من از ویندوز ۲۰۰۳ سرور استفاده می‌کنم ،چطور می‌توانم تشخیص دهم که سرور در معرض DOS یا DDOS قرار دارد؟

حملات DOS یا denial-of-service و DDOS یا distributed denial-of-service سعی در خارج نمودن سرور از سرویس دهی دارند، بطور مثال این کار را می‌توان بوسیله ایجاد یک ترافیک زائد و زیاد انجام داد.
شما می‌توانید براحتی با استفاده از دستور netstat تعداد و وضعیت connectionهای سرور را زیر نظر بگیرید. برای این کار به منوی start رفته و در run کلمه cmd را نوشته و اینتر بزنید.
در پنجره‌ی command دستور زیر را تایپ کنید:

netstat -aon
netstat یک ابزار مفید برای بدست آوردن اطلاعات و آمار اتصالات شبکه های TCP/IP می‌باشد.
در دستور بالا a باعث نمایش تمام اتصالات فعال TCP و همینطور تمام پورت هایی که در حال listening چه بصورت TCP و چه UDP می‌شود، n نمایش دهنده‌ی اتصالات (connections) فعال کنونی بصورتip و port می‌باشد و o شمارهPID هر اتصال را نیز نمایش می‌دهد تا براحتی بتوان نرم افزار یا سایتی که این اتصال را برقرار کرده پیدا نمود.
برای راحتی کار می‌توان این دستور را در کنار فرمان find بکار برد بطور مثال خط زیر تمام اتصالات برروی پورت ۸۰ (وب)‌ را نشان می‌دهد:

netstat -aon|find /c “80″
می‌توانید ادرس ip که بیشترین اتصال را دارد براحتی پیدا کرده و در firewall خود آن را مسدود نمایید.

مشاهده مطلب در فاهومگ (http://fahomag.com/articles/detect-ddos-dos-attack-on-windows-server.html)

بنده از ایت مواردی که شما می فرمایید زیاد سر در نمیارم. امکانش هست که سرور های دانلودی که آیپی های خارجشون مسدود شده و به عنوان هاست دانلود دارن استفاده میشن تحت این نوع حملات قرار بگیرن؟

امکانش هست که سرور های دانلودی که آیپی های خارجشون مسدود شده و به عنوان هاست دانلود دارن استفاده میشن تحت این نوع حملات قرار بگیرن؟

بله ، اما قابل تشخیصه ، چون تعداد کانکشن ها بصورت غیر عادی بالا میره ....

بله ، اما قابل تشخیصه ، چون تعداد کانکشن ها بصورت غیر عادی بالا میره ....

میشه لطف کنید بگید باید چطور فهمید تعداد کانکشن ها بالا رفته ؟

میشه لطف کنید بگید باید چطور فهمید تعداد کانکشن ها بالا رفته ؟

سرور ویندوز ک در پست اول توضیح داده شده ، اما برای سرور لینوکس ، برای نمایش تعداد کانکشن ها از دستور


netstat -n | grep :80 |wc -l

و برای نمایش لیست آي پی های متصل ب سرور از دستور


netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

استفاده کنید .

من این کار رو انجام دادم. فقط یک سوال؟

چطور بفهمیم آدرس آی پی شخصی که بیشترین اتصال رو داره با هدف حمله به سرور وارد شده؟ شاید هدف استفاده از سرور باشه. این موضوع چطور قابل تفکیک هست؟

اگر فرد قصد حمله داشته باشه خوب مطمئنن تعداد اتصال های اون بالا است که با روش های ذکر شده قابل مشاهده است
اگر با این سئوال منظور شما پیشگیری از حملات است بهتر است نرم افزار انتی دی داس مناسب را نصب و بسته به نیاز خود کانفیگ نمایید تا حملات به صورت خودکار کنترل شود

عزیز مثلاً کاربری که تعداد کانشکن هایش زیر 100 باشد را در نظر نگیر اما بگرد دنبال کانکشن های بالای 900 و اینا اگه دستوراتی که دادن چند بار بزنین متوجه می شین

برای فهمیدن حملات ddos روی یه سایت معمولی هم میشه کاری کرد ؟ (http://tablokar.ir)

