unix_magnet
December 20th, 2016, 01:22
چطور میشه سورس آی پی خود حمله کننده ddos رو پیدا کرد؟
ممنون
ممنون
توجه ! این یک نسخه آرشیو شده میباشد و در این حالت شما عکسی را مشاهده نمیکنید برای مشاهده کامل متن و عکسها بر روی لینک مقابل کلیک کنید : چطور میشه سورس آی پی حمله ddos رو پیدا کرد؟
mizban97
December 20th, 2016, 04:12
چطور میشه سورس آی پی خود حمله کننده ddos رو پیدا کرد؟
ممنون
با سلام
اگر به ssh سرورتون دسترسی دارید با دستور زیر میتونید تعداد کانکشن ها یا اتصالات که به سرور وصل هستن پیدا کنید.
طبیعتا رنج آیپی که بیشترین درخواست به سرور ارسال کند عامل دیداس می باشد.
netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
ممنون
با سلام
اگر به ssh سرورتون دسترسی دارید با دستور زیر میتونید تعداد کانکشن ها یا اتصالات که به سرور وصل هستن پیدا کنید.
طبیعتا رنج آیپی که بیشترین درخواست به سرور ارسال کند عامل دیداس می باشد.
netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
websazha
December 20th, 2016, 10:27
با سلام
چه سیستم عاملی ویندوزی یا لینوکسی.
لینوکسی که همکارمون خدمت شما گفتم.
ویندوزی هم که ابزار زیاد هست :
https://technet.microsoft.com/en-us/sysinternals/tcpview.aspx
چه سیستم عاملی ویندوزی یا لینوکسی.
لینوکسی که همکارمون خدمت شما گفتم.
ویندوزی هم که ابزار زیاد هست :
https://technet.microsoft.com/en-us/sysinternals/tcpview.aspx
unix_magnet
December 21st, 2016, 01:41
با سلام
اگر به ssh سرورتون دسترسی دارید با دستور زیر میتونید تعداد کانکشن ها یا اتصالات که به سرور وصل هستن پیدا کنید.
طبیعتا رنج آیپی که بیشترین درخواست به سرور ارسال کند عامل دیداس می باشد.
منظورم سورس آی پی طرف هست نه اینکه پکت هایی که از یک رنج آی پی می فرسته
البته بابت پاسخون ممنون
اگر به ssh سرورتون دسترسی دارید با دستور زیر میتونید تعداد کانکشن ها یا اتصالات که به سرور وصل هستن پیدا کنید.
طبیعتا رنج آیپی که بیشترین درخواست به سرور ارسال کند عامل دیداس می باشد.
منظورم سورس آی پی طرف هست نه اینکه پکت هایی که از یک رنج آی پی می فرسته
البته بابت پاسخون ممنون
yastheme
December 21st, 2016, 09:37
منظورم سورس آی پی طرف هست نه اینکه پکت هایی که از یک رنج آی پی می فرسته
البته بابت پاسخون ممنون
خوب عملا چنین چیزی که مد نظرتون هست امکان پذیر نیست،
اما در یک نوع حمله لایه 7 که به XMLRPC شهرت دارد و اکثرا از طریق سایت های وردپرس قدیمی ارسال می شود می توان آی پی سرور اصلی که به سایت های وردپرسی پکت می فرستد برای حمله به سایت شما را پیدا کرد؛
در این نوع حمله، بات های وردپرسی در user agent آی پی اتکر ( ممکن است از سیستم شخصی یا سرور استفاده شده باشد) را به سایت قربانی ارسال می کند،
در اکسس لاگ شما هزاران لاگ مشابه زیر ثبت می شود:
192.241.x.x – – [09/Nov/2014:22:50:08 -0800] “GET /index.php HTTP/1.0″ 200 “-” “WordPress/3.9.2; http://www.x.x; verifying pingback from 11.22.33.44
که در اینجا آی پی 11.22.33.44 رایانه اصلی است که قصد حمله به شما را دارد.
البته بابت پاسخون ممنون
خوب عملا چنین چیزی که مد نظرتون هست امکان پذیر نیست،
اما در یک نوع حمله لایه 7 که به XMLRPC شهرت دارد و اکثرا از طریق سایت های وردپرس قدیمی ارسال می شود می توان آی پی سرور اصلی که به سایت های وردپرسی پکت می فرستد برای حمله به سایت شما را پیدا کرد؛
در این نوع حمله، بات های وردپرسی در user agent آی پی اتکر ( ممکن است از سیستم شخصی یا سرور استفاده شده باشد) را به سایت قربانی ارسال می کند،
در اکسس لاگ شما هزاران لاگ مشابه زیر ثبت می شود:
192.241.x.x – – [09/Nov/2014:22:50:08 -0800] “GET /index.php HTTP/1.0″ 200 “-” “WordPress/3.9.2; http://www.x.x; verifying pingback from 11.22.33.44
که در اینجا آی پی 11.22.33.44 رایانه اصلی است که قصد حمله به شما را دارد.
