پیگیری حملات دیداس تحت قانون دیتاسنترها

سلام چطوری میشه حملاتی که از سرورها به یک سرور خاصی میشه رو جلوگیری کرد و آی پی اتک کننده رو تحت یه قانون خاصی پیگیری کرد چه مدرکی میتونه ثابت کنه این قضیه رو ؟ فکر نکنم دادن فقط یک آی پی به دیتاسنتر کارگشا بشه !

فایل لاگ سایت مورد نظر رو به واحد Abuse دیتاسنتر ارسال کنید و بخواهید که آن آی پی را مانیتور کنند

شما به ديتاسنتر بگيد از طرف اين آی پی داره بهتون حمله ميکنه.
اگر ديتاسنتر زورش بچربه به ديتاسنتر طرف مقابل اخطار ميده :دی اگر نرسه هم که کاری نميتونه بکنه.


التماس دعا
ممنون
علی امیری

فایل log رو برای دیتاسنتر بفرستین، اگه قبلا هم از دیتاسنتری که به شما حمله شده، حمله شده باشه ip آدرس های اون دیتاسنتر (فقط ip آدرس های اصلی سرور های حمله کننده و ip هایی که مستقیما برای حمله استفاده شده) رو report می کنن، بعد یک سری از ISP هایی که سرشون به تنشون می ارزه (مثل اینترنت government ها) اون IP ها رو می بندن، وقتی هم می خوای وارد بشی اگه ISPیت 100% نبسته باشش یه پیغام می ده مثل این:
Reported Attack Page!
This web page at xxx.xxx.xxx.xxx has been reported as an attack page and has been blocked based on your security preferences.
Attack pages try to install programs that steal private information, use your computer to attack others, or damage your system.
Some attack pages intentionally distribute harmful software, but many are compromised without the knowledge or permission of their owners.

این فایل لوگی که میگید کجاست ؟؟؟
خواهشا یکی جواب بده نیاز دارم

پنلم دایرکت ادمینه

نقل قول:

---

نوشته اصلی توسط Hooramin

این فایل لوگی که میگید کجاست ؟؟؟
خواهشا یکی جواب بده نیاز دارم

پنلم دایرکت ادمینه

---

فایرولی چیزی نصب نیست !

csf نصبه... مسئول فروش سرور چک کرد گفت 3000 تا ای پی مختلف حمله زده ..با پراکسی سرور
چه کار باید بکنم ؟ /؟؟/؟
خواهشا کمکم کنید

نقل قول:

---

نوشته اصلی توسط Hooramin

csf نصبه... مسئول فروش سرور چک کرد گفت 3000 تا ای پی مختلف حمله زده ..با پراکسی سرور
چه کار باید بکنم ؟ /؟؟/؟
خواهشا کمکم کنید

---

متاسفانه یکی از مواردی هست که کار خاصی نمیشه کرد جز محدود کردن کانکشن های هر آی پی به سرور

Sent from my GT-I9000 using Tapatalk 2

نقل قول:

---

نوشته اصلی توسط Hooramin

csf نصبه... مسئول فروش سرور چک کرد گفت 3000 تا ای پی مختلف حمله زده ..با پراکسی سرور
چه کار باید بکنم ؟ /؟؟/؟
خواهشا کمکم کنید

---

از مسئول سرور (!) بخواین که 100 آی پی که بیشترین فشار رو به سایت شما میاره رو بده !
قاعدتا وفتی عددی با این دقت گفته میشه امکان ردیابی بیشترین منابع فشار هم وجود داره . اگر نه بحث حمله و اینا بیشتر شبیه بهانه باید باشه .

حالا من اینطوری گفتم ...
اون بنده خدا گفت خیلی زیاده نزدیک سه چهار هزارتاس نشسته بشمره که ...فقط خواسته یه عددی بگه بفهمونه خیلی زیاده

نقل قول:

---

نوشته اصلی توسط Hooramin

حالا من اینطوری گفتم ...
اون بنده خدا گفت خیلی زیاده نزدیک سه چهار هزارتاس نشسته بشمره که ...فقط خواسته یه عددی بگه بفهمونه خیلی زیاده

---

برای یک مدیر سرور تعداد کانکشن از هر آی پی قابل مشاهده هست
و نیازی نیست که همینطوری یک عددی بدن...

