از دیروز یک مورد حمله بر روی یکی از سرور مجازی ام داشتم با عنوان SYN-Sent که احتمال قوی از نوع حمله SYN-Flood است..
مشکل اصلی اینجاست که هر زمانی روی یک دامنه خاص درخواستی ارسال میشه این SYN-sent رو میشه از طریق netstat
مشاهده کرد و در زمانی که ارسالی روی دامنه مورد نظر ما صورت نگیره هیچ حمله ای نیست بصورت واضح بخوام بگم یعنی
در حالت عادی کامند netstat -n -c -A inet
رو میزنیم هیچ آی پی مشکوکی نشون نمیده ولی وقتی کسی بخواد یک دامنه خاص مثلا فرض کنید www.aaa.com (حمله روی این دامنه هست )
رو ببینه از طریق ترمینال با کامند netstat -n -c -A inet آی پی مشکوک که SYN-Sent ارسالا میکنه رو دید و لی مشکل بزرگ این هست که آی پی جعلی هست و با آی پی تیبل هم بلاک کردم ولی باز هم در صورت دیدن اون دامنه خاص دوباره این حمله و آی پی مشکوک رو میشه دید
البته با CSF با coocke protection جلوش رو گرفتم ولی می خاستم بودنم کامندی هست که بشه آی پی اصلی حمله کننده رو پیدا کرد
لطفا لینک یا کامندی اگه هست بفرمایید ...با تشکر فراوان
سیستم عامل Centos 6.7 64bit هست
و دامنه های دیگری که روی این سرور هستند با این مشکل مواجه نیستند...
soheil869
March 5th, 2016, 13:19
با سلام...خدمت دوستان گرامی
از دیروز یک مورد حمله بر روی یکی از سرور مجازی ام داشتم با عنوان SYN-Sent که احتمال قوی از نوع حمله SYN-Flood است..
مشکل اصلی اینجاست که هر زمانی روی یک دامنه خاص درخواستی ارسال میشه این SYN-sent رو میشه از طریق netstat
مشاهده کرد و در زمانی که ارسالی روی دامنه مورد نظر ما صورت نگیره هیچ حمله ای نیست بصورت واضح بخوام بگم یعنی
در حالت عادی کامند netstat -n -c -A inet
رو میزنیم هیچ آی پی مشکوکی نشون نمیده ولی وقتی کسی بخواد یک دامنه خاص مثلا فرض کنید www.aaa.com (http://www.aaa.com) (حمله روی این دامنه هست )
رو ببینه از طریق ترمینال با کامند netstat -n -c -A inet آی پی مشکوک که SYN-Sent ارسالا میکنه رو دید و لی مشکل بزرگ این هست که آی پی جعلی هست و با آی پی تیبل هم بلاک کردم ولی باز هم در صورت دیدن اون دامنه خاص دوباره این حمله و آی پی مشکوک رو میشه دید
البته با CSF با coocke protection جلوش رو گرفتم ولی می خاستم بودنم کامندی هست که بشه آی پی اصلی حمله کننده رو پیدا کرد
لطفا لینک یا کامندی اگه هست بفرمایید ...با تشکر فراوان
سیستم عامل Centos 6.7 64bit هست
و دامنه های دیگری که روی این سرور هستند با این مشکل مواجه نیستند...
با سلام دوست عزیز
شما در هر صورت نمی توانید جلوی حمله را بگیرید فایروال نرم افزاری شما حد اکثر تا حد بسیار ضعیفی می تواند جلوی حمله را بگیرد و دویاره نتورک شما دان می شود
توصیه می شود کلادفلیر استفاده کنید
alfa5xx
March 5th, 2016, 13:37
شما در هر صورت نمی توانید جلوی حمله را بگیرید
سلام..داداش جلوش رو که گرفتم و اکثر پکت ها رو waiit و نمیزاره رو سرعت لود دامنه تاثیر بزاره ..ولی الان سوال من این هست که میخوام آی پی اصلی حمله کننده رو پیدا کنم ...این رو چطوری میشه پیدا کرد ..چون آی پی اصلی رو پیدا کنی میتونی کلا بلاک کرد دیگه ...
soheil869
March 5th, 2016, 13:47
سلام..داداش جلوش رو که گرفتم و اکثر پکت ها رو waiit و نمیزاره رو سرعت لود دامنه تاثیر بزاره ..ولی الان سوال من این هست که میخوام آی پی اصلی حمله کننده رو پیدا کنم ...این رو چطوری میشه پیدا کرد ..چون آی پی اصلی رو پیدا کنی میتونی کلا بلاک کرد دیگه ...
شما کلا هم بلاک کنید باز هم تاثیر چندانی ندارد حملات DDOS تا حدی قابل مقابله است
برروی سرور هیچ نرم افزرا کنترل ترافیک مانندcacti برای لینوکی و PRTG ندارید؟
alfa5xx
March 5th, 2016, 13:49
برروی سرور هیچ نرم افزرا کنترل ترافیک مانندcacti برای لینوکی و PRTG ندارید..
خیر...
007
March 5th, 2016, 14:49
س حمله کننده که با ای پی اصلی داس نمیزنه که شما بخوای پیدا کنیش!
یا با بات هست که شامل ان تا کامپیوتره یا سرور هکی هست و غیره اگرم خودش سرور کرایه کرده باشه که مسدود میشه و مشخصاتش هست.
ارادت
alfa5xx
March 5th, 2016, 16:59
حمله کننده که با ای پی اصلی داس نمیزنه که شما بخوای پیدا کنیش
خوب دوست عزیز ..من هم در ابتدا گفتم آی پی جعلی است... سوالم این هست میشه آی پی اصلیش رو پیدا کرد یا نه ؟؟؟
یا از cloudflare استفاده کنم و هیچ راهی برای پیدا کردن حمله کننده نیست
soheil869
March 5th, 2016, 17:14
خوب دوست عزیز ..من هم در ابتدا گفتم آی پی جعلی است... سوالم این هست میشه آی پی اصلیش رو پیدا کرد یا نه ؟؟؟
یا از cloudflare استفاده کنم و هیچ راهی برای پیدا کردن حمله کننده نیست