IrIsT
December 21st, 2016, 17:46
با سلام و درود.
داخل فروم ieb.ir همکارمون توضیح دادن.
اینجاهم من میگم
نکاه کنید،لاگ ها دقیقا مشخص کننده خسلی چیزاست.از اتک ها و نوع درخواست ها و آیپی و ساعت و تاریخ و ........
همچنین فایروال هایی که استفاده میکنید و آنتی دیداس ها،یک قسمتی دارند برای بستن آیپی.اونجا هم مشخص میشه
همچنین،برای لایه 7 که بهترینش لاگ هاست.اسکریپت هایی هستش که میتونید محدود کنید و اگ درخواست زیادی داشت،آیپی طرف لاگ بشه یا بن بشه از طریق htaccess
بدرود.
داخل فروم ieb.ir همکارمون توضیح دادن.
اینجاهم من میگم
نکاه کنید،لاگ ها دقیقا مشخص کننده خسلی چیزاست.از اتک ها و نوع درخواست ها و آیپی و ساعت و تاریخ و ........
همچنین فایروال هایی که استفاده میکنید و آنتی دیداس ها،یک قسمتی دارند برای بستن آیپی.اونجا هم مشخص میشه
همچنین،برای لایه 7 که بهترینش لاگ هاست.اسکریپت هایی هستش که میتونید محدود کنید و اگ درخواست زیادی داشت،آیپی طرف لاگ بشه یا بن بشه از طریق htaccess
بدرود.
S4L3H1
December 22nd, 2016, 13:27
تا وقتی که در جای مناسبی قرار نگیری، نمیشه پیداش کرد.
البته اگه اون شخص جوجه باشه خیلی راحت با این روش هایی که گفتن میشه
البته اگه اون شخص جوجه باشه خیلی راحت با این روش هایی که گفتن میشه
IrIsT
December 22nd, 2016, 14:15
تا وقتی که در جای مناسبی قرار نگیری، نمیشه پیداش کرد.
البته اگه اون شخص جوجه باشه خیلی راحت با این روش هایی که گفتن میشه
اتک های مختلفی داریم
Udp اتک ها ببشتر لاگ نمیندازه البته اونم میشه برای پیدا گردن کارهایی کرد
اما ببشتر سرور و آنتی دیداسش جلوشو میگیره
دیشب دقیقا من دیداس داشتم رو سرور
اونم از سرورهای آمازون و alibaba تو هنگ کنگ که همشون رو تنظسم گردم و راحت آیپی پیدا میشه
البته بالای 200تا آیپی بود.
البته اگه اون شخص جوجه باشه خیلی راحت با این روش هایی که گفتن میشه
اتک های مختلفی داریم
Udp اتک ها ببشتر لاگ نمیندازه البته اونم میشه برای پیدا گردن کارهایی کرد
اما ببشتر سرور و آنتی دیداسش جلوشو میگیره
دیشب دقیقا من دیداس داشتم رو سرور
اونم از سرورهای آمازون و alibaba تو هنگ کنگ که همشون رو تنظسم گردم و راحت آیپی پیدا میشه
البته بالای 200تا آیپی بود.
unix_magnet
December 23rd, 2016, 01:12
خوب عملا چنین چیزی که مد نظرتون هست امکان پذیر نیست،
اما در یک نوع حمله لایه 7 که به XMLRPC شهرت دارد و اکثرا از طریق سایت های وردپرس قدیمی ارسال می شود می توان آی پی سرور اصلی که به سایت های وردپرسی پکت می فرستد برای حمله به سایت شما را پیدا کرد؛
در این نوع حمله، بات های وردپرسی در user agent آی پی اتکر ( ممکن است از سیستم شخصی یا سرور استفاده شده باشد) را به سایت قربانی ارسال می کند،
در اکسس لاگ شما هزاران لاگ مشابه زیر ثبت می شود:
192.241.x.x – – [09/Nov/2014:22:50:08 -0800] “GET /index.php HTTP/1.0″ 200 “-” “WordPress/3.9.2; http://www.x.x; verifying pingback from 11.22.33.44
که در اینجا آی پی 11.22.33.44 رایانه اصلی است که قصد حمله به شما را دارد.
جواب خوبی بود ممنون از شما
برای سناریو های دیگه راه حل های دیگه ای دارید ؟
اما در یک نوع حمله لایه 7 که به XMLRPC شهرت دارد و اکثرا از طریق سایت های وردپرس قدیمی ارسال می شود می توان آی پی سرور اصلی که به سایت های وردپرسی پکت می فرستد برای حمله به سایت شما را پیدا کرد؛
در این نوع حمله، بات های وردپرسی در user agent آی پی اتکر ( ممکن است از سیستم شخصی یا سرور استفاده شده باشد) را به سایت قربانی ارسال می کند،
در اکسس لاگ شما هزاران لاگ مشابه زیر ثبت می شود:
192.241.x.x – – [09/Nov/2014:22:50:08 -0800] “GET /index.php HTTP/1.0″ 200 “-” “WordPress/3.9.2; http://www.x.x; verifying pingback from 11.22.33.44
که در اینجا آی پی 11.22.33.44 رایانه اصلی است که قصد حمله به شما را دارد.
