سلام به همه


یکی از دوستان ما چند روزی تحت حملات سنگین 80GB/s دی داس Port Flood +Synflood هست.


از طرفی فایر وال 10GB/s بیشتر رو ساپروت نمیکنه .
و متاسفانه به خاطر عدم صرفه ی اقتصادی خرید فایروال قوی تر غیر ممکنه .

تعداد ای پی ها فوق العاده بالاست 300 الی 400 هزار تا در هر لحظه انلاین/



کسی تجربه ی این مشکل رو داره ؟

کسی راه حلی برای این مشکل داره؟



بی نهایت از لطف شما ممنونم

با کانفیگ مناسب روی CSF میشه و SYN FLOOD میشه تا حد مناسبی جلوگیری کرد اما اگه ddos بصورت botnet باشه عملا کار خاصی نمیشه واسش کرد اما حملات معمولی رو براحتی میشه جلوگیری کرد

سلام
آدرس سایت را برام پ.خ کنید

یه Cisco ASA5510 جلوی سرور بزارید با کانفیگ خودتون یا مدیریت شده توسط دیتاسنتر یک مگابایت هم رد نمیشه.

80 گیگابایت :-o
با cloudflare تماس بگیرید. اگر بتونید نتیجه رو در این تاپیک عنوان کنید ممنون میشم.

سلام به همه


یکی از دوستان ما چند روزی تحت حملات سنگین 80GB/s دی داس Port Flood +Synflood هست.


از طرفی فایر وال 10GB/s بیشتر رو ساپروت نمیکنه .
و متاسفانه به خاطر عدم صرفه ی اقتصادی خرید فایروال قوی تر غیر ممکنه .

تعداد ای پی ها فوق العاده بالاست 300 الی 400 هزار تا در هر لحظه انلاین/



کسی تجربه ی این مشکل رو داره ؟

کسی راه حلی برای این مشکل داره؟



بی نهایت از لطف شما ممنونم

با سلام 2 نکته
دی داس با این حجمی که شما میفرمائید ( 640 گیگابیت بر ثانیه ) از بزرگترین دی داس تاریخ اینترنت که چندی پیش توسط سایبر بانکر روی سرورهای گسترده UCE انجام شد و حدود 300 گیگابیت براورد شده بود بزرگتره ؟

دوست من دی داس حمله ای که به محض رسیدن به حدی بالاتر از پورت شما توسط دیتاسنتر نال میشه
مطمئنید DDoS Aplinense که دارید 10 گیاببت در ثانیه رو میتونه هندل کنه
معمولا دی داس رو بر اساس PPS اندازه گیری و اپلاینس ها هم بر اساس اون معرفی می شوند
شما یک فایروال سرو راه سرور خود دارید که اون هم باز بعید میدونم 10 گیگ باشه چون این کلاس فایروال ها بسیار گران قیمت و همینوطر برای جلوگیری از دی داس قدری ناکارآمد هستند


همچنین در پاسخ به دوستمون که 5510 سیسکو رو معرفی کردند
این فایروال فقط 300 مگابیت troughput تئوری داره که در حملات DDOS با PPS بالا قطعا بسیار بسیار ناکارآمدخواهد بود



اما این دوست ما میتواند به صورت کلی از IPS فایروال ها در صورتی که با دیتاسنتر هماهنگ بوده استفاده کنید . حمله کننده ها را سریعا به دیتاسنتر محل حمله گزارش و در گلوگاه نال روت کنید

لطفا این دیتاسنتری که 80 گیگابیت ( ما به همین هم راضی هستیم )رو بصورت دی داس میبینه و همچنان اجازه میده وارد زیرساختش بده معرفی کنید ازش برای مواد خاص استفاده کنیم :دی

با احترام
موفق باشبد

یک نکته هم بگم خدای ناکرده مورد سوئ استفاده برخ یاز عزیزان قرار نگیرید !

