ورود

توجه ! این یک نسخه آرشیو شده میباشد و در این حالت شما عکسی را مشاهده نمیکنید برای مشاهده کامل متن و عکسها بر روی لینک مقابل کلیک کنید : مقابله با حملات http ddos



yastheme
March 8th, 2015, 19:42
یکی از متود های هکر ها برای ایجاد حملات DDoS استفاده از بات نت های PHP بر روی سرور ها می باشد که قبلا در خصوص آنها بحث شده ، یکی از این موارد حملات گسترده DDoS به واسطه جوملا (http://www.ddos-guard.ir/%D8%AD%D9%85%D9%84%D8%A7%D8%AA-%DA%AF%D8%B3%D8%AA%D8%B1%D8%AF%D9%87-ddos-%D8%A8%D9%87-%D9%88%D8%A7%D8%B3%D8%B7%D9%87-%D8%AC%D9%88%D9%85%D9%84%D8%A7/) بوده و مورد دیگر استفاده از ضعف سایت های وردپرسی بوسیله XMLRPC (http://www.ddos-guard.ir/%D8%AD%D9%85%D9%84%D8%A7%D8%AA-ddos-%D8%A7%D8%B2-%D8%B7%D8%B1%DB%8C%D9%82-%D9%88%D8%A8-%D8%B3%D8%A7%DB%8C%D8%AA-%D9%87%D8%A7%DB%8C-wordpress/) که می توانید آن ها را مورد مطالعه قرار دهید.
این حملات در لایه ۷ شبکه به صورت HTTP انجام می شوند و سروری که قربانی این اهداف می شود باید بتواند قدرت تشخیص این حمله و مهار آن را داشته باشد.
حدود ۷۰ درصد هیدر ارسالی این حملات HTTP دارای user agent خالی می باشند.پس یکی از امن ترین روش ها مسدود کردن user agent های خالی در وب سرور می باشد.
البته در صورتی که نیازی به Pingback وردپرس ندارید می توانید user agent ارسالی از سایت های وردپرسی را ببندید:


وب سرور Nginx

if ($http_user_agent = "" ) {
return 403;
}
if ($http_user_agent ~* (WordPress) ) {
return 403;
}



وب سرور Apache


SetEnvIfNoCase User-Agent "" bad_user
SetEnvIfNoCase User-Agent "Wordpress" bad_user
Deny from env=bad_user

وب سرور Litespeed


SecFilterSelective HEADER_USER_AGENT ""

vhost
March 8th, 2015, 23:09
سلام این کد هارا باید داخل htaccess قرار دهیم؟ تاثیری در بازدید سایت ندارد؟

yastheme
March 8th, 2015, 23:32
سلام این کد هارا باید داخل htaccess قرار دهیم؟ تاثیری در بازدید سایت ندارد؟

خیر تاثیری در بازدید ندارد ؛ باید دستری به کانفیگ وب سرور داشته باشید.

taha_2011
March 9th, 2015, 01:12
با سلام
این کار بر روی سئو و ورود بات های موتور های جست و جو مشکلی پیش نمیاره ؟

yastheme
March 9th, 2015, 01:45
با سلام
این کار بر روی سئو و ورود بات های موتور های جست و جو مشکلی پیش نمیاره ؟

user agent هویت در خواست دهنده است؛ چه مرورگر باشد و چه روبات خزنده؛ حتی اکثر حملات DDoS نیز user agent دارند ؛پس هیچ تاثیر منفی در بازدید و سئو ندارد.
با مسدود کردن user agent های خالی حدود 70 درصد از یک روش خاص از اتک مسدود می شود نه 70 درصد حملات http ؛

vhost
March 9th, 2015, 09:59
خیر ؛ باید دستری به کانفیگ وب سرور داشته باشید.
دسترسی دارم- باید کجا قرار بدم؟ هم سی پنل هم دایرکت ادمین رو بگیرد لطفا.

در این رابطه با حملات دیداس لایه 7 مقالات دیگه ندارید؟

Delnaaz
March 9th, 2015, 10:34
حتما باید دسترسی به کانفیگ سرور داشته باشیم ؟ در httacess امکانش نیست ؟

yastheme
March 9th, 2015, 11:30
حتما باید دسترسی به کانفیگ سرور داشته باشیم ؟ در httacess امکانش نیست ؟



SetEnvIfNoCase User-Agent "" bad_user
SetEnvIfNoCase User-Agent "Wordpress" bad_user
Deny from env=bad_user
این کد را می توانید در HTaccess قرار دهید.

- - - Updated - - -


دسترسی دارم- باید کجا قرار بدم؟ هم سی پنل هم دایرکت ادمین رو بگیرد لطفا.