جواب خوبی بود ممنون از شما
برای سناریو های دیگه راه حل های دیگه ای دارید ؟
IrIsT
December 23rd, 2016, 14:00
جواب خوبی بود ممنون از شما
برای سناریو های دیگه راه حل های دیگه ای دارید ؟
سلام و درود
این چند روز از این حملات زیاد داشتم.واسه انجنیکس از این استفاده کنید
server {
...
if ($http_user_agent ~ WordPress) { return 444; }
...
}
برای آپاچی بهتون میگم.اجازه دین تست کنم رو سرور دیگم
برای سناریو های دیگه راه حل های دیگه ای دارید ؟
سلام و درود
این چند روز از این حملات زیاد داشتم.واسه انجنیکس از این استفاده کنید
server {
...
if ($http_user_agent ~ WordPress) { return 444; }
...
}
برای آپاچی بهتون میگم.اجازه دین تست کنم رو سرور دیگم
novinvps.com
December 23rd, 2016, 14:12
سلام و درود
این چند روز از این حملات زیاد داشتم.واسه انجنیکس از این استفاده کنید
server {
...
if ($http_user_agent ~ WordPress) { return 444; }
...
}
برای آپاچی بهتون میگم.اجازه دین تست کنم رو سرور دیگم
سلام
فقط
user agent وردپرس تحت تاثیر قرار میدهد اتکر می تواند user agent خود را تغییر دهد.
این چند روز از این حملات زیاد داشتم.واسه انجنیکس از این استفاده کنید
server {
...
if ($http_user_agent ~ WordPress) { return 444; }
...
}
برای آپاچی بهتون میگم.اجازه دین تست کنم رو سرور دیگم
سلام
فقط
user agent وردپرس تحت تاثیر قرار میدهد اتکر می تواند user agent خود را تغییر دهد.
IrIsT
December 23rd, 2016, 14:20
سلام
فقط
user agent وردپرس تحت تاثیر قرار میدهد اتکر می تواند user agent خود را تغییر دهد.
این برای حمله چند ایپی هستش که من خودم داشتم
دقیقا حملات به صورتیه که از شمت یک سیستم وردپرس و آسیب پذیری اون انجام میشه
شما میتونید useragent رو تغییر دهید.به لاگ ها نگاه کنید میفهمید
امروز تست واسه اماچی میرم.چندتا راه حل داره.اما میخوام بهترینشو واستون بذارم.درست بود میگم
چون خودم از سرورهای آمازون و علی بابا و کشورهای آمریکا و هنگ کنگ و ژاپن و کانادا حمله دارم.چون سرعتاشونم خیلی بالاست
میشه آیپی بلاک کرد.ولی بهتره راه حل بریم
بددود
فقط
user agent وردپرس تحت تاثیر قرار میدهد اتکر می تواند user agent خود را تغییر دهد.
این برای حمله چند ایپی هستش که من خودم داشتم
دقیقا حملات به صورتیه که از شمت یک سیستم وردپرس و آسیب پذیری اون انجام میشه
شما میتونید useragent رو تغییر دهید.به لاگ ها نگاه کنید میفهمید
امروز تست واسه اماچی میرم.چندتا راه حل داره.اما میخوام بهترینشو واستون بذارم.درست بود میگم
چون خودم از سرورهای آمازون و علی بابا و کشورهای آمریکا و هنگ کنگ و ژاپن و کانادا حمله دارم.چون سرعتاشونم خیلی بالاست
میشه آیپی بلاک کرد.ولی بهتره راه حل بریم
بددود
yastheme
December 23rd, 2016, 14:43
سلام
فقط
user agent وردپرس تحت تاثیر قرار میدهد اتکر می تواند user agent خود را تغییر دهد.
در حملات XMLRPC که حجم وسیعی از حملات لایه 7 این روزها را تشکیل می دهد User agent قابل تغییر نیست.
این روش که دوستمون گفتن جلوی حملات متوسط لایه 7 XMLRPC را میگیرد ولی گاهی اوقات ممکن است حملات به حد وسیعی باشد که منجر به هنگ کردن Nginx شود ؛ نیاز به کانفیگ مناسب دارد؛ در هر صورت User agent این نوع حملات قابل تغییر توسط اتکر نیست، حتی آی پی سرور اصلی اتکر نیز در Useragent لاگ می شود ( این آی پی با آی پی بات نتی که به شما رکوئست ارسال می کند متفاوت است).
البته نا گفته نماند در این روش پینگ بک وردپرس هم کامل در سرور بسته می شود و این قابلیت در سایت های وردپرسی روی این سرور دیگر قابل استفاده نیست.
فقط
user agent وردپرس تحت تاثیر قرار میدهد اتکر می تواند user agent خود را تغییر دهد.
