از کجا بفهمیم تحت حمله دیداس هستیم ؟
نمایش نسخه قابل چاپ
از کجا بفهمیم تحت حمله دیداس هستیم ؟
معمولا ترافیک شبکه شما پر میشه
در cmd این دستور رو وارد کنید.
ping site.com -t
اگر تایم اوت داد زیر دداس است سایت
سلام
آیا میبشه به مشتری گزارشی در مورد ddos که اعتبار حقوقی داشته باشه ارائه داد؟
سلام به راحتی.نقل قول:
نوشته اصلی توسط persiantools
تعداد ورودی درخواست به سمت آپاچی را چک کنید بالای 120 تا 150 بود شک کنید رسید به 300 چند تا آیپی 100% دیداس
در ssh وارد کنید
netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
چطوری چک کنم ؟نقل قول:
نوشته اصلی توسط RoobinaServer
netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nنقل قول:
نوشته اصلی توسط persiantools
آموزش جلوگیری از دی داس: آموزش جلوگیری از حملات دی داس (dDos) - مرکز آموزش سايت - ParsVPS.com
البته نوع حملات دی داس متفاوت هست.
سلام دوست عزیز . بنده قصد جسارت ندارم :)نقل قول:
نوشته اصلی توسط irihost
خیلی از دوستان برای جلوگیری از حملات داس پینگ سرورشونو لیمیت میکنن روی ثانیه و دقیقه .
فکر میکنم راه حل شما کمی غیر معقول و کمی غیر حرفه ای باشد !
با این حال خیلی افراد پینگ را میبندند . مثل سرورهای دانلود و با پهنای باند کم ;)
---
در جواب دوست عزیزمون ، شما از دستوری که جناب سجادیه فرمودند میتونید استفاده کنید :
netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
این دستور تمام کانکشن های به سمت سرور شما را روی پرتکل های UDP , TCP به نمایش در می آورد ، مشخصا تعداد بالای درخواست از سمت یک آی پی خاص یا درخواست های مشابه از سمت آی پی های متعدد ، نشان دهنده حملات داس یا دیداس هست .
راه دیگر ، اگر سرورتان ویندوزی هست دستفاده از دستوری
netstat -n
هست ، این دستور هم تقریبا معادل دستور بالاست و تمامی کانکشن ها به سمت سرور را روی تمامی پروتکل ها نمایش میدهد و مشابه وضعیت بالا رفتار کنید.
راه دیگر ، مانتیور کردن و گراف گرفتن از کارت شبکه هست .
اگر سیستم گراف و مانیتورینگ دارید که هیچ ! اگر ندارید ، برای سرور های ویندوزی از PRTG استفاده کنید . البته اگر در آن واحد میخواهید وضعیت را چک کنید از TaskManager ، تب Networking به وضوح گراف پهنای باند و کارت شبکه شما قابل مشاهده هست که اگر حمله داس یا دی داس روی سرور شما باشد ، بصورت خطوط نامنظم و تقریبا تمام کارت شبکه شما را پر کرده است !
برای لینوکس هم اگر گنوم نصب هست که کار اسانه . اگر نصب نیست ، بهتر هست یک سرویس SNMP راه اندازی کنید و توسط برنامه هایی مثل Cacti , PRTG ، گراف بگیرید
خوب همین الان سرور من تحت حمله دیداس هست . چطور آیپی رو که دیداس کرده پیدا کنم ؟
root@static [~]# netstat -n | grep :80 |wc -l
443
یک فایروال csf نصب کنید ، از حالت تست خارج کنید و پورت های مربوط به کنترل پنلتونو باز کنید توش .نقل قول:
نوشته اصلی توسط persiantools
در انتها سرویس رو ریستارت کنید . خودش آی پی دیداسر رو پیدا میکنه و میبنده .
با اینحال بنده ذکر کردم . آی پی که بیشترین کانکشن را روی سرور دارد ،همان آی پی دیداسر هست .
میتوانید از Iptables هم برای بستن آی پی متجاوز استفاده کنید
موفق باشید
csf روی سرور نصبه .نقل قول:
نوشته اصلی توسط rpserver
این کار رو چطوری باید انجام بدم ؟
و پورت های مربوط به کنترل پنلتونو باز کنید توش
تنظیم CSF میشه گفت 50 تا 70 درصد کانفیگ سرور حساب میشه چیزی نیست که همینجا بشه گفت. شامل بستن پرت ، محدودیت تعداد کانکشن و مدت زمان بلک شدن و ... میباشد.نقل قول:
نوشته اصلی توسط persiantools
اما مورد دوم در مورد بستن آیپی
آیپی که دیدید کانکشن آن بالا هست آن را در قسمت ignore لیست CSF وارد کنید.(رنگ کادر نوشتاری آن قرمز هست)
یا حق
دوستان برای من تمام آی پی ها طبیعی هست به جز دو خط آخر که به این شکل هست
15 0.0.0.0.
166
یکیش 15 تا کانکشن داره که آی پی ها صفر هست
خط آخر هم مدام تغیر میکنه و الان 166 زده اما هیچ آی پی نزده !!
این هم دیدایس هست ؟
به نظر بنده بارز ترین راه همینه که سرعت لود بالا میره .. و موقع پینگ تایم اوت زیاد داره!
با سلام خدمت شما دوست عزيز.نقل قول:
نوشته اصلی توسط persiantools
آقا من تجربه اين حملات رو خيلي داشتم مخصوصا" تو قسمتي كه چند سال به عنوان مدير شبكه بودم ولي بايد بگم گاهي واقعا" نميشه كاري كرد مخصوصا" اگر از طريق بات نت صورت بگيره.
بگذريم.
مطلب زير را با دقت بخوانيد اميدوارم راه گشا باشه.
http://www.webhostingtalk.ir/f10/66869/#post62288
با تشكر.