آموزش جلوگیری از حملات ddos بر روی APache با استفاده از csf

[iMohsen]

به جای این که سرور رو درگیر بررسی آی پی ها , استفاده از geo برای تشخیص کشور آی پی مبدا و دیگر موارد کنید چرا از blackhole route استفاده نمیکنید ؟ خیلی ساده نتیجه درخواست روت رو میفرسته تو blackhole و ریکوئست حداقل فشار رو برروی سرور اصلی ایجاد میکنه .

با این تنظیمات شما بیشترین میزان مصرف منابع رو در اختیار lfd و chain های مربوط به csf میزارید که در زمان حمله باعث مصرف بیش از حد میشه و عملا خود lfd یا csf باعث کندی میشن .
البته روش دوست عزیزی که گفتن reflect کنیم درخواست ها رو من میپسندم . اما باید توسط یک واسطه انجام بشه . مثلا یک routing os ساده مثل ipcop یا میکروتیک این کارو انجام بده نه سرور اصلی .

به هر حال این روزهای بلاک کردن حملات ddos و حتی بعضا dos های سنگین هزینه های زیادی داره که دلیلش نبود که راهکار مشخص جهت دفع اونهاست .

[zartosht]

به جای این که سرور رو درگیر بررسی آی پی ها , استفاده از geo برای تشخیص کشور آی پی مبدا و دیگر موارد کنید چرا از blackhole route استفاده نمیکنید ؟ خیلی ساده نتیجه درخواست روت رو میفرسته تو blackhole و ریکوئست حداقل فشار رو برروی سرور اصلی ایجاد میکنه .

با این تنظیمات شما بیشترین میزان مصرف منابع رو در اختیار lfd و chain های مربوط به csf میزارید که در زمان حمله باعث مصرف بیش از حد میشه و عملا خود lfd یا csf باعث کندی میشن .
البته روش دوست عزیزی که گفتن reflect کنیم درخواست ها رو من میپسندم . اما باید توسط یک واسطه انجام بشه . مثلا یک routing os ساده مثل ipcop یا میکروتیک این کارو انجام بده نه سرور اصلی .

به هر حال این روزهای بلاک کردن حملات ddos و حتی بعضا dos های سنگین هزینه های زیادی داره که دلیلش نبود که راهکار مشخص جهت دفع اونهاست .

گفتار شما صحیح است ، مدیر سرور با توجه به نوع حمله میتونه از روش های متعددی استفاده کنه و این موضوع بستگی به نوع حمله و شدت آن دارد .

یک نکته این روش مصرف منابع بالای ندارد این روش رو بنده اجرا کردم هیچ افزایش مصرفی چشم گیری که باعث بد تر شده وضعیت شود مشاهده نشد و خیلی ساده از حملات جلوگیری شد

به دلیل تنوع روش های حملات ddos بر روی لایه های مختلف شبکه تنها با یک نرم افزار ساده نمیشه انتظار بالای داشت در پست اول ذکر کرم که این روش تنها بر روی حملات لایه 7شبکه جواب میده که با کمترین امکانات کار میکنه فرضیه بر این است که کاربر تنها 1 سرور مجازی و یا اختصاصی بدون تجهیرات داره و با روش ساده بتواند جلو این نوع از حمله را بگیرد . از این رو در عنوان آموزش گفته شده با استفاده از CSF

[iMohsen]

گفتار شما صحیح است ، مدیر سرور با توجه به نوع حمله میتونه از روش های متعددی استفاده کنه و این موضوع بستگی به نوع حمله و شدت آن دارد .

یک نکته این روش مصرف منابع بالای ندارد این روش رو بنده اجرا کردم هیچ افزایش مصرفی چشم گیری که باعث بد تر شده وضعیت شود مشاهده نشد و خیلی ساده از حملات جلوگیری شد

به دلیل تنوع روش های حملات ddos بر روی لایه های مختلف شبکه تنها با یک نرم افزار ساده نمیشه انتظار بالای داشت در پست اول ذکر کرم که این روش تنها بر روی حملات لایه 7شبکه جواب میده که با کمترین امکانات کار میکنه فرضیه بر این است که کاربر تنها 1 سرور مجازی و یا اختصاصی بدون تجهیرات داره و با روش ساده بتواند جلو این نوع از حمله را بگیرد . از این رو در عنوان آموزش گفته شده با استفاده از CSF

مطمئن هستم که قصد شما از ایجاد این آموزش افزایش قدرت افرادی هست که حداقل یک سرور مجازی در اختیار دارن و ممکنه با این حملات مواجه بشن . افزایش دانش و قدرت باعث پیشرفت خواهد شد حتما .

ولیکن کماکان به این نظر پایبند هستم که csf و به طور کلی فایروال های براساس iptables قدرت مانور و مقابله با حجمه هایی از نو DDoS یا حتی DoS های نیمه سنگین را ندارند . البته این حملات الزاما برروی پورت 80 اعمال نمیشن و میتونه حملات براساس smtp reject یا درخواست برروی پورت های سرویس دهی دیگه ای پیاده بشن .

توصیه میکنم این پست رو مطالعه کنید : The difference between iptables DROP and null-routing. – tummy.com, ltd.