در حملات XMLRPC که حجم وسیعی از حملات لایه 7 این روزها را تشکیل می دهد User agent قابل تغییر نیست.
این روش که دوستمون گفتن جلوی حملات متوسط لایه 7 XMLRPC را میگیرد ولی گاهی اوقات ممکن است حملات به حد وسیعی باشد که منجر به هنگ کردن Nginx شود ؛ نیاز به کانفیگ مناسب دارد؛ در هر صورت User agent این نوع حملات قابل تغییر توسط اتکر نیست، حتی آی پی سرور اصلی اتکر نیز در Useragent لاگ می شود ( این آی پی با آی پی بات نتی که به شما رکوئست ارسال می کند متفاوت است).
البته نا گفته نماند در این روش پینگ بک وردپرس هم کامل در سرور بسته می شود و این قابلیت در سایت های وردپرسی روی این سرور دیگر قابل استفاده نیست.
unix_magnet
December 23rd, 2016, 17:02
اینو نمیشه به جای اینکه تو همه server ها وارد کنیم یه جا وارد کنیم که به همشون اعمال بشه ؟ خیلی آزاردهندس همش باید این ور اون ور بگردیم دنبالش :)
IrIsT
December 23rd, 2016, 17:19
سلام و درود
داخل هر سایت و کانفیگ مربوطش میشه اجرا کرد
تا الان خداروشکر روش اصلی آپاچی جواب داده.الان داره حمله میشه.نهایی شد میذارم.کد سختی نیست
اگرم کسی چک کرده و مطمئنه بذاره
داخل هر سایت و کانفیگ مربوطش میشه اجرا کرد
تا الان خداروشکر روش اصلی آپاچی جواب داده.الان داره حمله میشه.نهایی شد میذارم.کد سختی نیست
اگرم کسی چک کرده و مطمئنه بذاره
sahar_tym
December 23rd, 2016, 17:47
چطور میشه سورس آی پی خود حمله کننده ddos رو پیدا کرد؟
ممنون
سلام . از نظر عملی این کار امکان پذیر نیست . اگر تعداد آی پی حمله کننده محدود باشه ممکنه
یعنی فقط از جا به شما حمله شده اون آی پی مشخصه
ممنون
سلام . از نظر عملی این کار امکان پذیر نیست . اگر تعداد آی پی حمله کننده محدود باشه ممکنه
یعنی فقط از جا به شما حمله شده اون آی پی مشخصه
unix_magnet
December 24th, 2016, 01:03
(از همه عزیزانی که منت سر بنده می زارن و جواب می دن سپاسگذارم چون هیچ شخصی بالاجبار در این تاپیک نیست و همه محبت شما عزیزان هست )
از غیرتی و عصبانیت شما سپاسگذارم
گاهی وقت ها عصبانیت ها و غیرت ها می تونن مشکلات عدیده ای رو حل کنن خشونت جزوی از حل مشکلات شبکه هست :)
مشکلات گاهی مواقع عومی هست و حل اون می تونه به بسیاری کمک شایانی بکنه
بنده به جاهای خوبی رسیدم از ریل کردن ای پی ها در nginx مثلا چهار ای پی 1.1.1.1 و 2 و 3 و 4 حمله می کنن اما ای پی پنهان 4.4.4.4 هست
ریل کردن پکت ها می تونه ای پی های واقعی رو هم بلوک کنه
بنا به فایروالی که در قول و زنجیر کردم به لاگ اخر توجه کنید که نصف پکت ها الان دارن بلاک میشن
من توی فایروال :
منهای 3 کشور بقیه کشورها رو بلاک کردم
رنج ای پی های مشکل ساز رو مسدود کردم
پکت های ناخواسته رو بستم ( انواع کانفیگ بر روی پکت ها )
ای پی ها رو ریل کردم
انواع پورت های مشکل ساز برای پکت های بالا رو بستم ( مثل بیش از 3 پکت تا رنج 65535 )
dns رو به dns های cloudflare تغییر دادم
کش سرور رو به nginx و محدویت کش رو برای بار کمتر تغییر دادم
ووووو
دارم تست می کنم ببینم ای پی هدف رو می تونم شناسایی کنم یا نه
باید دید این شانس رو می تونیم داشته باشیم که به موفقیت برسیم یا نه هر چند طی مسیر خودش خوب /. پر حرفی نمی کنم
به نظر می رسه دیتابیس زیر حمله هست
سه دلیل دارم :
وقتی دیتابیس اف میشه لود سرور به حالت اول برمیگرده
دوم اینکه سایت های استاتیک بدون دیتابیس مشکلی ندارن
سوم اینکه دیداس بر روی دو سایت مشخص داره انجام میه ( لاگ tcpdump )
البته cpu و کانفیگ mysql به کرات بررسی شدن . / (دیتا سنتر هم به دلیل overflow شدن بافر به دلیل پکت های بسیار زیاد با بنده احساس همدردی کردن ! )
اگر لاگ دستوری مد نظرتون بود بگید براتون بزارم
نمونه لاگ خدمت شما :