مسدود کردن دی داس بزرگتر از پورت سرور و حتی کمتر از پورت سرور و با تعداد بالا به هیچ عنوان در سطح فایورال روی سیستم عامل و حتی سخت افزاری قبل از سرور ( به صورت عادی از طریق دراپ کردن ) ممکن نیست !
لطفا اگر کسی پیشنهادی برای رفع این موارد داد با اطمینان رد کنید و یا ابتدا از نتیجه مطمئن شوید و بعد هزینه ای پرداخت کنید

سلام
من هم همچین مشکلی رو در هفته پیش داشتم .
شاید شما هم توسط همون شخصی که سایت ما رو دی داس کرد تحت دیداس هستید !
راه حلی که من انجام دادم .
خرید سرور از ایران با آی پی اینترنت و اینترانت !!!!
مزیت وقتی به مشکلی از قبیل دیداس برخورد کردم دایرکت ادمین و مشخصات رو برروی برای آی پی اینترانت قرار می دهم و فقط برای ایرانیان سایت بنده در اینصورت باز می شود .
این بهترین کار است . و در مواقع عادی نیز برروی اینترانت می گذاریم .

همچنین در پاسخ به دوستمون که 5510 سیسکو رو معرفی کردند
این فایروال فقط 300 مگابیت troughput تئوری داره که در حملات DDOS با PPS بالا قطعا بسیار بسیار ناکارآمدخواهد بود

مدل های قویتر هم هستند همکار گرامی

برای من و شما که تو این کار هستیم خیلی واضح هست که یک دهم درصد هم امکان نداره یه سرور معمولی 80Gbps دیداس بشه و دوستمون مبالغه کردن

مدل های قویتر هم هستند همکار گرامی

برای من و شما که تو این کار هستیم خیلی واضح هست که یک دهم درصد هم امکان نداره یه سرور معمولی 80Gbps دیداس بشه و دوستمون مبالغه کردن

سرور برای ماست.
ما هم به عدد 80 خیلی مطمئن نیستیم ولی عین جمله دیتاسنتر هست ، به محض استارت حمله هم ظرف 60 ثانیه ای پی ها بلاک می شند.
تا 1 - 3 G هم خودم روی سرور می بینم. و مطمئن هستم حالا به قول شما 80 مبالغه امیز هست من هم موافقم ، اما 1 - 3 هم UDP flood چیز کمی نیست.
یک نکته دیگه اینکه پورت سرور ما بیشتر از 1 - 3 جواب نمی ده ممکن هست راست گفته باشند . در هر حال از رد استیشن هم پرسیدم اون فایروالی که شما معرفی کردید رو گفتند جوابگو نیست.

سرور برای ماست.
ما هم به عدد 80 خیلی مطمئن نیستیم ولی عین جمله دیتاسنتر هست ، به محض استارت حمله هم ظرف 60 ثانیه ای پی ها بلاک می شند.
تا 1 - 3 G هم خودم روی سرور می بینم. و مطمئن هستم حالا به قول شما 80 مبالغه امیز هست من هم موافقم ، اما 1 - 3 هم UDP flood چیز کمی نیست.
یک نکته دیگه اینکه پورت سرور ما بیشتر از 1 - 3 جواب نمی ده ممکن هست راست گفته باشند . در هر حال از رد استیشن هم پرسیدم اون فایروالی که شما معرفی کردید رو گفتند جوابگو نیست.

با سلام
ببنید وقتی دیتاسنتر اعلام میکنه یک عددی دی داس روی سرور هست
معنیش این نیست که این ترافیک به سرور شما میرسه
چون ظرفیت سویچ این نیست
به عنوان مثال سروری که به یک کور 48 گیگ وصل شده نهایت میتونه 48 گیگابیت در آپلینک فیبر کل سویچ داشته باشه !
حالا از این عدد فقط 1 گیگابیت هست که به سرور شما میرسه اما اگر در گلوگا نبندند در مسر انتقال دیتاسنتر رو دچار مشکلخواهد کرد
ضمنا رد استیشن درست حسابی تشخیص نمیده !
1 گیگابیت فیکس روی سرور ما از سرور دیگر ترافیک دائمی وجود داشت
هیچ عکس العملی نشون ندادند
البته اون ترافیک داخلی بود از روی اینترنت نمی اومد
در رد استیشن هم در بهترین حالت پورت 500 مگابیت ظرفیت اینترنت دارد ! ( بسته به نوع سرور که البته دستیابی به پهنای باند بالاتر هزینه گزافی در این دیتاسنتر دارد )
این اعداد هیچ کدام با هم همخوانی ندارند.

