چطور میشه سورس آی پی حمله ddos رو پیدا کرد؟

چطور میشه سورس آی پی خود حمله کننده ddos رو پیدا کرد؟

ممنون

نقل قول:

---

نوشته اصلی توسط unix_magnet

چطور میشه سورس آی پی خود حمله کننده ddos رو پیدا کرد؟

ممنون

---

با سلام
اگر به ssh سرورتون دسترسی دارید با دستور زیر میتونید تعداد کانکشن ها یا اتصالات که به سرور وصل هستن پیدا کنید.
طبیعتا رنج آیپی که بیشترین درخواست به سرور ارسال کند عامل دیداس می باشد.

نقل قول:

---

netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

---

با سلام

چه سیستم عاملی ویندوزی یا لینوکسی.
لینوکسی که همکارمون خدمت شما گفتم.
ویندوزی هم که ابزار زیاد هست :
https://technet.microsoft.com/en-us/...s/tcpview.aspx

نقل قول:

---

نوشته اصلی توسط mizban97

با سلام
اگر به ssh سرورتون دسترسی دارید با دستور زیر میتونید تعداد کانکشن ها یا اتصالات که به سرور وصل هستن پیدا کنید.
طبیعتا رنج آیپی که بیشترین درخواست به سرور ارسال کند عامل دیداس می باشد.

---

منظورم سورس آی پی طرف هست نه اینکه پکت هایی که از یک رنج آی پی می فرسته
البته بابت پاسخون ممنون

نقل قول:

---

نوشته اصلی توسط unix_magnet

منظورم سورس آی پی طرف هست نه اینکه پکت هایی که از یک رنج آی پی می فرسته
البته بابت پاسخون ممنون

---

خوب عملا چنین چیزی که مد نظرتون هست امکان پذیر نیست،
اما در یک نوع حمله لایه 7 که به XMLRPC شهرت دارد و اکثرا از طریق سایت های وردپرس قدیمی ارسال می شود می توان آی پی سرور اصلی که به سایت های وردپرسی پکت می فرستد برای حمله به سایت شما را پیدا کرد؛
در این نوع حمله، بات های وردپرسی در user agent آی پی اتکر ( ممکن است از سیستم شخصی یا سرور استفاده شده باشد) را به سایت قربانی ارسال می کند،
در اکسس لاگ شما هزاران لاگ مشابه زیر ثبت می شود:

کد:

---

192.241.x.x – – [09/Nov/2014:22:50:08 -0800] “GET /index.php HTTP/1.0″ 200 “-” “WordPress/3.9.2; http://www.x.x; verifying pingback from 11.22.33.44

---

که در اینجا آی پی 11.22.33.44 رایانه اصلی است که قصد حمله به شما را دارد.

با سلام و درود.
داخل فروم ieb.ir همکارمون توضیح دادن.
اینجاهم من میگم
نکاه کنید،لاگ ها دقیقا مشخص کننده خسلی چیزاست.از اتک ها و نوع درخواست ها و آیپی و ساعت و تاریخ و ........
همچنین فایروال هایی که استفاده میکنید و آنتی دیداس ها،یک قسمتی دارند برای بستن آیپی.اونجا هم مشخص میشه
همچنین،برای لایه 7 که بهترینش لاگ هاست.اسکریپت هایی هستش که میتونید محدود کنید و اگ درخواست زیادی داشت،آیپی طرف لاگ بشه یا بن بشه از طریق htaccess
بدرود.

تا وقتی که در جای مناسبی قرار نگیری، نمیشه پیداش کرد.
البته اگه اون شخص جوجه باشه خیلی راحت با این روش هایی که گفتن میشه

نقل قول:

---

نوشته اصلی توسط S4L3H1

تا وقتی که در جای مناسبی قرار نگیری، نمیشه پیداش کرد.
البته اگه اون شخص جوجه باشه خیلی راحت با این روش هایی که گفتن میشه

---

اتک های مختلفی داریم
Udp اتک ها ببشتر لاگ نمیندازه البته اونم میشه برای پیدا گردن کارهایی کرد
اما ببشتر سرور و آنتی دیداسش جلوشو میگیره
دیشب دقیقا من دیداس داشتم رو سرور
اونم از سرورهای آمازون و alibaba تو هنگ کنگ که همشون رو تنظسم گردم و راحت آیپی پیدا میشه
البته بالای 200تا آیپی بود.

نقل قول:

---

نوشته اصلی توسط yastheme

خوب عملا چنین چیزی که مد نظرتون هست امکان پذیر نیست،
اما در یک نوع حمله لایه 7 که به XMLRPC شهرت دارد و اکثرا از طریق سایت های وردپرس قدیمی ارسال می شود می توان آی پی سرور اصلی که به سایت های وردپرسی پکت می فرستد برای حمله به سایت شما را پیدا کرد؛
در این نوع حمله، بات های وردپرسی در user agent آی پی اتکر ( ممکن است از سیستم شخصی یا سرور استفاده شده باشد) را به سایت قربانی ارسال می کند،
در اکسس لاگ شما هزاران لاگ مشابه زیر ثبت می شود:

کد:

---

192.241.x.x – – [09/Nov/2014:22:50:08 -0800] “GET /index.php HTTP/1.0″ 200 “-” “WordPress/3.9.2; http://www.x.x; verifying pingback from 11.22.33.44

---

که در اینجا آی پی 11.22.33.44 رایانه اصلی است که قصد حمله به شما را دارد.

---

جواب خوبی بود ممنون از شما

برای سناریو های دیگه راه حل های دیگه ای دارید ؟

نقل قول:

---

نوشته اصلی توسط unix_magnet

جواب خوبی بود ممنون از شما

برای سناریو های دیگه راه حل های دیگه ای دارید ؟

---

سلام و درود
این چند روز از این حملات زیاد داشتم.واسه انجنیکس از این استفاده کنید

کد PHP:

---

server {
...
if ($http_user_agent ~ WordPress) { return 444; }
...
} 


---

برای آپاچی بهتون میگم.اجازه دین تست کنم رو سرور دیگم