در نمونه لاگی که می زارم خدمتتون همین امروز باهاش مواجه شدم : دو تا چیز جدید دارم میبینم
اول اینکه تعداد پکت ها رو نمی نویسه
دوم اینکه جلوی بعضی آی پی ها خالی هست ! یعنی هیچ آی پی نشون داده نمیشه یعنی لاگ آی پی رو نمی ندازه به مورد ما قبل پایانی در لاگ اول توجه کنید
1 162.158.92.211
1 92.122.122.156
3 37.98.83.187
5
20 0.0.0.0
1 CLOSE_WAIT
1 established)
1 Foreign
6 ESTABLISHED
21 LISTEN
100 packets captured
821 packets received by filter
704 packets dropped by kernel
همونظور که میبینید تعداد پکت ها کاهش قابل ملاحظه ای داشتن
از چند حالت خارج نیست
یا دی داسر از دیداس دست کشیده
یا اینکه کانفیگ ها دارن ***** اعمال می کنن و تعداد درخواست ها از حدود 4000 رسیده به 10 درخواست
اگر به چیز دیگه ای رسیدم و یا رسیدید اینجا بزارید تا تاپیک بره جلو
بازم ممنون از توجهتون
از غیرتی و عصبانیت شما سپاسگذارم
گاهی وقت ها عصبانیت ها و غیرت ها می تونن مشکلات عدیده ای رو حل کنن خشونت جزوی از حل مشکلات شبکه هست :)
مشکلات گاهی مواقع عومی هست و حل اون می تونه به بسیاری کمک شایانی بکنه
بنده به جاهای خوبی رسیدم از ریل کردن ای پی ها در nginx مثلا چهار ای پی 1.1.1.1 و 2 و 3 و 4 حمله می کنن اما ای پی پنهان 4.4.4.4 هست
ریل کردن پکت ها می تونه ای پی های واقعی رو هم بلوک کنه
بنا به فایروالی که در قول و زنجیر کردم به لاگ اخر توجه کنید که نصف پکت ها الان دارن بلاک میشن
من توی فایروال :
منهای 3 کشور بقیه کشورها رو بلاک کردم
رنج ای پی های مشکل ساز رو مسدود کردم
پکت های ناخواسته رو بستم ( انواع کانفیگ بر روی پکت ها )
ای پی ها رو ریل کردم
انواع پورت های مشکل ساز برای پکت های بالا رو بستم ( مثل بیش از 3 پکت تا رنج 65535 )
dns رو به dns های cloudflare تغییر دادم
کش سرور رو به nginx و محدویت کش رو برای بار کمتر تغییر دادم
ووووو
دارم تست می کنم ببینم ای پی هدف رو می تونم شناسایی کنم یا نه
باید دید این شانس رو می تونیم داشته باشیم که به موفقیت برسیم یا نه هر چند طی مسیر خودش خوب /. پر حرفی نمی کنم
به نظر می رسه دیتابیس زیر حمله هست
سه دلیل دارم :
وقتی دیتابیس اف میشه لود سرور به حالت اول برمیگرده
دوم اینکه سایت های استاتیک بدون دیتابیس مشکلی ندارن
سوم اینکه دیداس بر روی دو سایت مشخص داره انجام میه ( لاگ tcpdump )
البته cpu و کانفیگ mysql به کرات بررسی شدن . / (دیتا سنتر هم به دلیل overflow شدن بافر به دلیل پکت های بسیار زیاد با بنده احساس همدردی کردن ! )
اگر لاگ دستوری مد نظرتون بود بگید براتون بزارم
نمونه لاگ خدمت شما :
در نمونه لاگی که می زارم خدمتتون همین امروز باهاش مواجه شدم : دو تا چیز جدید دارم میبینم
اول اینکه تعداد پکت ها رو نمی نویسه
دوم اینکه جلوی بعضی آی پی ها خالی هست ! یعنی هیچ آی پی نشون داده نمیشه یعنی لاگ آی پی رو نمی ندازه به مورد ما قبل پایانی در لاگ اول توجه کنید
1 162.158.92.211
1 92.122.122.156
3 37.98.83.187
5
20 0.0.0.0
1 CLOSE_WAIT
1 established)
1 Foreign
6 ESTABLISHED
21 LISTEN
100 packets captured
821 packets received by filter
704 packets dropped by kernel
همونظور که میبینید تعداد پکت ها کاهش قابل ملاحظه ای داشتن
از چند حالت خارج نیست
یا دی داسر از دیداس دست کشیده
یا اینکه کانفیگ ها دارن ***** اعمال می کنن و تعداد درخواست ها از حدود 4000 رسیده به 10 درخواست
اگر به چیز دیگه ای رسیدم و یا رسیدید اینجا بزارید تا تاپیک بره جلو
بازم ممنون از توجهتون
IrIsT
December 24th, 2016, 10:28
(از همه عزیزانی که منت سر بنده می زارن و جواب می دن سپاسگذارم چون هیچ شخصی بالاجبار در این تاپیک نیست و همه محبت شما عزیزان هست )
از غیرتی و عصبانیت شما سپاسگذارم
