ddos مشکل

[alborzhost]

با سلام

چند روزی هست یک نفر شروع به داس کردن سرور من کرده با این که رو سرور آنتی دیداس نصبه ولی بازم جواب نمیده میخواستم راهنماییم کنید که چطوری جلوشو بگیرم آیا راهی برای فهمیدن آیپی های متصل به سرور هست؟

[Sajad]

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort |
uniq -c | sort -n

ایپی ها و تعداد کانکشن ها رو میگه...

[NovinServer]

پیشنهاد من استفاده از Cisco هست !

[iranihost]

سلام

قبلا تو انجمن بوده
با این دستور ببین کدوم قایل را داره باز میکنه !
tcpdump -n -s 300 -A dst port 80 | grep -o "\(GET\|POST\|[Hh]ost\).*"

اون کاربر را یا ساسپند کن یا اسم قایل را عوض کن

[unkn0wn]

سلام.dos اگه درست حسابی باشه 100 تا سیسکو هم جلوشو نمیگیره.این دوست عزیز هم گفتن که anti dos نصبه ولی جواب نمیده.پس شک نکنید همه ی ip ها fake هستن.اگه نباشن که دیگه مشکل از anti dos نصب شده هست .

[Roka]

با سلام

چند روزی هست یک نفر شروع به داس کردن سرور من کرده با این که رو سرور آنتی دیداس نصبه ولی بازم جواب نمیده میخواستم راهنماییم کنید که چطوری جلوشو بگیرم آیا راهی برای فهمیدن آیپی های متصل به سرور هست؟

بهترین راه کاری هست که آقای iranihost گفتند و هر کاری که انجام بدید برای دی داس های سبک یا بهتره بگم با تعداد آی پی کم هست که این مدل رو دستی هم میشه جلوشو گرفت و شما هر آنتی دی داسی که استفاده کنی فایده ای نداره ( در صورتی که دی داس شدید باشه )

پیشنهاد من استفاده از Cisco هست !

اینم خوبم ولی مشکل اینجاست که اگه دی داس شدید باشه ممکنه حتی باعث خراب شدن سرور هم بشه ( به قول پشتیبانی فنی یکی از دیتاسنتر ها )

کلاً بهترین کار اینه که بفهمی به کجا دارند میزنند و فایل رو رینیم کنی و هر کاری که بکنی فقط باعث فشار روی سرور میشه و ممکنه رم بسوزه یا ....

موفق باشید

[NovinServer]

حق با شماست اما Cisco سخت ابزاری قادر است 23 ایپی در دقیقه مسدود کند که این واقعا از یک آنتی دیداس معمولی بر نمی اید ( تجریه کردم )

با داشتن Cisco شاید مثلا یک سایت زیر دی داس بمانید اما مطمئن باشید به مرور زمان ایپی ها تا اخرین دونه مسدود می شود ! ولی موثر ترین راه این هست که سریع عامل دی داس پیدا کنی حالا یا Rename کنید یا کلا اکانت موقتا Suspend کنید .

[unkn0wn]

ببینید درسته که cisco تقریبا بهترین تجهیزات رو داره ولی مشکل اینجاست که تو یه حمله ی dos درست حسابی تمامی packet ها با ip های fake فرستاده میشن.حالا اگه قرار باشه همه ی این ip ها کلا suspend بشن که دیگه خر بیار باقالی ببر.چون میبینی طرف ip های ایران رو مثلا میذاره تو packet ها.اگه هم قرار باشه به صورت موقت suspend بشن هم که عملا جلوی حملات گرفته نمیشه.البته بهترین کار(البته با داشتن (dos protection) مانیتور کردن سرور هستش.الان بیشترین ضربه هارو از طریق webapp به سرور ها وارد میکنن.اونم به خاطر query های سنگینی که webapp ها به بانک های اطلاعاتی میفرستن.

[alborzhost]

سلام

قبلا تو انجمن بوده
با این دستور ببین کدوم قایل را داره باز میکنه !
Tcpdump -n -s 300 -a dst port 80 | grep -o "\(get\|post\|[hh]ost\).*"

اون کاربر را یا ساسپند کن یا اسم قایل را عوض کن

سلام
منظورتون از تغییر نام فایل چیه؟

[Sajad]

سلام
منظورتون از تغییر نام فایل چیه؟

مثلا دارند index.php رو دیداس میکنند.
شما اسم اون فایل رو به ddos.php ( یا هر چی دلت میخواد) تغییر بده و بعد که اوضاع آروم شد اسم فایل رو به نام اصلیش تغییر بده