جلوگیری از layer 4 & layer 7 attack در سرور مجازی ایران

[alirezakaj]

فعلا که پیام خصوصی برای بنده فعال نیست و نمی تونم آدرس یاهو رو اینجا بگم.

ولی بصورت کلی من این موارد رو بهتون پیشنهاد میکنم.

1- آی پی های اتک کننده رو شناسایی کنید و ببینید از کجا میان.

در ssh با استفاده از دستور netstat -ct آی پی های تکراری رو یادداشت کنید تا بررسی بشن. این دستور بصورت خودکار آپدیت میشه و کانکتهای جدید رو نشون میده.

برای خروج ctrl + c رو بزنید.

2- ببینید رو کدوم پروتکل حمله میکنن.

3- اگر رو http باشه و سایت رو هدف بگیرن با htaccess و کد ریدایرکت به یک دامین غیرواقعی اون رنج رو ریدایرکت کنید.

4- اگر مستقیم سرور رو هدف بگیرن مثلا از ftp یا ping و ... باید از iptables تمام اون رنج ها رو بلاک کنید یا ریدایرکت.

5- اسکریپت ddos deflate رو نصب کنید و در تنظیمات محدودیت مورد نظر رو اعمال کنید مثلا 1000 کانکت در دقیقه برای بلاک دائمی.

لینک آموزش برای نصب
http://deflate.medialayer.com

یک لینک دیگه برای نصب و کانفیگ
http://resources.infosecinstitute.co...rotection-tool

پیشنهاد شده این اسکریپت با فایروال apf استفاده بشه ولی بدون اون هم کار میکنه. من خودم با فایروال csf ترکیب کرده بودم و جواب داد.

6- اگر سرورتون بصورت vip هست موارد فوق نیاز نیست کافیه آی پی رنج کاربران رو بگیرید و در iptable اونها رو allow کنید بقیه کلا بلاک. البته رنج خودتون رو هم اجازه دسترسی بدید.

شما مورد 1 و 2 رو انجام بدید تا بهتون بگم بعد چکار کنید.

والا این چیزایی که گفتی فقط خودت میتونی انجام بدی :D
ولی به نظر کار ساز میاد میتونی آی پی تست بدی مال خودتو ؟ یه تست کنم بینم چند مرده حلاجه :P
نترس کاریش نمیکنم فقط تسته اگه اوک باشه دسترسی بت میدم برام اوک کنی
اینم یاهو مسنجر منه : alirezakaj

[Yas-Host]

والا این چیزایی که گفتی فقط خودت میتونی انجام بدی :D
ولی به نظر کار ساز میاد میتونی آی پی تست بدی مال خودتو ؟ یه تست کنم بینم چند مرده حلاجه :P
نترس کاریش نمیکنم فقط تسته اگه اوک باشه دسترسی بت میدم برام اوک کنی
اینم یاهو مسنجر منه : alirezakaj

پس خود شما DDoser هستید ؟!

[iMohsen]

به طور کلی وقتی محدوده آی پی اتکر مشخص باشه میشه با pre-route خود iptables یا با routing table خود لینوکس محدوده آی پی رو loopback کرد .
پرفورمنس بهتر در routing table هست ولی منابع کمتر در preroute استفاده میشن .

کلا اگر حمله کننده منبع مهمی نیست راحت میشه جلوشو گرفت . فک کنم یه کم سخت گرفتید . حتی با همون csf و تنظیمات با حساسیت متوسط میشه رد کرد .
اما اگر حمله از نوع DDoS باشه بهتره که از یک لایه پروتکشن در پروتکل مورد حمله استفاده کنید . مثلا پوشش اولیه رو با یک vps ساده و transparent بزارید که پشتش به سرور اصلی متصل باشه . اینجوری یه بخشی از بار اولیه رو میتونید با vps خنثی کنید و مابقی رو هم بفرستید سرور اصلی رد کنه .

این مورد دوم که گفتم تئوری آزمایشی بوده و من در حمله های سنگین نتونستم جایی پیاده کنم هنوز .

[alirezakaj]

به طور کلی وقتی محدوده آی پی اتکر مشخص باشه میشه با pre-route خود iptables یا با routing table خود لینوکس محدوده آی پی رو loopback کرد .
پرفورمنس بهتر در routing table هست ولی منابع کمتر در preroute استفاده میشن .

کلا اگر حمله کننده منبع مهمی نیست راحت میشه جلوشو گرفت . فک کنم یه کم سخت گرفتید . حتی با همون csf و تنظیمات با حساسیت متوسط میشه رد کرد .
اما اگر حمله از نوع DDoS باشه بهتره که از یک لایه پروتکشن در پروتکل مورد حمله استفاده کنید . مثلا پوشش اولیه رو با یک vps ساده و transparent بزارید که پشتش به سرور اصلی متصل باشه . اینجوری یه بخشی از بار اولیه رو میتونید با vps خنثی کنید و مابقی رو هم بفرستید سرور اصلی رد کنه .