گاهی وقت ها عصبانیت ها و غیرت ها می تونن مشکلات عدیده ای رو حل کنن خشونت جزوی از حل مشکلات شبکه هست :)
مشکلات گاهی مواقع عومی هست و حل اون می تونه به بسیاری کمک شایانی بکنه
بنده به جاهای خوبی رسیدم از ریل کردن ای پی ها در nginx مثلا چهار ای پی 1.1.1.1 و 2 و 3 و 4 حمله می کنن اما ای پی پنهان 4.4.4.4 هست
ریل کردن پکت ها می تونه ای پی های واقعی رو هم بلوک کنه
بنا به فایروالی که در قول و زنجیر کردم به لاگ اخر توجه کنید که نصف پکت ها الان دارن بلاک میشن
من توی فایروال :
منهای 3 کشور بقیه کشورها رو بلاک کردم
رنج ای پی های مشکل ساز رو مسدود کردم
پکت های ناخواسته رو بستم ( انواع کانفیگ بر روی پکت ها )
ای پی ها رو ریل کردم
انواع پورت های مشکل ساز برای پکت های بالا رو بستم ( مثل بیش از 3 پکت تا رنج 65535 )
dns رو به dns های cloudflare تغییر دادم
کش سرور رو به nginx و محدویت کش رو برای بار کمتر تغییر دادم
ووووو
دارم تست می کنم ببینم ای پی هدف رو می تونم شناسایی کنم یا نه
باید دید این شانس رو می تونیم داشته باشیم که به موفقیت برسیم یا نه هر چند طی مسیر خودش خوب /. پر حرفی نمی کنم
به نظر می رسه دیتابیس زیر حمله هست
سه دلیل دارم :
وقتی دیتابیس اف میشه لود سرور به حالت اول برمیگرده
دوم اینکه سایت های استاتیک بدون دیتابیس مشکلی ندارن
سوم اینکه دیداس بر روی دو سایت مشخص داره انجام میه ( لاگ tcpdump )
البته cpu و کانفیگ mysql به کرات بررسی شدن . / (دیتا سنتر هم به دلیل overflow شدن بافر به دلیل پکت های بسیار زیاد با بنده احساس همدردی کردن ! )
اگر لاگ دستوری مد نظرتون بود بگید براتون بزارم
نمونه لاگ خدمت شما :
در نمونه لاگی که می زارم خدمتتون همین امروز باهاش مواجه شدم : دو تا چیز جدید دارم میبینم
اول اینکه تعداد پکت ها رو نمی نویسه
دوم اینکه جلوی بعضی آی پی ها خالی هست ! یعنی هیچ آی پی نشون داده نمیشه یعنی لاگ آی پی رو نمی ندازه به مورد ما قبل پایانی در لاگ اول توجه کنید
1 162.158.92.211
1 92.122.122.156
3 37.98.83.187
5
20 0.0.0.0
1 CLOSE_WAIT
1 established)
1 Foreign
6 ESTABLISHED
21 LISTEN
100 packets captured
821 packets received by filter
704 packets dropped by kernel
همونظور که میبینید تعداد پکت ها کاهش قابل ملاحظه ای داشتن
از چند حالت خارج نیست
یا دی داسر از دیداس دست کشیده
یا اینکه کانفیگ ها دارن ***** اعمال می کنن و تعداد درخواست ها از حدود 4000 رسیده به 10 درخواست
اگر به چیز دیگه ای رسیدم و یا رسیدید اینجا بزارید تا تاپیک بره جلو
بازم ممنون از توجهتون
با سلام.
هیچ مشکلی بین کسی نیست.فقط یک نظرات مختلفه که نظر دهی با عمل درسته.
داداش،یک راهش همینطو که گفتن بستن آیپی و رنج کشورهاست که با فایروال انجام میدی.منم مشکل تورو داشتم دقیقا توی این 3 روز گذشته
بیشتر آمریکا،روسیه،هنگ کنگ،کانادا،ژاپن و یکی دوتا دیگه بود.جاهایی که سرورهای پرسرعتی دارن.مثل آمازون.
کرکر ها هم که میدونید مثل قارچ دارن تند تند رشد میکنن
نمیشه بعضی وقتها کشور خاصی رو بست.
حالا یک راه دیگش استفاده از کلودفلیر هستش که جلوشو میگیره.که توی فروم های مختلف مربوط به سرورها و پنل های مختلف میگفتن
یک راه حل دیگه،که دوستمون اشاره کرد،بستن user agent هستش.که هم میشه با htaccess با mod rewrite بست هم آپاچس و همم کدی که توی انجنیکس دادم
همم با iptable که میشه محدودیت گذاشت و هم mod security
یک سوال دیگه دوستان هم این بود که توی حملات میشه آیپی طرف اصلی رو پیدا کرد
باید بگم اگه تعداد زیاد باشه،یا حتی کم باشه،اگه از آیپی های فیک و ****** و زامبی استفاده کنه نه
چون با چند خط میشه یک برنامه ای نوشت که بیاد مثلا 100 تا سروری که داره،دستور اجرای دیداس رو بدن.