والا منم قبلا سرور از این دیتا سنتر داشتم که ddos شدم گفتند 500000 packet رو سرور من DDos وجود داره و سرور رو 24 ساعت بستند!
بعد از انتقال به دیتا سنتر های دیگه متوجه شدم DDos بیشتر از 50000 packet نبوده!

تو DDOS اونطور که من تجربه دارم iptables یکی از بهترین فایروال های خود سرور جلوی ddos udp port و symflood ! که اونم کانفیگش کار هر کسی نیست ! csf اونطور که کانفیگ میشه عمل نمی کنه خیلی جاها iptables به کانفیگ csf که روش انجام میده عمل نمی کنه !این در مورد فایروال سرور بود شاید کانفیگ درست بتونه مشکلتون رو حل کنه رو iptables کلیه پورت های udp رو مسدود کنید , syn رو هم اینطور !دستوراتش یادم نیست ولی بگردید هست!

در مورد فایروال خارجی نظری ندارم!

حالا این 80 گیگ ddos هم 100 % مبالغه هستش و چنین حجم ddos رو دیتا سنتر اجازه نمیده تا به سرور برسه درجا آیپی سرور رو می بنده! از دیتا سنتر بهتری استفاده کنید مثل yes up که اطلاعات واقعی میدند و کمک می کنند تا جایی که امکان داشته باشه سرورتون ddos نشه ! من به خاطر ddos شدن سرور هام از این دیتا سنتر استفاده می کنم !

با سلام
ببنید وقتی دیتاسنتر اعلام میکنه یک عددی دی داس روی سرور هست
معنیش این نیست که این ترافیک به سرور شما میرسه
چون ظرفیت سویچ این نیست
به عنوان مثال سروری که به یک کور 48 گیگ وصل شده نهایت میتونه 48 گیگابیت در آپلینک فیبر کل سویچ داشته باشه !
حالا از این عدد فقط 1 گیگابیت هست که به سرور شما میرسه اما اگر در گلوگا نبندند در مسر انتقال دیتاسنتر رو دچار مشکلخواهد کرد
ضمنا رد استیشن درست حسابی تشخیص نمیده !
1 گیگابیت فیکس روی سرور ما از سرور دیگر ترافیک دائمی وجود داشت
هیچ عکس العملی نشون ندادند
البته اون ترافیک داخلی بود از روی اینترنت نمی اومد
در رد استیشن هم در بهترین حالت پورت 500 مگابیت ظرفیت اینترنت دارد ! ( بسته به نوع سرور که البته دستیابی به پهنای باند بالاتر هزینه گزافی در این دیتاسنتر دارد )
این اعداد هیچ کدام با هم همخوانی ندارند.

باسلام
در مورد پورت محدودیتی که شما گفتید به فرض اگر گارانتی پورت 200مگابیت باشد.

Redstation -> Internet = 200Mbps with Burst to 1Gbps
Redstation -> Redstation = Unrestricted
Internet -> Redstation = Unrestricted

در مورد تشخیص هم مشاهده شده است که چندین سرور به دلیل داشتن اتک روی سرور و یا ارسال اتک به مدت 48 ساعت مسدود شده اند.

موفق باشید

یه Cisco ASA5510 جلوی سرور بزارید با کانفیگ خودتون یا مدیریت شده توسط دیتاسنتر یک مگابایت هم رد نمیشه.