سلام شما برای ویندوز شمامیخواهی چک کنی یا لینوکس؟

حمله DDos چیست ؟
DDos مخفف Distributed Denial of Service است .
در این روش یک فرد یا تیم هک سعی میکنند بر اساس مقاصدی که دارند از یک چند کامپیوتر که از طریق ویروس یا تروجان ها به آنها دسترسی دارند منابع موجود در یک کامپیوتر را در شبکه اینترنت هدف قرار دهند.
کدام آی پی سرور ما با آی پی های بیرون از شبکه در اتصال قرار گرفته اند ؟
ممکن است در سرور خود چند آی پی در اختیار داشته باشد. میتوانیم آن آی پی از سرور اختصاصی یا سرور مجازی لینوکس که مورد هدف قرار گرفته است و بیشترین ارتباط را از بیرون دریافت میکند را با دستور زیر استخراج کنیم :

netstat -alpn | grep :80 | awk ‘{print $4}’ |awk -F: ‘{print $(NF-1)}’ |sort |uniq -c | sort -n

جزییات بیشتر : حملات ddos و مشاهده آن | وبلاگ آیسان هاستینگ (http://blog.hosting-live.com/%D8%AD%D9%85%D9%84%D8%A7%D8%AA-ddos-%D9%88-%D9%85%D8%B4%D8%A7%D9%87%D8%AF%D9%87-%D8%A2%D9%86/)
خرید هاست (http://hosting-live.com)

برای ویندوز میتوانید برنامه مانیتور کانکشن ها نصب کنید که همیشه مانیتور کند.
همچنین میتوانید از برنامه anti ddos guardian استفاده کنید که هم تا حدی به انتی دیداس شدن سرور شما کمک کند هم مانیتور کامل و بسیار دقیقی از اتصالات به سرور شما بهتون بده.

دوستان عزیز ببینید تو تصویر زیر که سرور لینوکسیه
4هزارو خرده ای کانکشن بدون آی پی هست
این برا چی میتونه باشه؟ وبسرور apache-nginix هستش برا اونه؟ یا تعداد کل کانکشن هاست؟
5200 تا هم کانکشن از خود سرور هستش بخاطر انجینکیس
25048

سلام خدمت دوستان .

یکی از راه های بهتر استفاده از نرم افزار های مانیتورینگ ترافیک هست .
که گرافیکی تر و حرفه ای تر هستند .
البته حملات معمولآ به قدری سنگین هستن که کلآ دسترسی به سرور مختل میکنند .
که با دسترسی به console باید این موارد و میزان پاکت های دریافتی و ارسالی رو چک کرد .

حمله DDos چیست ؟
DDos مخفف Distributed Denial of Service است .
در این روش یک فرد یا تیم هک سعی میکنند بر اساس مقاصدی که دارند از یک چند کامپیوتر که از طریق ویروس یا تروجان ها به آنها دسترسی دارند منابع موجود در یک کامپیوتر را در شبکه اینترنت هدف قرار دهند.
کدام آی پی سرور ما با آی پی های بیرون از شبکه در اتصال قرار گرفته اند ؟
ممکن است در سرور خود چند آی پی در اختیار داشته باشد. میتوانیم آن آی پی از سرور اختصاصی یا سرور مجازی لینوکس که مورد هدف قرار گرفته است و بیشترین ارتباط را از بیرون دریافت میکند را با دستور زیر استخراج کنیم :
netstat -alpn | grep :80 | awk ‘{print $4}’ |awk -F: ‘{print $(NF-1)}’ |sort |uniq -c | sort -n

جزییات بیشتر : حملات ddos و مشاهده آن | وبلاگ آیسان هاستینگ
خرید هاست




این روش ها کمی قدیمی شدند و بار ها در انجمن مطرح شدند.


برای ویندوز میتوانید برنامه مانیتور کانکشن ها نصب کنید که همیشه مانیتور کند.
همچنین میتوانید از برنامه anti ddos guardian استفاده کنید که هم تا حدی به انتی دیداس شدن سرور شما کمک کند هم مانیتور کامل و بسیار دقیقی از اتصالات به سرور شما بهتون بده.

این برنامه برای حملات کوچک مناسب هست ولی زمانی که حمله کمی شدید بشه کل آیپی ها رو بدون استثنا بلاک می کنه و به نوعی به دیداسر در رسیدن به هدفش ( دان کردن سرور ) کمک هم می کنه در ضمن کرک این برنامه دارای تروجان هست و اگر شبکه رو مناسب ببینه از سرورتون برای دیداس استفاده می کنه!

این روش ها کمی قدیمی شدند و بار ها در انجمن مطرح شدند.



این برنامه برای حملات کوچک مناسب هست ولی زمانی که حمله کمی شدید بشه کل آیپی ها رو بدون استثنا بلاک می کنه و به نوعی به دیداسر در رسیدن به هدفش ( دان کردن سرور ) کمک هم می کنه در ضمن کرک این برنامه دارای تروجان هست و اگر شبکه رو مناسب ببینه از سرورتون برای دیداس استفاده می کنه!
سلام
لطفا روش بهتر را توضیح دهید
باتشکر