دیداس شدن از طریق udp !!!

[SaMaN0861]

با سلام؛

من یک سرور مجازی دارم با مشخصات زیر :

رم : 3 گیگ
سی پی یو : 4 هسته
هارد : 250 گیگ
سیستم عامل : CentOS 5.8 64Bit
کنترل پنل : cPanel
وب سرور : LiteSpeed

یک هکر عرب به دلیل نامعلوم شروع کرده به حمله کردن به سرور من ، روی سرور LiteSpeed نصب هست و حملات شو پیچوند بعد از یک سایت در یک آن کل سرور ها خوابید !! روتر هم قطع شد رفتم توی VMWare دیدم CPU چسبیده به سقف کلا مغزم هنگ کرد تا دیتاسنتر هتزنر یک اخطاریه آمد و گفت کدوم آی پی داره میزنه پهنای ارسال از طرف آی پی 18MBit بود !!! و نکته جالب اینجاست که از طریق UDP میزنه !! من هر کجا گشتم چیزی پیدا نکردم ، دوستان اگر کسی راهی بلد هست اعلام کنه !!

[avalhost]

اگر CSF نصب هست روی سرور تنظیمات رو مطابق نوشته زیر در بیارید

کد:

PS_INTERVAL: 90
PS_LIMIT: 10
PORTFLOOD: 80;tcp;20;4

و اگر نصب نیست مراحل زیر رو دنبال کنید

==============----------------------------------------==============

مرحله يک : نصب و تنظيم APF فايروال


1-1) اگر شما فايروال نصب نشده روي سرور نداريد مراحل زير رو انجام بديد,
مراحل و دستور العمل ها رو از سایت زیر بگیرید

http://www.webhostgear.com/61.html


1-2) گزینه antidos رو روشن کنید (USE_AD)در conf file در APF

# vi /etc/apf/conf.apf

USE_AD = 1

#########^^^^^ ________________ ^^^^^#########

مرحله دو : نصب و تنظیم mod_evasive (for Apache 1.3x)

mod_evasive and mod_dosevasive are the same

a) Install mod_evasive

# wget http://www.zdziarski.com/projects/mo..._1.10.1.tar.gz
# tar -xzvf mod_evasive_1.10.1.tar.gz
# cd mod_evasive

# /usr/local/apache/bin/apxs -i -a -c mod_evasive.c
# /etc/init.d/httpd restart


2-1) همچنین خط زیر رو در conf file آپاچ قرار بدید

# vi /usr/local/apache/conf/httpd.conf

-------------------------------------------------
<IfModule mod_evasive.c>
DOSHashTableSize 3097
DOSPageCount 2
DOSSiteCount 50
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 10
</IfModule>
-------------------------------------------------

2-2) وب سرور رو ریسیت کنید

# /etc/init.d/httpd restart

#########^^^^^ ________________ ^^^^^#########

مرحله 3 : نصب mod_security

معمولا میتونیم این ماژول رو در WHM پیدا کنیم
WHM >> cPanel >> Addon Modules >> Select "modsecurity " >>save


#########^^^^^ ________________ ^^^^^#########

مرحله چهار : Blocking IPs

4-1) یافتن آی پی هایی که ازتباط با سرور دارن

(دستور زیر یکی از بهترین ها برای گرفتن آی پی هست, آی پی ها رو بر اساس شماره اتصالشون مرتب میکنه

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n


4-2) مسدود کردنشون با IPTABLES

# iptables -I INPUT -s 218.92.207.28 -j DROP
# service iptables save
# service iptables restart


4-3) iهمچنین مسدود کردن در APF

# vi /etc/apf/deny_hosts.rules
<Add the IPs at the end>

# service apf restart


#########^^^^^ ________________ ^^^^^#########


مرحله پنج : بهینه سازی فایل httpd.conf

# vi /usr/local/apache/conf/httpd.conf

تغییر گزینه ها بصورت زیر, مقادیر اصلی در پرانتز نشون داده شده

MaxKeepAliveRequests 50 (100)
KeepAliveTimeout 60 (30)


با توجه به وضعیتتون گزینه های زیر رو ویرایش کنید, .