فقط تنها راه اینه که از آماتور بازی طرف و چک گردن با آیپی خودش بفهمی کیه که بازم شک و حدس و گمان هستش.
اما سک دقت به لاگ ها بکنید،میبینید آیپی ها متفاوته.درسته؟اما میبینید یک آیپی ثابت آخرش هست.
من چک کردم،دیدم از اونجا شروع به حمله میشد.یعنی کسی که اجرا میکرد مشخص شد.اما آمارتوربازی کرده بود آیپی اصلیشو گذاشته بود.
شما با کلودفلیر جلوشو گرفتی و درخواست هایی که بی هدف هستند و با user agent هایی هستش که تو لیست بن هستند،جلوشو گرفتین
توی این لاگتون هم همینو نشون میده.اما بازم اتکی داشتین از پکت های null
یک سوال،الان حمله رو دیتابیسه؟مطمئنین؟
این نوع حمله که انجلم میدادن،افزایش شدید بازدید کننده فیک هستش که قطعا روی دیتابیس هم تاثیر داره دیگه.
و اینکه شما میگید سایت های رو سرور که بدون دیتابیس هستند مشکل ندارن،آره.اما برای اینکه این مشکل به دیتابیس کمتر شه،توی کانفیگ mysql تعداد max user و
تعداد کانکشن رو محدود کنید.
اینطوری همون یوزر به مشکل میخوره و خیلی احتمال داون شدن دیتابیس پایین میاد.
یک راه دیگم هست که اونم استفاده از کلودلینوکس هستش.
دیگهوفعالیت کلودلینوکس رو میدونید.یعنی محدود سازی بر اساس یک سری منابع.
ببخشید زیاد شد.اگه مشکل املایی داره ببخشید.بیشتر با گوشی هستم.
بدرود
از غیرتی و عصبانیت شما سپاسگذارم
گاهی وقت ها عصبانیت ها و غیرت ها می تونن مشکلات عدیده ای رو حل کنن خشونت جزوی از حل مشکلات شبکه هست :)
مشکلات گاهی مواقع عومی هست و حل اون می تونه به بسیاری کمک شایانی بکنه
بنده به جاهای خوبی رسیدم از ریل کردن ای پی ها در nginx مثلا چهار ای پی 1.1.1.1 و 2 و 3 و 4 حمله می کنن اما ای پی پنهان 4.4.4.4 هست
ریل کردن پکت ها می تونه ای پی های واقعی رو هم بلوک کنه
بنا به فایروالی که در قول و زنجیر کردم به لاگ اخر توجه کنید که نصف پکت ها الان دارن بلاک میشن
من توی فایروال :
منهای 3 کشور بقیه کشورها رو بلاک کردم
رنج ای پی های مشکل ساز رو مسدود کردم
پکت های ناخواسته رو بستم ( انواع کانفیگ بر روی پکت ها )
ای پی ها رو ریل کردم
انواع پورت های مشکل ساز برای پکت های بالا رو بستم ( مثل بیش از 3 پکت تا رنج 65535 )
dns رو به dns های cloudflare تغییر دادم
کش سرور رو به nginx و محدویت کش رو برای بار کمتر تغییر دادم
ووووو
دارم تست می کنم ببینم ای پی هدف رو می تونم شناسایی کنم یا نه
باید دید این شانس رو می تونیم داشته باشیم که به موفقیت برسیم یا نه هر چند طی مسیر خودش خوب /. پر حرفی نمی کنم
به نظر می رسه دیتابیس زیر حمله هست
سه دلیل دارم :
وقتی دیتابیس اف میشه لود سرور به حالت اول برمیگرده
دوم اینکه سایت های استاتیک بدون دیتابیس مشکلی ندارن
سوم اینکه دیداس بر روی دو سایت مشخص داره انجام میه ( لاگ tcpdump )
البته cpu و کانفیگ mysql به کرات بررسی شدن . / (دیتا سنتر هم به دلیل overflow شدن بافر به دلیل پکت های بسیار زیاد با بنده احساس همدردی کردن ! )
اگر لاگ دستوری مد نظرتون بود بگید براتون بزارم
نمونه لاگ خدمت شما :
در نمونه لاگی که می زارم خدمتتون همین امروز باهاش مواجه شدم : دو تا چیز جدید دارم میبینم
اول اینکه تعداد پکت ها رو نمی نویسه
دوم اینکه جلوی بعضی آی پی ها خالی هست ! یعنی هیچ آی پی نشون داده نمیشه یعنی لاگ آی پی رو نمی ندازه به مورد ما قبل پایانی در لاگ اول توجه کنید
1 162.158.92.211
1 92.122.122.156
3 37.98.83.187
5
20 0.0.0.0
1 CLOSE_WAIT
1 established)
1 Foreign
6 ESTABLISHED
21 LISTEN
100 packets captured
821 packets received by filter
704 packets dropped by kernel
همونظور که میبینید تعداد پکت ها کاهش قابل ملاحظه ای داشتن
از چند حالت خارج نیست
یا دی داسر از دیداس دست کشیده
یا اینکه کانفیگ ها دارن ***** اعمال می کنن و تعداد درخواست ها از حدود 4000 رسیده به 10 درخواست
اگر به چیز دیگه ای رسیدم و یا رسیدید اینجا بزارید تا تاپیک بره جلو
بازم ممنون از توجهتون
با سلام.
