چطور میشه سورس آی پی حمله ddos رو پیدا کرد؟

[unix_magnet]

با سلام
اگر به ssh سرورتون دسترسی دارید با دستور زیر میتونید تعداد کانکشن ها یا اتصالات که به سرور وصل هستن پیدا کنید.
طبیعتا رنج آیپی که بیشترین درخواست به سرور ارسال کند عامل دیداس می باشد.

منظورم سورس آی پی طرف هست نه اینکه پکت هایی که از یک رنج آی پی می فرسته
البته بابت پاسخون ممنون

[yastheme]

منظورم سورس آی پی طرف هست نه اینکه پکت هایی که از یک رنج آی پی می فرسته
البته بابت پاسخون ممنون

خوب عملا چنین چیزی که مد نظرتون هست امکان پذیر نیست،
اما در یک نوع حمله لایه 7 که به XMLRPC شهرت دارد و اکثرا از طریق سایت های وردپرس قدیمی ارسال می شود می توان آی پی سرور اصلی که به سایت های وردپرسی پکت می فرستد برای حمله به سایت شما را پیدا کرد؛
در این نوع حمله، بات های وردپرسی در user agent آی پی اتکر ( ممکن است از سیستم شخصی یا سرور استفاده شده باشد) را به سایت قربانی ارسال می کند،
در اکسس لاگ شما هزاران لاگ مشابه زیر ثبت می شود:

کد:

192.241.x.x – – [09/Nov/2014:22:50:08 -0800] “GET /index.php HTTP/1.0″ 200 “-” “WordPress/3.9.2; http://www.x.x; verifying pingback from 11.22.33.44

که در اینجا آی پی 11.22.33.44 رایانه اصلی است که قصد حمله به شما را دارد.

[unix_magnet]

خوب عملا چنین چیزی که مد نظرتون هست امکان پذیر نیست،
اما در یک نوع حمله لایه 7 که به XMLRPC شهرت دارد و اکثرا از طریق سایت های وردپرس قدیمی ارسال می شود می توان آی پی سرور اصلی که به سایت های وردپرسی پکت می فرستد برای حمله به سایت شما را پیدا کرد؛
در این نوع حمله، بات های وردپرسی در user agent آی پی اتکر ( ممکن است از سیستم شخصی یا سرور استفاده شده باشد) را به سایت قربانی ارسال می کند،
در اکسس لاگ شما هزاران لاگ مشابه زیر ثبت می شود:

کد:

192.241.x.x – – [09/Nov/2014:22:50:08 -0800] “GET /index.php HTTP/1.0″ 200 “-” “WordPress/3.9.2; http://www.x.x; verifying pingback from 11.22.33.44

که در اینجا آی پی 11.22.33.44 رایانه اصلی است که قصد حمله به شما را دارد.

جواب خوبی بود ممنون از شما

برای سناریو های دیگه راه حل های دیگه ای دارید ؟

[IrIsT]

جواب خوبی بود ممنون از شما

برای سناریو های دیگه راه حل های دیگه ای دارید ؟

سلام و درود
این چند روز از این حملات زیاد داشتم.واسه انجنیکس از این استفاده کنید

کد PHP:

server {
...
if ($http_user_agent ~ WordPress) { return 444; }
...
} 


برای آپاچی بهتون میگم.اجازه دین تست کنم رو سرور دیگم

[novinvps.com]

سلام و درود
این چند روز از این حملات زیاد داشتم.واسه انجنیکس از این استفاده کنید

کد PHP:

server {
...
if ($http_user_agent ~ WordPress) { return 444; }
...
} 


برای آپاچی بهتون میگم.اجازه دین تست کنم رو سرور دیگم

سلام
فقط

user agent وردپرس تحت تاثیر قرار میدهد اتکر می تواند user agent خود را تغییر دهد.

[IrIsT]

سلام
فقط

user agent وردپرس تحت تاثیر قرار میدهد اتکر می تواند user agent خود را تغییر دهد.

این برای حمله چند ایپی هستش که من خودم داشتم
دقیقا حملات به صورتیه که از شمت یک سیستم وردپرس و آسیب پذیری اون انجام میشه

شما میتونید useragent رو تغییر دهید.به لاگ ها نگاه کنید میفهمید
امروز تست واسه اماچی میرم.چندتا راه حل داره.اما میخوام بهترینشو واستون بذارم.درست بود میگم
چون خودم از سرورهای آمازون و علی بابا و کشورهای آمریکا و هنگ کنگ و ژاپن و کانادا حمله دارم.چون سرعتاشونم خیلی بالاست
میشه آیپی بلاک کرد.ولی بهتره راه حل بریم
بددود

[unix_magnet]