این مورد دوم که گفتم تئوری آزمایشی بوده و من در حمله های سنگین نتونستم جایی پیاده کنم هنوز .

این مورد دوم دقیقا اون دیوار ترافیکی بود که بنده بارها در موردش حرف زدم ! دوست عزیز این مورد رو دوست بنده هم تست کرده جلوی layer 4 va 7 به راحتی میتونه بایسته ولی ترافیک زیاد میبره
اگر راه خوبی سراغ دارید با بنده تماس بگیرید !
هدف ما جلوگیری از layer 4 va 7 نه رفتن به اینترانت ! امیدوارم یه روز تو ایران بگی اتک بهت بخندن ! مثله تو آلمان و ...


- - - Updated - - -

این لحن صحبت شما اصلا درست نیست؛ همچنین در پست های گذشته نشان دادید سطح علمی لازم را جهت بحث در خصوص این موارد ندارید؛ پیشنهاد می کنم کمی تحقیق و مطالعه داشته باشید

بله سطح علمی من پایینه ولی دلیل نمیشه این چیزا رو خوب نفهمم

[iMohsen]

البته من فقط روش رو توضیح دادم و اسم خاصی ازش نمیدونم ( نمیدونستم !)
حالا بماند که خیلی وقتا آدم کارش گیر میوفته میاد اینجا یه سوال میکنه همه هم میدونن راهش چیه ولی هرکی از یه روشی از زیرش در میره ببینه میشه یه پولی ازش درآورد یا نه .

به نظر میاد این روش برروی لایه 7 موثر باشه و برای توقف یا کند کردن اتک های لایه 4 شما باید از یه واسطه ای بیشتر از یک vps ساده استفاده کنید . مثلا از pfsense یا ipcop یا حتی از میکروتیک که بشه برخی پکت ها رو مارک کرد و امکاناتی مثل masq رو به صورت native داشته باشن .

معمولا دیتاسنتر های داخلی پیشنهاد میکنن که مشتریانی که vps میفروشن یک vps اولیه با میکروتیک به عنوان gateway داشته باشن که وقتی اتک میاد bottleneck به اون میکروتیک منتقل بشه و ترافیک روی سوییچ های خود دیتاسنتر نچرخه ( کلا منظورشون از این کار باز کردن دردسر اتک از خودشون هست ) خب این روش رو با ipcop هم من تو محیط آزمایشی دیدم انجام شده ولی خب پیاده کردنش هم هزینه داره هم ریسکه چون زیر اتک های خود ساخته ممکنه جواب بده ولی زیر اتک های ناشناس ممکنه بره هوا .

خارجی ها هم بحثشون جداس . اونجا فایروال به سادگی میشه تهیه کرد طرف برای هر 4-5 تا سرور میتونه یه asa بزاره و رول بریزه روش مثل آب خوردن اتک رو رد میکنه ولی خب تو ایران به شدت گرونه / قابلیت آپدیت به سادگی نداره / پیاده سازیش مخصوصا تو مدل های SaaS سخته .

ببخشید زیاد شد . گفتم یه باره همه رو یه جا بنویسم .

[alirezakaj]

البته من فقط روش رو توضیح دادم و اسم خاصی ازش نمیدونم ( نمیدونستم !)
حالا بماند که خیلی وقتا آدم کارش گیر میوفته میاد اینجا یه سوال میکنه همه هم میدونن راهش چیه ولی هرکی از یه روشی از زیرش در میره ببینه میشه یه پولی ازش درآورد یا نه .

به نظر میاد این روش برروی لایه 7 موثر باشه و برای توقف یا کند کردن اتک های لایه 4 شما باید از یه واسطه ای بیشتر از یک vps ساده استفاده کنید . مثلا از pfsense یا ipcop یا حتی از میکروتیک که بشه برخی پکت ها رو مارک کرد و امکاناتی مثل masq رو به صورت native داشته باشن .

معمولا دیتاسنتر های داخلی پیشنهاد میکنن که مشتریانی که vps میفروشن یک vps اولیه با میکروتیک به عنوان gateway داشته باشن که وقتی اتک میاد bottleneck به اون میکروتیک منتقل بشه و ترافیک روی سوییچ های خود دیتاسنتر نچرخه ( کلا منظورشون از این کار باز کردن دردسر اتک از خودشون هست ) خب این روش رو با ipcop هم من تو محیط آزمایشی دیدم انجام شده ولی خب پیاده کردنش هم هزینه داره هم ریسکه چون زیر اتک های خود ساخته ممکنه جواب بده ولی زیر اتک های ناشناس ممکنه بره هوا .

خارجی ها هم بحثشون جداس . اونجا فایروال به سادگی میشه تهیه کرد طرف برای هر 4-5 تا سرور میتونه یه asa بزاره و رول بریزه روش مثل آب خوردن اتک رو رد میکنه ولی خب تو ایران به شدت گرونه / قابلیت آپدیت به سادگی نداره / پیاده سازیش مخصوصا تو مدل های SaaS سخته .