هیچ مشکلی بین کسی نیست.فقط یک نظرات مختلفه که نظر دهی با عمل درسته.
داداش،یک راهش همینطو که گفتن بستن آیپی و رنج کشورهاست که با فایروال انجام میدی.منم مشکل تورو داشتم دقیقا توی این 3 روز گذشته
بیشتر آمریکا،روسیه،هنگ کنگ،کانادا،ژاپن و یکی دوتا دیگه بود.جاهایی که سرورهای پرسرعتی دارن.مثل آمازون.
کرکر ها هم که میدونید مثل قارچ دارن تند تند رشد میکنن
نمیشه بعضی وقتها کشور خاصی رو بست.
حالا یک راه دیگش استفاده از کلودفلیر هستش که جلوشو میگیره.که توی فروم های مختلف مربوط به سرورها و پنل های مختلف میگفتن
یک راه حل دیگه،که دوستمون اشاره کرد،بستن user agent هستش.که هم میشه با htaccess با mod rewrite بست هم آپاچس و همم کدی که توی انجنیکس دادم
همم با iptable که میشه محدودیت گذاشت و هم mod security
یک سوال دیگه دوستان هم این بود که توی حملات میشه آیپی طرف اصلی رو پیدا کرد
باید بگم اگه تعداد زیاد باشه،یا حتی کم باشه،اگه از آیپی های فیک و ****** و زامبی استفاده کنه نه
چون با چند خط میشه یک برنامه ای نوشت که بیاد مثلا 100 تا سروری که داره،دستور اجرای دیداس رو بدن.
فقط تنها راه اینه که از آماتور بازی طرف و چک گردن با آیپی خودش بفهمی کیه که بازم شک و حدس و گمان هستش.
اما سک دقت به لاگ ها بکنید،میبینید آیپی ها متفاوته.درسته؟اما میبینید یک آیپی ثابت آخرش هست.
من چک کردم،دیدم از اونجا شروع به حمله میشد.یعنی کسی که اجرا میکرد مشخص شد.اما آمارتوربازی کرده بود آیپی اصلیشو گذاشته بود.
شما با کلودفلیر جلوشو گرفتی و درخواست هایی که بی هدف هستند و با user agent هایی هستش که تو لیست بن هستند،جلوشو گرفتین
توی این لاگتون هم همینو نشون میده.اما بازم اتکی داشتین از پکت های null
یک سوال،الان حمله رو دیتابیسه؟مطمئنین؟
این نوع حمله که انجلم میدادن،افزایش شدید بازدید کننده فیک هستش که قطعا روی دیتابیس هم تاثیر داره دیگه.
و اینکه شما میگید سایت های رو سرور که بدون دیتابیس هستند مشکل ندارن،آره.اما برای اینکه این مشکل به دیتابیس کمتر شه،توی کانفیگ mysql تعداد max user و
تعداد کانکشن رو محدود کنید.
اینطوری همون یوزر به مشکل میخوره و خیلی احتمال داون شدن دیتابیس پایین میاد.
یک راه دیگم هست که اونم استفاده از کلودلینوکس هستش.
دیگهوفعالیت کلودلینوکس رو میدونید.یعنی محدود سازی بر اساس یک سری منابع.
ببخشید زیاد شد.اگه مشکل املایی داره ببخشید.بیشتر با گوشی هستم.
بدرود
lastwall
December 24th, 2016, 11:01
سلام
عمدتا حملات به سرور زیاد مهم نیست که از چه ایپی انجام میشه :D
باید دنبال این باشید که چگونه با این حملات مقابله کنید
چون اگه حمله باشه به عنوان مثال شما یه رینج ای پی رو هم بلاک کنید حملات به صورت anonymous از رینج های مختلف کشورهای مختلف باز ادامه خواهد داشت .
عمدتا حملات به سرور زیاد مهم نیست که از چه ایپی انجام میشه :D
باید دنبال این باشید که چگونه با این حملات مقابله کنید
چون اگه حمله باشه به عنوان مثال شما یه رینج ای پی رو هم بلاک کنید حملات به صورت anonymous از رینج های مختلف کشورهای مختلف باز ادامه خواهد داشت .
Powered by vBulletin® Version 4.2.5 Copyright © 2025 vBulletin Solutions, Inc. All rights reserved.