موفق باشید

والا من سرور اختصاصی دارم ..مدیریت شده هم نیست ...
این اقا میگه من فقط یه سرور خوب روشن کردم دادم به شما بقیش با خودتونه ..ولی بازم بنده خدا زحمتشو کشیده هر چی تونسته
از شخص من که هیچ کاری بر نمیاد نه ssh نه پنل هیچی باز نمیشه ..
حالا نمیدونم منظور شما از مدیر سرور همین آقای فروشندس ،یا خود من ؟ یا مسئول دیتا سنتر ؟

نقل قول:

---

نوشته اصلی توسط hooramin

والا من سرور اختصاصی دارم ..مدیریت شده هم نیست ...
این اقا میگه من فقط یه سرور خوب روشن کردم دادم به شما بقیش با خودتونه
از شخص من که هیچ کاری بر نمیاد نه ssh نه پنل هیچی باز نمیشه ..
حالا نمیدونم منظور شما از مدیر سرور همین آقای فروشندس ،یا خود من ؟ یا مسئول دیتا سنتر ؟

---

وقتی شما پنل و ssh دارید باید خودتون سرور رو مدیریت کنید
و به نوعی مدیر سرور خودتون هستید
وقتی چنین حملاتی اجرا میشه مدیر سروری هم که دسترسی به کل سرور داره تنها کاری که بیشتر از شما می تونه انجام بده اینه که وقتی حتی ssh هم باز نمیشه سرور رو خاموش کنه
به نظرم بهتره یک روز سرور رو خاموش کنید کامل تا حملات و حمله کننده بیخیال ماجرا بشه
بعد سرور رو روشن کنید لاگ ها رو چک کنید امنیت رو بالا ببرید و ....

نقل قول:

---

نوشته اصلی توسط Hooramin

والا من سرور اختصاصی دارم ..مدیریت شده هم نیست ...
این اقا میگه من فقط یه سرور خوب روشن کردم دادم به شما بقیش با خودتونه
از شخص من که هیچ کاری بر نمیاد نه ssh نه پنل هیچی باز نمیشه ..
حالا نمیدونم منظور شما از مدیر سرور همین آقای فروشندس ،یا خود من ؟ یا مسئول دیتا سنتر ؟

---

اگر ایشون سرور رو مدیریت نمیکنه پس از کجا میدونه حدود 3-4 هزار آی پی دارن اتک میکنن ؟
اگر هم gateway از خودشون باشه و داره میبینیه پس قاعدتا میتونه همه آی پی های اتک کننده رو ببنده .

دوستان حالا از مسئول سرور بگذریم ..اگه کسی میتونه این مشکل رو حل کنه که من تضمینی دیگه دی داس نشم هر مقدار لازم باشه برای پشتیبانیش میپردازم ... واقعاً این دی داسر عوضی صبرمو به لبم رسوند .....
خیلی هزینه دادم برای تقویت سرور و بی اثر کردن این حمله ولی فایده نداشت ... خیلی قوی اتک میزنه

خواهش میکنم اگه کسی توانایی داره اعلام کنه

دسترسی ارسال کنید بعد بررسی هزینه اعلام میشه

ّبا tcpdump بک cpature از ترافیک روی سرور گرفته و بعد برای دیتاسنتر ارسال نمایید.
در مورد برطرف نمودن نیز سقف مالی خود را مشخص کنید تا solution مربوطه با توجه به سقف مالی ارایه شود.
با تشکر

سلام
خوب با CSF CP _LIMIT تعیین کنید که هر کی بیشتر از 50 تا کانکشن انداخت رو بلاک کنه.
بعد ، ببینید اگر دارن پورت 80 رو میزنن یا صفحه ای از سایتتان را ....
با مازوال limit ip conn آپاچی ، محدودیت کانکشن روی دایرکتوری بزارید ...
شاید حل شد ...
اگر نه،
به دیتاسنترتون آی پی ها را گزارش بدهید تا از روتر ببندند
و در مرحله بعد، به دیتاسنتر اون ها شکایت بکنید .. اگر پاسخی دریافت نکردید ( اگر آی پی ها برای آسیا یا اروپا بود به ripe ابیوز بفرستید)