Timeout
KeepAliv
MinSpareServers
MaxSpareServers
MaxClients


#########^^^^^ ________________ ^^^^^#########


مرحله شش : نصب و تنظیم 3rd party DDOS

همچنین میتونید از مطمئن ترین 3rd party اسکریپت 'DDoS-Deflate' برای جلوگیری از جمله DDos بطور موثر استفاده کنید.
مراحل نصب اسکریپت به شرح زیر هستش.

# wget http://www.inetbase.com/scripts/ddos/install.sh
# sh install.sh

Add the script '/usr/local/ddos/ddos.sh' to cron as follows

# crontab -e

*/5 * * * * /usr/local/ddos/ddos.sh >/dev/null 2>&1


#########^^^^^ ________________ ^^^^^#########


مرحله هفت : مسدود کردن وب سایتها

پهنای باند تمامی دامنه ها رو چک کنید و موارد مصرف شده بالا رو تا مدت زمانی ببندید


http://forums.cpanel.net/f34/first-a...0-a-66952.html
==============----------------------------------------==============

متن بالا ترجمه شده بود و لینک اصلی در آخر نوشته هست.

[SaMaN0861]

اگر csf نصب هست روی سرور تنظیمات رو مطابق نوشته زیر در بیارید

کد:

ps_interval: 90
ps_limit: 10
portflood: 80;tcp;20;4

و اگر نصب نیست مراحل زیر رو دنبال کنید

==============----------------------------------------==============

مرحله يک : نصب و تنظيم apf فايروال


1-1) اگر شما فايروال نصب نشده روي سرور نداريد مراحل زير رو انجام بديد,
مراحل و دستور العمل ها رو از سایت زیر بگیرید

How to install APF (Advanced Policy Firewall)


1-2) گزینه antidos رو روشن کنید (use_ad)در conf file در apf

# vi /etc/apf/conf.apf

use_ad = 1

#########^^^^^ ________________ ^^^^^#########

مرحله دو : نصب و تنظیم mod_evasive (for apache 1.3x)

mod_evasive and mod_dosevasive are the same

a) install mod_evasive

# wget http://www.zdziarski.com/projects/mo..._1.10.1.tar.gz
# tar -xzvf mod_evasive_1.10.1.tar.gz
# cd mod_evasive

# /usr/local/apache/bin/apxs -i -a -c mod_evasive.c
# /etc/init.d/httpd restart


2-1) همچنین خط زیر رو در conf file آپاچ قرار بدید

# vi /usr/local/apache/conf/httpd.conf

-------------------------------------------------
<ifmodule mod_evasive.c>
doshashtablesize 3097
dospagecount 2
dossitecount 50
dospageinterval 1
dossiteinterval 1
dosblockingperiod 10
</ifmodule>
-------------------------------------------------

2-2) وب سرور رو ریسیت کنید

# /etc/init.d/httpd restart

#########^^^^^ ________________ ^^^^^#########

مرحله 3 : نصب mod_security

معمولا میتونیم این ماژول رو در whm پیدا کنیم
whm >> cpanel >> addon modules >> select "modsecurity " >>save


#########^^^^^ ________________ ^^^^^#########

مرحله چهار : Blocking ips

4-1) یافتن آی پی هایی که ازتباط با سرور دارن

(دستور زیر یکی از بهترین ها برای گرفتن آی پی هست, آی پی ها رو بر اساس شماره اتصالشون مرتب میکنه

netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n


4-2) مسدود کردنشون با iptables

# iptables -i input -s 218.92.207.28 -j drop
# service iptables save
# service iptables restart


4-3) iهمچنین مسدود کردن در apf

# vi /etc/apf/deny_hosts.rules
<add the ips at the end>

# service apf restart


#########^^^^^ ________________ ^^^^^#########


مرحله پنج : بهینه سازی فایل httpd.conf

# vi /usr/local/apache/conf/httpd.conf

تغییر گزینه ها بصورت زیر, مقادیر اصلی در پرانتز نشون داده شده

maxkeepaliverequests 50 (100)
keepalivetimeout 60 (30)


با توجه به وضعیتتون گزینه های زیر رو ویرایش کنید, .