در این رابطه با حملات دیداس لایه 7 مقالات دیگه ندارید؟

در ssh برای Nginx:


# vi /usr/local/nginx/conf/nginx.conf

* البته اگر مسیر فایل کانفیگ Nginx در همین مسیر باشد؛ در غیر اینصورت آدرس دایرکتوری صحیح را وارد کنید و سپس کد مربوط به Nginx پست اول را وارد آن کنید.
برای وب سرور دیگر نیز باید کد مربوطه را در داخل فایل کانفیگ مربوط به آن قرار دهید.
مطالب جدید تر به زودی در سایت : http://www.ddos-guard.ir/ و در انجمن قرار داده می شود.

vhost
March 9th, 2015, 13:37
SetEnvIfNoCase User-Agent "" bad_user
SetEnvIfNoCase User-Agent "Wordpress" bad_user
Deny from env=bad_user
این کد را می توانید در HTaccess قرار دهید.

- - - Updated - - -



در ssh برای Nginx:


# vi /usr/local/nginx/conf/nginx.conf

* البته اگر مسیر فایل کانفیگ Nginx در همین مسیر باشد؛ در غیر اینصورت آدرس دایرکتوری صحیح را وارد کنید و سپس کد مربوط به Nginx پست اول را وارد آن کنید.
برای وب سرور دیگر نیز باید کد مربوطه را در داخل فایل کانفیگ مربوط به آن قرار دهید.
مطالب جدید تر به زودی در سایت : http://www.ddos-guard.ir/ و در انجمن قرار داده می شود.


وب سرور بنده اپاچی است

taha_2011
March 9th, 2015, 14:56
برای لایت اسپید هم ممنون میشم توضیح بدید.

menalgeya
March 27th, 2015, 16:45
با سلام و تبریک سال نو

مطالب زیر را مطالعه کنید امیدوارم به کارتون بیاد

http://myacademy.ir/articles/271-ddos

http://nabegheh.com/%D8%AD%D9%85%D9%84%D8%A7%D8%AA-ddos-%D9%88-%D8%B1%D8%A7%D9%87%D9%87%D8%A7%DB%8C-%D9%85%D9%82%D8%A7%D8%A8%D9%84%D9%87-%D8%A8%D8%A7-%D8%AF%DB%8C%D8%AF%D8%A7%D8%B3/

presshos
September 23rd, 2015, 12:40
SetEnvIfNoCase User-Agent "" bad_user
SetEnvIfNoCase User-Agent "Wordpress" bad_user
Deny from env=bad_user
این کد را می توانید در HTaccess قرار دهید.

- - - Updated - - -



در ssh برای Nginx:


# vi /usr/local/nginx/conf/nginx.conf

* البته اگر مسیر فایل کانفیگ Nginx در همین مسیر باشد؛ در غیر اینصورت آدرس دایرکتوری صحیح را وارد کنید و سپس کد مربوط به Nginx پست اول را وارد آن کنید.
برای وب سرور دیگر نیز باید کد مربوطه را در داخل فایل کانفیگ مربوط به آن قرار دهید.
مطالب جدید تر به زودی در سایت : http://www.ddos-guard.ir/ و در انجمن قرار داده می شود.



منم دقیقا همین مشکل رو دارم تمامی ای پی های مهاجم به این شکل هستند


178.22.107.105 - - [23/Sep/2015:07:31:56 +0000] "GET / HTTP/1.1" 403 512 "-" "-"
202.91.163.101 - - [23/Sep/2015:07:31:56 +0000] "GET / HTTP/1.1" 403 512 "-" "-"
46.16.168.219 - - [23/Sep/2015:07:31:56 +0000] "GET / HTTP/1.1" 403 512 "-" "-"
89.107.184.121 - - [23/Sep/2015:07:31:56 +0000] "GET / HTTP/1.1" 403 512 "-" "-"
94.126.40.140 - - [23/Sep/2015:07:31:56 +0000] "GET / HTTP/1.1" 403 512 "-" "-"
78.46.17.157 - - [23/Sep/2015:07:31:56 +0000] "GET / HTTP/1.1" 403 512 "-" "-"
78.46.17.157 - - [23/Sep/2015:07:31:56 +0000] "GET / HTTP/1.1" 403 512 "-" "-"



46.229.170.103 - - [23/Sep/2015:06:59:05 +0000] "GET /px.php HTTP/1.1" 403 512 "-" "WordPress/3.9.2; http://movieseum.com; verifying pingback from 69.30.210.218"
62.80.172.123 - - [23/Sep/2015:06:59:05 +0000] "GET /pxt.php HTTP/1.1" 403 512 "-" "WordPress/4.0; http://statuspress.com.ua; verifying pingback from 127.0.0.1"
168.144.82.59 - - [23/Sep/2015:06:59:05 +0000] "GET /px.php HTTP/1.1" 403 512 "-" "WordPress/4.2.5; http://abroadwithus.com; verifying pingback from 69.30.210.218"
96.127.156.194 - - [23/Sep/2015:06:59:05 +0000] "GET /px.php HTTP/1.1" 403 512 "-" "WordPress/4.1.8; http://directoriomerida.com; verifying pingback from 69.30.210.218"




لطفا کد بستن دسترسی از طریق htaccess بفرمایید.

برای بستن دسترسی وردپرس از کد زیر استفاده کردم ولی مورد دوم رو نمیدونم چطور باید مسدود کرد


RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} WordPress [NC]
RewriteRule .* - [F,L]