نقل قول نوشته اصلی توسط Farid Saadat نمایش پست ها
سلام،
فرمایش شما برای ایجاد محدودیت هم درسته و هم غلط... اصولا تعریف امنیت رو اگر بخواییم ساده بگیم میشه محدودیت... چندتا مثال بزنم واستون.
پسورد قوی: شما محدودیت ایجاد می کنید برای دسترسی توسط پسورد و پسوردی که قابل حدس و بی ربط باشه... این یک نوع محدودیت.
رمز عبور طولانی: شما به نحوی محدودیت ایجاد می کنید که پسورد مورد استفاده یک حداقل طولی داشته باشه.
ترافیک ارسالی و درخواستی در هر ثانیه: شما مثلا میگید کاربران به طور عادی محدود باشند به مثلا 2 مگابایت/ثانیه دانلود از سایت و 4 مگابایت/ثانبه آپلود روی سایت... این محدودیت هست که باعث امن شدن میشه
مثلا تابعی مثل phpinfo رو می بندید روی سرور: یعنی محدودیت. محدودیت ایجاد می کنید که لیست توابع قابل استفاده و... برای هکر در صورت دسترسی به هاست میسر نباشه ( مثال هست ).
لاگین به یک صفحه رو محدود می کنید به یک استاتیک آی پی و هزاران مثال دیگر...

عموما برای اینکه امنیت بالا بره، محدودیت ایجاد میشه... مثلا اپل رو ببینید، در سیستم عامل iOS چه میزان محدودیت گذاشته و چقدر ایمن شده!

نمیشه محدودیت نذاشت و امنیت هم داشت.
در مورد بزرگی حملات، حملات لایه 3 و 4 توسط برخی سرویس دهنده های داخلی که نمیشه نام برد تا 100 گیگ بر ثانیه قابل هندل کردن هستند. توسط کلودفلر فکر میکنم در تمام لایه ها و در پلن های حرفه ای این عدد به 500 میرسه ( مطمئن نیستم چون خیلی وقته استفاده نمی کنم ازش ). اما اگر حملات شما بیش از این میزان هست که من بعید میدونم، می تونید از سرویسی مثل sucuri استفاده کنید. برای لایه 7 دو راه دارید: 1) ایمن سازی اسکریپت. 2) گذاشتن یک لایه محافظتی پیش از ورود به سایت و ثبت درخواست و...
اما مطمئن باشید اگر پلن های حرفه این دو سایت مذکور ( کلودفلر و سوکوری ) جوابگوی شما نباشند، بنده به شما تضمین میدم کس دیگری نمی تونه مشکل شمارو حل کنه و با حملاتتون مقابله کنه.
در مورد معرفی، واقعیتش بنده تا به حال برای این کار به دنبال کسی نبودم و همیشه خودم در همه مراحل تمام موارد امنیتی رو انجام میدادم و به همین دلیل کسی رو نمیشناسم متاسفانه که بخوام معرفی کنم.
امیدوارم توضحیاتم کمک هرچند اندکی بهتون کرده باشه.

با احترام.



ممنون بابت توضیحاتتون

دوم اینکه درسته امینت یعنی محدودیت..

ولی نه با هرقیمتی...محدودیت باید در حدی باشه که خللی در استفاده سایت و اماکنات سایت پیش نیاد..چون هدف از محدودیت هم همینه..من به طور مثال میتونم خیلی راحت سرور ایران اکسس بگیرم اینجوری امنیت کامل تا حدودی دارم..اما خوب محدودیت بزرگی ایجاد کردم..هدف از محدودیت این نباید باشه به هرقیتیمی امنیت درست بشه..من نیمتونم برا وبسایتتم محدودیت در حدی بزارم که باعث اخلاال در ورود کاربرا عادی بشه

این سرویسها هم هزینه جدا از هاست دارن و خیلی هم گرون هستن..اصلا به صرفه نیست

اینطور مه گفتید امنیت وبسایت هاتون رو خودتون برعهده میگیرید..یه وبسایتتون رو میشه معرفی کنید من اون رو چک کنم؟ ببینم در چه مرحله از امنیت گذشاتین؟

- - - Updated - - -

نقل قول نوشته اصلی توسط ParsWebIT نمایش پست ها
میتونم بپرسم چطوری میخواید تست کنید؟
چون اگه وارد باشین در این مسایل میدونستید از کجا سرویس بگیرید و چطور امن کنید
اگه وارد نیستید چطوری میخواید نمونه سایت بدیم تست کنید؟


و اینکه شدت اتک چقدر هست بر اساس PPS (Packets Per Second) بگین.

و مطمئنید فقط layer 7 هست؟ DNS Amplification یا UDP فلود ندارید؟


دیداس رو http لایه 7 منظوره بنده است.

فرستادن درخوات گت زیاد که باعث دان شدن میشه

خیلی عذر میخوام اما خیلی ابتدایی جواب دادین... یعنی شما که هاست میفروشید و تخصص دارید تو این زمینه این دلیل میشه در تست امنیت وبسایت نیز تخصص داشته باشید؟ اصلا ربطی ندارد..ما اگه تخصص توی تست امنیت سایت داشته باشیم هم دلیل نیست که ابزار جلوگیرشو هم داشته باشیم.....

البته خب راه هایی مثل کلودفلر هست سنترال هاستینگ و راه های دیگه که مد نظر من نیست..حتی اگه جلوگیری کنه محدودیت درست میکنه..اونم بازم جلوگیری نمیکینه

شما وبسایت دارید و تخصصی در اینم وردد ارید بگید من تست کنم