Timeout
keepaliv
minspareservers
maxspareservers
maxclients


#########^^^^^ ________________ ^^^^^#########


مرحله شش : نصب و تنظیم 3rd party ddos

همچنین میتونید از مطمئن ترین 3rd party اسکریپت 'ddos-deflate' برای جلوگیری از جمله ddos بطور موثر استفاده کنید.
مراحل نصب اسکریپت به شرح زیر هستش.

# wget http://www.inetbase.com/scripts/ddos/install.sh
# sh install.sh

add the script '/usr/local/ddos/ddos.sh' to cron as follows

# crontab -e

*/5 * * * * /usr/local/ddos/ddos.sh >/dev/null 2>&1


#########^^^^^ ________________ ^^^^^#########


مرحله هفت : مسدود کردن وب سایتها

پهنای باند تمامی دامنه ها رو چک کنید و موارد مصرف شده بالا رو تا مدت زمانی ببندید


First aid for DDOS attack on port 80
==============----------------------------------------==============

متن بالا ترجمه شده بود و لینک اصلی در آخر نوشته هست.

داداش اینایی که شما گفتی واسه tcp هست نه udp !!! این طرف داره از udp میزنه هیچ کاری نمیشه کرد !!!!

[avalhost]

اونی که اول در مورد csf گفتم شامل udp میشه

قسمت دوم هم بصورت کلی گفتم اگر توجه بنمایید (متن بالا ترجمه شده بود)

[rpserver]

روی روتر ، خیلی راحت Drop کن پکت های دریافتی از دوست عزیزمونو

[SaMaN0861]

روی روتر ، خیلی راحت Drop کن پکت های دریافتی از دوست عزیزمونو

روتر اصلا بالا نمیاد کلا قطع میشه !!!

[Hostpolis]

اگر چند تا آی پی دارید از دیتاسنتر بخواید که آی پی تحت DDOS رو Null Route کنند. با یک آی پی دیگه CSF نصب کنید. وقتی آی پی null route میشه flooder ها از کار می افتند.

[SaMaN0861]

اگر چند تا آی پی دارید از دیتاسنتر بخواید که آی پی تحت DDOS رو Null Route کنند. با یک آی پی دیگه CSF نصب کنید. وقتی آی پی null route میشه flooder ها از کار می افتند.

میشه بیشتر توضیح بدید ؟؟

[avalhost]

اگر چند تا آی پی دارید از دیتاسنتر بخواید که آی پی تحت DDOS رو Null Route کنند. با یک آی پی دیگه CSF نصب کنید. وقتی آی پی null route میشه flooder ها از کار می افتند.

این هم یکی از روش های مقابله با DDos هست چندوقت پیش یه جایی خوندم.

کد:

Server:~$ sudo ip route add blackhole 192.168.0.0/16 
Server:~$ ping 192.168.0.1
PING 192.168.0.1 (192.168.0.1) 56(84) bytes of data.
64 bytes from 192.168.0.1: icmp_req=1 ttl=64 time=0.238 ms
64 bytes from 192.168.0.1: icmp_req=2 ttl=64 time=0.180 ms
<...>
Server@challenger:~$ ping 192.168.1.1

connect: Network is unreachable

[Hostpolis]

در روتر بالایی شما وقتی آی پی شما blackhole بشه هر packet که در routing table مربوط به اون IP باشه drop میشه و عملا آی پی شما از کار میوفته. استاندارد این کار برای 24 ساعت هست.

آی پی شما که از کار افتاد حمله قطع میشه. و شما میتونید تنظیماتتون رو انجام بدید. این کار وقتی خوب هست که آی پی تحت حمله مربوط به یک سایت که redundant نیست نباشه وگرنه سایتتون هم تا 24 ساعت از دسترس خارج میشه.

اگر سایت مهم دارید یک فایروال ASA5505 تهیه کنید و شاید بیشتر از 500 دلار هم نشه.