چطور میشه سورس آی پی حمله ddos رو پیدا کرد؟

[unix_magnet]

(از همه عزیزانی که منت سر بنده می زارن و جواب می دن سپاسگذارم چون هیچ شخصی بالاجبار در این تاپیک نیست و همه محبت شما عزیزان هست )
از غیرتی و عصبانیت شما سپاسگذارم
گاهی وقت ها عصبانیت ها و غیرت ها می تونن مشکلات عدیده ای رو حل کنن خشونت جزوی از حل مشکلات شبکه هست
مشکلات گاهی مواقع عومی هست و حل اون می تونه به بسیاری کمک شایانی بکنه

بنده به جاهای خوبی رسیدم از ریل کردن ای پی ها در nginx مثلا چهار ای پی 1.1.1.1 و 2 و 3 و 4 حمله می کنن اما ای پی پنهان 4.4.4.4 هست
ریل کردن پکت ها می تونه ای پی های واقعی رو هم بلوک کنه
بنا به فایروالی که در قول و زنجیر کردم به لاگ اخر توجه کنید که نصف پکت ها الان دارن بلاک میشن
من توی فایروال :

منهای 3 کشور بقیه کشورها رو بلاک کردم
رنج ای پی های مشکل ساز رو مسدود کردم
پکت های ناخواسته رو بستم ( انواع کانفیگ بر روی پکت ها )
ای پی ها رو ریل کردم
انواع پورت های مشکل ساز برای پکت های بالا رو بستم ( مثل بیش از 3 پکت تا رنج 65535 )
dns رو به dns های cloudflare تغییر دادم
کش سرور رو به nginx و محدویت کش رو برای بار کمتر تغییر دادم
ووووو


دارم تست می کنم ببینم ای پی هدف رو می تونم شناسایی کنم یا نه
باید دید این شانس رو می تونیم داشته باشیم که به موفقیت برسیم یا نه هر چند طی مسیر خودش خوب /. پر حرفی نمی کنم

---

به نظر می رسه دیتابیس زیر حمله هست
سه دلیل دارم :
وقتی دیتابیس اف میشه لود سرور به حالت اول برمیگرده
دوم اینکه سایت های استاتیک بدون دیتابیس مشکلی ندارن
سوم اینکه دیداس بر روی دو سایت مشخص داره انجام میه ( لاگ tcpdump )
البته cpu و کانفیگ mysql به کرات بررسی شدن . / (دیتا سنتر هم به دلیل overflow شدن بافر به دلیل پکت های بسیار زیاد با بنده احساس همدردی کردن ! )
اگر لاگ دستوری مد نظرتون بود بگید براتون بزارم

نمونه لاگ خدمت شما :
در نمونه لاگی که می زارم خدمتتون همین امروز باهاش مواجه شدم : دو تا چیز جدید دارم میبینم
اول اینکه تعداد پکت ها رو نمی نویسه
دوم اینکه جلوی بعضی آی پی ها خالی هست ! یعنی هیچ آی پی نشون داده نمیشه یعنی لاگ آی پی رو نمی ندازه به مورد ما قبل پایانی در لاگ اول توجه کنید

کد:

      1 162.158.92.211
      1 92.122.122.156
      3 37.98.83.187
      5
     20 0.0.0.0

کد:

      1 CLOSE_WAIT
      1 established)
      1 Foreign
      6 ESTABLISHED
     21 LISTEN

کد:

100 packets captured
821 packets received by filter
704 packets dropped by kernel

همونظور که میبینید تعداد پکت ها کاهش قابل ملاحظه ای داشتن
از چند حالت خارج نیست
یا دی داسر از دیداس دست کشیده
یا اینکه کانفیگ ها دارن ***** اعمال می کنن و تعداد درخواست ها از حدود 4000 رسیده به 10 درخواست

اگر به چیز دیگه ای رسیدم و یا رسیدید اینجا بزارید تا تاپیک بره جلو
بازم ممنون از توجهتون