alfa5xx
March 18th, 2014, 16:53
با سلام....
چند مدت پیش به یکی از سرورهای ما که روش خدا رو شکر کلوکسو نصب بود یک حمله صورت گرفت
بدین صورت که پکت های زیادی به سرور ارسال میشد و پهنای باند سرور خیلی زود و بیش از حد معمول مصرف میشد
این حمله یکی از جدید ترین حمله های توسط ربوت ها است که شما با بستن حتی آی پی سرویس خارجی که برای شما پکت ارسال میکند قادر به رفع کامل این حمله نیستید
اگر چنانچه به این حمله دچار شده اید مراحل زیر را انجام دهید...
service iptables start
change your ssh port from 22 to other port number
1- از کامند زیر برای فهمیدن آی پی که پکت برای شما ارسال میکند استفاده کنید
tcpdump -n port 53
2-تعداد کانکشن های متصل به سرورتان را توسط کامند زیر بیابید
netstat -n -A inet
iهمچنین میتوانید از کامند های زیر نیز استفاده کنید
netstat -anp | grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort |uniq -c | sort -n
cat /proc/net/ip_conntrack | cut -d ' ' -f 10 | cut -d '=' -f 2 | sort | uniq -c | sort -nr | head -n 10
3-پس از پیدا کردن آی پی آنرا توسط Iptables مسدود کنید
iptables -A OUTPUT -p tcp -d IP_server_ attacker --dport 53 -j DROP
iptables -A INPUT -p tcp -d IP_server_ attacker --dport 53 -j DROP
4-اگر از وب سرور استفاده میکنید ..بر روی سرویس دی ان اس این تنظیمات را انجام دهید
بطور مثال در اینجا سرویس دی ان ما سرویس named بود
در فایل named.conf
این تنظیمات را انجام دهید
options {
recursion no ;
};
******************************************
forwarders {your ip ; 8.8.8.8 ; 4.2.2.4;};
به احتمال زیاد انشا الله مشکلتان حل خواهد شد
پیروز و موفق باشید
چند مدت پیش به یکی از سرورهای ما که روش خدا رو شکر کلوکسو نصب بود یک حمله صورت گرفت
بدین صورت که پکت های زیادی به سرور ارسال میشد و پهنای باند سرور خیلی زود و بیش از حد معمول مصرف میشد
این حمله یکی از جدید ترین حمله های توسط ربوت ها است که شما با بستن حتی آی پی سرویس خارجی که برای شما پکت ارسال میکند قادر به رفع کامل این حمله نیستید
اگر چنانچه به این حمله دچار شده اید مراحل زیر را انجام دهید...
service iptables start
change your ssh port from 22 to other port number
1- از کامند زیر برای فهمیدن آی پی که پکت برای شما ارسال میکند استفاده کنید
tcpdump -n port 53
2-تعداد کانکشن های متصل به سرورتان را توسط کامند زیر بیابید
netstat -n -A inet
iهمچنین میتوانید از کامند های زیر نیز استفاده کنید
netstat -anp | grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort |uniq -c | sort -n
cat /proc/net/ip_conntrack | cut -d ' ' -f 10 | cut -d '=' -f 2 | sort | uniq -c | sort -nr | head -n 10
3-پس از پیدا کردن آی پی آنرا توسط Iptables مسدود کنید
iptables -A OUTPUT -p tcp -d IP_server_ attacker --dport 53 -j DROP
iptables -A INPUT -p tcp -d IP_server_ attacker --dport 53 -j DROP
4-اگر از وب سرور استفاده میکنید ..بر روی سرویس دی ان اس این تنظیمات را انجام دهید
بطور مثال در اینجا سرویس دی ان ما سرویس named بود
در فایل named.conf
این تنظیمات را انجام دهید
options {
recursion no ;
};
******************************************
forwarders {your ip ; 8.8.8.8 ; 4.2.2.4;};
به احتمال زیاد انشا الله مشکلتان حل خواهد شد
پیروز و موفق باشید