با سلام

دوستان و اساتید گل سوالاتی در زمینه DDOS برام پیش اومده.(البته در زمینه لینوکس و کنترل پنل کلوکسو)

با وجود این همه آموزش خوب در زمینه های مختلف
مبحث DDOS یکی از مباحثی هست که کمتر آموزش های دقیق و قنی و قابل اتکایی در موردش وجود داره!!!

اخیرا سایت مرتب خطای برقراری ارتباط با پایگاه داده میده!!!
با دستور

service httpd restart
معمولا مشکل حل میشه!!! اما اگر دستور زیر رو هم تایپ کنم جهت اطمینان از عملکرد صحیح بانک اطلاعاتی

service mysqld restart
stop شدن و start شدن بانک اطلاعاتی هر دو failed میشه و به کل مجبورم سرور لینوکس رو از ریشه ری استارت کنم

ضمن این که در این مواقع معمولا قبل از رخ دادن این مشکل مصرف سی پی یو تا 8 گیگاهرتز افزایش پیدا می کنه
تعداد افراد آنلاین (یکی از دلایلی که مشکوک به DDOS هستم) غیر عادی میشه!!!
و بعد از ری استارت کردن کل سرور مصرف سی پی یو به حالت عادی روی 800مگاهرتز و افراد آنلاین هم عادی میشه!!!

رایج ترین آموزشی که در مورد دفاع نسبی در برابر این حملات وجود داشت نصب اسکریپتی بود که تعداد کانکشن ها رو محدود میکرد و اگر از سقف مجاز تجاوز می کرد به مدت 10 دقیقه بن میشد آی پی!
اما عده ای هم اومدن گفتن این روش به هیچ عنوان برای DDOS کار آمد نیست!!!!

بهترین روشی که برای دفاع نسبی (کاچی بهتر از هیچی) در برابر حملات DDOS پیشنهاد می کنید بر روی سنتوس و کنترل پنل کلوکسو چیه؟؟؟ (البته روش های رایگان مد نظر هست صرفا با آموزش)

شما در مرحله اول باید ببینید کلا زیر فشار DDOS هستید یا نه ، حالا یا با سیستم های تشخیص و یا تشخیص از روی تعداد کانکشن هر ایپی (راه ابتدایی هست برای تشخیص اما در بسیاری از مواقع جواب میده)

چک کنید ببینید تعداد کانکشن هر ایپی چقدر هست یا ایپی های وصل شده تو چه وضعیتی هستند ( رو یک رنج خاص از یک کشور یا نه واقعا یوزر های خودتونن)

خیلی از مواقع بوده که این مشکلاتی که شما میگید به خاطر عدم کانفیگ و تحت فشار بودن سرور هست و با optimize و کانفیگ خیلی از مشکلات حل میشه

یا در مواقعی مشکل از دیتابیس و جدول هاشه که با repair و دستکاری حل میشه

اما بعد اینکه تشخیص دادید حمله DDOS هست میتونید بر اساس نوع حمله تصمیم بگیرید

مثلا روی یک سرویس برای از دسترس خارج کردن اون هست یا تعداد packet برای از دسترس خارج کردن سرور اصلی

بعضی اوقات تعداد ایپی ها بالا نیست و یه حمله در مقیاس کوچیکه، با بن کردن ایپی ها در CSF و IPT میتونید جلو اینگونه حمله ها رو بگیرید

اما اگه حمله در مقیاس بزرگتری باشه و روی لایه های دیگه شبکه اینجا ناگزیرید که از فایروال های ساخت افزاری استفاده کنید

البته در سیستم های مجازی سازی دست شما یک مقدار بازتره

شما میتونید با تعرف یک روتر/فایروال ترافیک وروردی و خروجیرو بهتر کنترل کنید و جلووش رو روی همون روتر/فایروال بگیرید

یا مثلا با ایجاد Isolate Net با افزونه های مثل Vshield جلوی ایجاد خیلی از حملات رو بگیرید

بازم میگم شما اول باید مطمون بشید که تحت DOS/DDOS هستید بعد نوع حمله و میزان حمله ببینید در چه سطحیه بعد تصمیم بگیرید

سلام ؛ فایروال csf نصب هست؟
- محدودیت برای هر آی پی ایجاد می کنیم -
اگر حملات زامبی نباشه ( یعنی از چند آی پی نباشه ) که سخت میشه جلوشو گرفت که حتی CIA هم از پسش بر نیومد.
ماکسیموم تعداد کانکشن برای آی پی ایجاد می کنیم :
فایل کانفیگ csf رو پیدا کن و ویرایش کن :
معمولا اینجا هست :

nano /etc/csf/csf.conf
یه پارامتری هست به اسم "
CONNLIMIT " مقادیر به این شکله :


CONNLIMIT = "port;conn,port;conn"
مثلا :

CONNLIMIT = "22;5,80;20"

که یعنی برای پورت 22 حداکثر 5 کانکشن برای هر آی پی باشه و برای پورت 80 حداکثر 20 کانکشن.
بعد از ذخیره کردن ؛ باید ریستارت کنی .

service csf restart

امیدوارم کمکت کرده باشه.

تشکر از هر دو پاسخ بسیار کارا بود

در مورد پاسخ اول دوست عزیز fr0nk
سرور کانفیگ خاص و بهینه نشده به عبارتی فقط کلوکسو نصب شده همین :دی
اما اخیرا استفاده از افزونه خاصی مرتب یکی از جداول رو مخدوش می کنه که حتی با غیر فعال سازی سرعت لودینگ تا حدی بهتر میشه اما سخته که با قاطعیت تمام بگیم تمام مشکلات زیر سر این افزونه است!!!
در مورد کانفیگ هم مباحث و منابع آموزشی در جهت کانفیگ و بهینه سازی سنتوس و کنترل پنل کلوکسو اگر دارید ممنون میشم :53:

در مورد پاسخ دوست خوبم danitfk باید عرض کنم
تعداد کانکشن ها رو بررسی کردم بعضی از آی پی ها تا 76 و حتی 80 کانکشن به سرور داشتن
اما وقتی آی پی ها رو بررسی می کنم (آی پی های با کانکشن بالا) آی پی کاربران ایرانی خودم هست!!! و آی پی دیتاسنتر یا آی پی تغییر یافته نیست!!! چون حتی اگر کسی که داره حمله می کنه آی پی رو عوض کنه هیچ وقت با آی پی ایران حمله نمی کنه :دی
در مورد محدودیت تعداد کانکشن ها و .... هم چند تا آموزش و اسکریپت پیدا کردم
ولی خوب یک نکته خیلی مهم اینه که به دلیل زمینه فعالیتی سایت زمانی که ربات گوگل وارد میشه خودش به تنهایی به حدی کانکشن ایجاد می کنه که نصب و کانفیگ چنین برنامه هایی امکان بن کردن گوگل رو زیاد می کنه و خوب اگر گوگل رو بندازیم بیرون نتیجه معلومه چی میشه :دی

ps -auxf ببینید چه پروسس هایی روی سرورتان فعال هست
به وبسرور فشار میاد یا Mysql Database
Tables های mysql رو Repair کنید و همینطور Webserver v amy SQLخود را در حد امکان Optimize کنید