاک کنید



با اینکار شما پورت 80 را بر روی سرور خود مسدود میکنید و با خیال راحت میتوانید به مرحله بعد بروید . در صورتی که نمیخواهید سایت ها از دسترس خارج شوند میتوانید این کار را انجام ندهید .

پس از بستن port 80 ابتدا وارد configserver firewal شوید و تغیرات زیر را انجام دهید .

---------------------------------------------------------------------------------
تنظیمات مربوط به فایل csf.conf را بصورت زیر تنظیم نمایید:
حفاظت از سیل حملات dos وsyn





ct_limit = "80"

ct_interval = "50"
ct_permanent = "1"
ct_block_time = "1800"
ct_interval = "60"
ct_skip_time_wait = "1"
synflood = "1"





در حال حاضر سرور شما از dos و حملات syn محافظت می شود، و از طریق ایمیل زمانی که یک ip مسدود شده است، مطلع خواهید شد. همچنین:






connlimit = "22;5,80;20"





تعداد کانکشن های همزمان مجاز برای پورت 22 مقدار 5 وبرای پورت 80 مقدار 20 کانکشن






portflood = "80;tcp;20;300"





این تنظیم به این معنا می باشد که تمام درخواست به پورت 80 از نوع tcp از 20 درخواست درثانیه را
در بازه زمانی 300 ثانیه را قبل از آزاد شدن کانکشن محدود میکند.

حفاظت از spam هرزنامه





lf_dshield = "86400"
lf_spamhaus = "86400"
lf_bogon = "86400"







این تنظیم اختیاری است و پیشنهاد نمی شود زیرا سرور شما از یک لیست بزرگ از ip های بد شناخته شده محافظت می شود،

که همیشه در حال رشد است. سایر تنظیمات مفید شما می توانید دسترسی ip کشورهای مخصوصی را ببندید






cc_deny = "gb,cn"





شما می توانید lfd را برای تشخیص دایرکتوری های مشکوک تنظیم نمایید:





lf_dirwatch = "300"







منبع : serversetup.ir (http://www.serversetup.ir/articles/%d8%aa%d9%86%d8%b8%db%8c%d9%85%d8%a7%d8%aa-%d9%be%db%8c%d8%b4%d8%b1%d9%81%d8%aa%d9%87-csf)
-------------------------------------------

خوب نکته مهم

شما وقتی دستور :


netstat -atun | awk '{print $5}' | cut -d: -f1 | sed -e '/^$/d' |sort | uniq -c | sort -n



را در سرور خود وارد میکنید لیست ip های متصل به سرور شما + تعداد کانکشن نمایش داده میشود ، ip های نمایش داده شده را در سایت زیر وارد کنید :


http://geoip.flagfox.net/?ip=

و بعد از نمایش مشخصات در قسمت country code مخفف نام کشور ( برای مثال iran = ir ) را برای شما نمایش میدهد . بجز ip کشور های مهم مثل : آلمان ، آمریکا ، ایران و ... تمامی ip های نمایش داده شده را ابتدا country code آنهارا به دست بیاورید و سپس مثل آموزش بالا وارد configserver firewall شوید و آن ها را در لیست cc_deny قرار داده و ذخیره کنید ، سرویس csf و lfd را ریستارت دهید و سپس سرور خود را reboot دهید . و بعد port 80 را در سرور خود باز کنید .

اما بنظر من پیشگیری بهتر از درمان است . مشتریان شما یا از ایران هستن یا خارج و یا اینکه از قند شکن استفاده میکنند . شما مخاطبی در کشور چین و یا افریقای و سایر کشور های غریبه ندارید . من در سرورم لیست کشور های زیر را مسدود کردم . شما میتوانید با توجه به درخواست های خود و نوع حملات آن هارا تغیر دهید .

Gb,cn,tr,ve,se,br,cl,in,ae,mx,id,vn,th,lk,ng,ke,ar ,ec,pa,pk,my,ru,iq,eu,co,ps,ua,nl,kh,hk,cz,bd,ro,p h,kr,tw

.

دوستان لطفا توجه داشته باشید که این آموزش برای حملات بر روی سطح 7 شبکه میباشد ( سطح نرم افزار) که سرویس apache را مورد حمله قرار داده بودن . در حملات بر روی شبکه و یا .... شما از هیچ نرم افزاری بجز firewall سخت افزاری و یا استفاده از میکروتیک نمیتوانید جلویه حملات را بگیرید . دلیل هم عدم دسترسی و مدیریت نرم افزار ها به سایر لایه های شبکه میباشد .


با تشکر .

سلام دوست عزیز
مرسی بابت آموزش من همه کار ها رو انجام دادم و این کشور ها رو در سرور لیست بستم



gb,cn,tr,ve,se,br,cl,in,ae,mx,id,vn,th,lk,ng,ke,ar ,ec,pa,pk,my,ru,iq,eu,co,ps,ua,nl,kh,hk,cz,bd,ro,p h,kr,tw

سرور من آلمان هست به نظر شما این هارا بستم مشکلی پیش میاد؟