این فایروال اصلا مناسب کار ایشون نمیباشد. چون فقط 300مگابیت ساپورت میکند. استارتر هم اگر واقعا توان مالی دارند با دیتاسنتر صحبت کنند یادم هست یک بار با مدیر دیتاسنتر صحبت میکردیم رد مورد همین نوع از اتکها خودشون Solution دادند و قیمت Appliance چیزی حدود 40هزار پوند بود!

موفق باشید

ما هم چند وقت پیش چنین مشکلی داشتیم البته اگر شبیه به هم باشد ما روی پورت ۵۳ دی ان اس مشکل داشتیم چندین راه کار برای شما دارم اول recursive dns غیر فعال کنید دقت کنید اگر از bind استفاده میکنیم ورژن انرا اعلام کنید تعداد کوری های سرویس دی ان اس را محدود کنید البته در ورژن های بالا بایند ساپورت میشه
دی ان اس اصلی خودتون رو روی سرویس دهنده های به غیر از سرور خودتون انتقال بدید با تعریف چند دی ان اس سرور البته فکر میکنم تعویض ایپی هم داشته باشین خیلی خوب هست و دی ان اس شما از چند ایپی استفاده کنه و...

البته تعداد کانکشن هم روی ۵۳ میتوانید محدود کنید با دستور زیر


iptables -A INPUT -p udp --dport 53 -m connlimit --connlimit-above 20 -j DROP

ipv6 هم disable کنید .

والا منم قبلا سرور از این دیتا سنتر داشتم که ddos شدم گفتند 500000 packet رو سرور من DDos وجود داره و سرور رو 24 ساعت بستند!
بعد از انتقال به دیتا سنتر های دیگه متوجه شدم DDos بیشتر از 50000 packet نبوده!

تو DDOS اونطور که من تجربه دارم iptables یکی از بهترین فایروال های خود سرور جلوی ddos udp port و symflood ! که اونم کانفیگش کار هر کسی نیست ! csf اونطور که کانفیگ میشه عمل نمی کنه خیلی جاها iptables به کانفیگ csf که روش انجام میده عمل نمی کنه !این در مورد فایروال سرور بود شاید کانفیگ درست بتونه مشکلتون رو حل کنه رو iptables کلیه پورت های udp رو مسدود کنید , syn رو هم اینطور !دستوراتش یادم نیست ولی بگردید هست!

در مورد فایروال خارجی نظری ندارم!

حالا این 80 گیگ ddos هم 100 % مبالغه هستش و چنین حجم ddos رو دیتا سنتر اجازه نمیده تا به سرور برسه درجا آیپی سرور رو می بنده! از دیتا سنتر بهتری استفاده کنید مثل yes up که اطلاعات واقعی میدند و کمک می کنند تا جایی که امکان داشته باشه سرورتون ddos نشه ! من به خاطر ddos شدن سرور هام از این دیتا سنتر استفاده می کنم !

دوست عزیز iptables یک نرم افزار فایروال هست و کارش مدیریت بسته های ارسالی و دریافتیه. توی یه حمله ddos کل منابع سخت افزاری سرور صرف پاسخگویی به پکتهایی می شه که به سیستم می رسه و چون حجم درخواست ها بسیار بالاست سیستم دیگه نمی کشه. تنها راهش null route کرده وگرنه به سرور آسیب می رسه.
iptables در برابر ddos مثل یه موج شکن می مونه در برابر سونامی! این چیزایی هم که شما می گید که موثر هست اما نه واسه ddos. این راه حل ها جلوی یه سری flood رو می گیره.

سلام دوستان منم چنین مشکلی دارم یه چیزی حدود 100 تا آی پی همزمان به از سرور من دانلود می کنن با سرعت بالا !
bw من رو تمام کردن و سرور سنگین شده !
تا حالا نزدیک به 60 تا آی پی بلاک کردم ولی بازم مشکل هست یه سریشون آی پی نیستند ! اسم دارن و یا بجای نقطه خط تیره دارن و نمیشه بلاکشون کرد اگه میشه یه کمکی به من کنید

توضیحات کامل تر رو در این تایپیک دادم
http://www.webhostingtalk.ir/f55/80388/

با تشکر