ببخشید زیاد شد . گفتم یه باره همه رو یه جا بنویسم .

والا بحث خارج که جداست اونجا با 3 الی 10 دلار به راحتی vps میگیری که جلوی قلان ترین اتکر دووم میاره
موضوع ما تو ایرانه شما اولین کسی هستید که البته من میبینم تو فضای نت که اینجور اطلاعات رو میدونه حالا به نظرتون برای اتک با 1 تا 2 یا 3 گیگ این سیستم جواب میده؟
چون 4 تا گیم سرور چیزی نیست که فلان اتکر دنیا بیاد روش بزنه 4 تا نخود بچه هستن که یاد گرفتن که فلان ساین آره میتونی اتک بدی باهاش اونا هم اگه ببینن جایی نمیخوره بیخیال میشن قرار نیست چینی ها بیان رومون اتک بدن که ! زیاد وارد بحث اتک های سنگین نشین
پیشنهاد شما چیه ؟ میخوام قیمتش هم به صرفه باشه فک کنم همون کانفیگ جواب بده روش

[ourweb]

همون راه حلی که من بهتون گفتم رو دوست مان اومد گفت شما میتوانید یک میکروتیک سر راه سرور بگذارید و اونجا تا حدودی جولوگیری کنید از این طرف هم اگه سیستم عامل تان لینوکس باشد با csf میتوانید کشور های دیگر رو محدود کنید که به عنوان مثل کاربران فقط ایران هستن ایران و اگر سرور لیست تان امریکا هست امریکا را باز کنید ولی باز با تعداد محدود از این طرف تمام اون کشور های که نیاز به ارائه سرویس ندارید رو میبندید اینطور خیلی کار شما راحت میشود

[alirezakaj]

همون راه حلی که من بهتون گفتم رو دوست مان اومد گفت شما میتوانید یک میکروتیک سر راه سرور بگذارید و اونجا تا حدودی جولوگیری کنید از این طرف هم اگه سیستم عامل تان لینوکس باشد با csf میتوانید کشور های دیگر رو محدود کنید که به عنوان مثل کاربران فقط ایران هستن ایران و اگر سرور لیست تان امریکا هست امریکا را باز کنید ولی باز با تعداد محدود از این طرف تمام اون کشور های که نیاز به ارائه سرویس ندارید رو میبندید اینطور خیلی کار شما راحت میشود

من این روش شمارو قبول دارم دارم چند جای دیگه هم صحبت میکنم روش های دیگه ای هم هست مثل پنهان کردن Ip البته نه اینکه بری روی اینترانت ! ایشالا اگه اون جریان پینگ اوک بود میگیرم وگرنه بازم بهتون میگم اون روش دوم رو واستون توضیح میدم اجراش کنیم
با تشکر والا این دیتا سنتر های دیگه به جای راه حل تیکه میندازن میگن تو علم و دانش نداری

[SCN]

تازگی که روی شبکه زیرساخت حمله بود و کانکشن با خارج از کشور به مشکل خورده بود فقط لینک IPM (فیزیک نظری) جون سالم به در برده بود.
کاری هم که کرده بودن Honeypot قرار داده بودن.
یکی از راهکارهایی که به اون اشاره نشده بود ، ایجاد یک Honeypot است. در شبکه های متوسط-کوچک میتونه بسیار مفید باشه:

کد:

http://www.csl.mtu.edu/cs6461/www/Reading/Weiler02.pdf

[alirezakaj]

تازگی که روی شبکه زیرساخت حمله بود و کانکشن با خارج از کشور به مشکل خورده بود فقط لینک IPM (فیزیک نظری) جون سالم به در برده بود.
کاری هم که کرده بودن Honeypot قرار داده بودن.
یکی از راهکارهایی که به اون اشاره نشده بود ، ایجاد یک Honeypot است. در شبکه های متوسط-کوچک میتونه بسیار مفید باشه:

کد:

http://www.csl.mtu.edu/cs6461/www/Reading/Weiler02.pdf

تشکر
آقا من این آموزش ها رو دارم جمع میکنم ایشالا یه راهکار کلی جامع که البته خودم هم تستش میکنم که جواب بده واستون میزارم با همه این آموزش ها
تا آخر این هفته به یه نتیجه جامع میرسم دارم با چندین متخصص صحبت میکنم

- - - Updated - - -

تازگی که روی شبکه زیرساخت حمله بود و کانکشن با خارج از کشور به مشکل خورده بود فقط لینک IPM (فیزیک نظری) جون سالم به در برده بود.
کاری هم که کرده بودن Honeypot قرار داده بودن.
یکی از راهکارهایی که به اون اشاره نشده بود ، ایجاد یک Honeypot است. در شبکه های متوسط-کوچک میتونه بسیار مفید باشه:

کد:

http://www.csl.mtu.edu/cs6461/www/Reading/Weiler02.pdf

داداش یاهو مسنجر داری؟ skype چی؟ یه راه بده این لینوکسم رو میخوام بت بدم
من تو یاهو : alirezakaj