(از همه عزیزانی که منت سر بنده می زارن و جواب می دن سپاسگذارم چون هیچ شخصی بالاجبار در این تاپیک نیست و همه محبت شما عزیزان هست )
از غیرتی و عصبانیت شما سپاسگذارم
گاهی وقت ها عصبانیت ها و غیرت ها می تونن مشکلات عدیده ای رو حل کنن خشونت جزوی از حل مشکلات شبکه هست
مشکلات گاهی مواقع عومی هست و حل اون می تونه به بسیاری کمک شایانی بکنه

بنده به جاهای خوبی رسیدم از ریل کردن ای پی ها در nginx مثلا چهار ای پی 1.1.1.1 و 2 و 3 و 4 حمله می کنن اما ای پی پنهان 4.4.4.4 هست
ریل کردن پکت ها می تونه ای پی های واقعی رو هم بلوک کنه
بنا به فایروالی که در قول و زنجیر کردم به لاگ اخر توجه کنید که نصف پکت ها الان دارن بلاک میشن
من توی فایروال :

منهای 3 کشور بقیه کشورها رو بلاک کردم
رنج ای پی های مشکل ساز رو مسدود کردم
پکت های ناخواسته رو بستم ( انواع کانفیگ بر روی پکت ها )
ای پی ها رو ریل کردم
انواع پورت های مشکل ساز برای پکت های بالا رو بستم ( مثل بیش از 3 پکت تا رنج 65535 )
dns رو به dns های cloudflare تغییر دادم
کش سرور رو به nginx و محدویت کش رو برای بار کمتر تغییر دادم
ووووو


دارم تست می کنم ببینم ای پی هدف رو می تونم شناسایی کنم یا نه
باید دید این شانس رو می تونیم داشته باشیم که به موفقیت برسیم یا نه هر چند طی مسیر خودش خوب /. پر حرفی نمی کنم

---

به نظر می رسه دیتابیس زیر حمله هست
سه دلیل دارم :
وقتی دیتابیس اف میشه لود سرور به حالت اول برمیگرده
دوم اینکه سایت های استاتیک بدون دیتابیس مشکلی ندارن
سوم اینکه دیداس بر روی دو سایت مشخص داره انجام میه ( لاگ tcpdump )
البته cpu و کانفیگ mysql به کرات بررسی شدن . / (دیتا سنتر هم به دلیل overflow شدن بافر به دلیل پکت های بسیار زیاد با بنده احساس همدردی کردن ! )
اگر لاگ دستوری مد نظرتون بود بگید براتون بزارم

نمونه لاگ خدمت شما :
در نمونه لاگی که می زارم خدمتتون همین امروز باهاش مواجه شدم : دو تا چیز جدید دارم میبینم
اول اینکه تعداد پکت ها رو نمی نویسه
دوم اینکه جلوی بعضی آی پی ها خالی هست ! یعنی هیچ آی پی نشون داده نمیشه یعنی لاگ آی پی رو نمی ندازه به مورد ما قبل پایانی در لاگ اول توجه کنید

کد:

      1 162.158.92.211
      1 92.122.122.156
      3 37.98.83.187
      5
     20 0.0.0.0

کد:

      1 CLOSE_WAIT
      1 established)
      1 Foreign
      6 ESTABLISHED
     21 LISTEN

کد:

100 packets captured
821 packets received by filter
704 packets dropped by kernel

همونظور که میبینید تعداد پکت ها کاهش قابل ملاحظه ای داشتن
از چند حالت خارج نیست
یا دی داسر از دیداس دست کشیده
یا اینکه کانفیگ ها دارن ***** اعمال می کنن و تعداد درخواست ها از حدود 4000 رسیده به 10 درخواست

اگر به چیز دیگه ای رسیدم و یا رسیدید اینجا بزارید تا تاپیک بره جلو
بازم ممنون از توجهتون

[yastheme]

سلام
فقط

user agent وردپرس تحت تاثیر قرار میدهد اتکر می تواند user agent خود را تغییر دهد.

در حملات XMLRPC که حجم وسیعی از حملات لایه 7 این روزها را تشکیل می دهد User agent قابل تغییر نیست.
این روش که دوستمون گفتن جلوی حملات متوسط لایه 7 XMLRPC را میگیرد ولی گاهی اوقات ممکن است حملات به حد وسیعی باشد که منجر به هنگ کردن Nginx شود ؛ نیاز به کانفیگ مناسب دارد؛ در هر صورت User agent این نوع حملات قابل تغییر توسط اتکر نیست، حتی آی پی سرور اصلی اتکر نیز در Useragent لاگ می شود ( این آی پی با آی پی بات نتی که به شما رکوئست ارسال می کند متفاوت است).
البته نا گفته نماند در این روش پینگ بک وردپرس هم کامل در سرور بسته می شود و این قابلیت در سایت های وردپرسی روی این سرور دیگر قابل استفاده نیست.