آموزش جلوگیری از حملات ddos بر روی APache با استفاده از csf

[zartosht]

البته این کار یک راه حل موقت و تا حدودی سخت گیرانه است. چون خیلی از مرورگرها و وب سایت ها هستند که با تعدد اتصال به سرور شما دارند کار میکنند اما معناش نیست که در حال اتک به شما می باشند.

مثلا یک کافی نت را فرض کنید که چندین رایانه از یک IP باش وصل هستند یا مراکزی مثل کتابخانه ها و ... خوب با اونها چه میخواهید بکنید؟ آیا اونها هم چون بیش از 20 اتصال دارند مثل مهاجم برخورد می کنید؟

اگر سرور شما کیپ الایو هم روش فعال باشد که اون وقت با توجه به قطع نشدن کانکشن ها برای مدتی تقریبا میشه گفت اکثر کاربران شما قربانی تنظیم غلط فایروال شما میشوند.

همانطور که اکثر دوستان مشرف هستند حملات دیداس خودش انواع مختلف دارد، در حقیقت مقابله خودکار با حملات دیداس حتی از دست گرانقیمت ترین فایروال ها نیز خارج است و فقط حضور یک اپراطور پای سیستم در اون لحظه است که می تواند کار ساز باشد و تلرانس خطای فایروال ها در تشخیص حملات خیلی بیشتر از انتظار است. یا حملات را کشف نمی کنند که بی فاید است یا تعداد قابل توجهی از کاربران را قربانی شناسایی غلط می کنند.

یکی از روش های جدیدی که اتفاقا CSF هم قابلیتش را فراهم کرده است ( البته نه خیلی حرفه ای ) ریدایرکت کردن حملات میباشد. البته در CSF قابلیت ریدایرکت کل درخواست ها وجود دارد. اما به شکل حرفه ای تر، شما میتوانید درصدی عمل کنید و نیمی از کانکشن های هر Ip را به خودش بازگردانید.

به طور مثال چنین شرطی در بین باشد:

اگر تعداد درخواست ها بیش از 20 عدد بود، 10%

اگر بیش از 50 عدد بود 25%

اگر بیش از 100 عدد بود 50%

اگر بیش از 200 عدد بود 70%

خوب در این صورت اگر حملات واقعی باشد که با رفلکت شدن درخواست ها سرور شما لودش بالا نخواهد رفت و فرصت بلاک کردن IP مهاجم را به راحتی دارید که تازه لود خود سرور مهاجم هم با توجه به رفلکت شدن ترافیک خودش روی خودش بالا خواهد رفت.

اگر هم مهاجمی نباشد و تنها کاربر باشد، باز با قعطی دسترسی و اینها روبرو نخواهد شد و فقط شاهد کندی سرعت سایت و البته اینترنت خودش خواهد بود. آن هم به نسبت پیش رویش از حد غیر مجاز مد نظر ما.

این را میتوان نسبتا حرفه ای ترین شیوه مقابله با دیداس معرفی کرد که تفاوتی هم براش نداره مهاجم از چه شیوه ای استفاده کرده باشد یا با چند IP در حال اتک دادن هست.

البته تنظیمات CSF هم اگر خوب انجام شود تا حد قابل توجهی ارتقا دهنده امنیت سرور هست. اما فاصله زیادی با یک کانفیگ امنیتی حرفه ای دارد.

با تشکر از آموزش مفیدتون . اما همانطور که گفتم تنها IP های کشور های متفرقه را باید مسدود کرد . حمله ها از ایران انجام نمیگره به دلیل پاین بودن سرعت اینترنت . همچنین در CSF شما میتوانید با وارد کردن IR

در CC_Allow دسترسی IP های ایران را باز بگزارید تا بتوانید محدودیت هارا بر روی مهاجمین اعمال کنید . در این نوع از حمله DDOS بر روی وب سرور apache با درگیر کردن این سرویس باعث از دسترس خارج شدن سایت های شما میشوند در صورتی که load سرور شما پایین است .

به هر حال به نظر من بستن IP های کشور های چین ، ترکیه ، کره و .... خیلی مهم است . چون این کشور ها کاربران مخرب زیادی داره .