چطور میشه سورس آی پی حمله ddos رو پیدا کرد؟

[unix_magnet]

چطور میشه سورس آی پی خود حمله کننده ddos رو پیدا کرد؟

ممنون

[mizban97]

چطور میشه سورس آی پی خود حمله کننده ddos رو پیدا کرد؟

ممنون

با سلام
اگر به ssh سرورتون دسترسی دارید با دستور زیر میتونید تعداد کانکشن ها یا اتصالات که به سرور وصل هستن پیدا کنید.
طبیعتا رنج آیپی که بیشترین درخواست به سرور ارسال کند عامل دیداس می باشد.

netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

[websazha]

با سلام

چه سیستم عاملی ویندوزی یا لینوکسی.
لینوکسی که همکارمون خدمت شما گفتم.
ویندوزی هم که ابزار زیاد هست :
https://technet.microsoft.com/en-us/...s/tcpview.aspx

[unix_magnet]

با سلام
اگر به ssh سرورتون دسترسی دارید با دستور زیر میتونید تعداد کانکشن ها یا اتصالات که به سرور وصل هستن پیدا کنید.
طبیعتا رنج آیپی که بیشترین درخواست به سرور ارسال کند عامل دیداس می باشد.

منظورم سورس آی پی طرف هست نه اینکه پکت هایی که از یک رنج آی پی می فرسته
البته بابت پاسخون ممنون

[yastheme]

منظورم سورس آی پی طرف هست نه اینکه پکت هایی که از یک رنج آی پی می فرسته
البته بابت پاسخون ممنون

خوب عملا چنین چیزی که مد نظرتون هست امکان پذیر نیست،
اما در یک نوع حمله لایه 7 که به XMLRPC شهرت دارد و اکثرا از طریق سایت های وردپرس قدیمی ارسال می شود می توان آی پی سرور اصلی که به سایت های وردپرسی پکت می فرستد برای حمله به سایت شما را پیدا کرد؛
در این نوع حمله، بات های وردپرسی در user agent آی پی اتکر ( ممکن است از سیستم شخصی یا سرور استفاده شده باشد) را به سایت قربانی ارسال می کند،
در اکسس لاگ شما هزاران لاگ مشابه زیر ثبت می شود:

کد:

192.241.x.x – – [09/Nov/2014:22:50:08 -0800] “GET /index.php HTTP/1.0″ 200 “-” “WordPress/3.9.2; http://www.x.x; verifying pingback from 11.22.33.44

که در اینجا آی پی 11.22.33.44 رایانه اصلی است که قصد حمله به شما را دارد.

[IrIsT]

با سلام و درود.
داخل فروم ieb.ir همکارمون توضیح دادن.
اینجاهم من میگم
نکاه کنید،لاگ ها دقیقا مشخص کننده خسلی چیزاست.از اتک ها و نوع درخواست ها و آیپی و ساعت و تاریخ و ........
همچنین فایروال هایی که استفاده میکنید و آنتی دیداس ها،یک قسمتی دارند برای بستن آیپی.اونجا هم مشخص میشه
همچنین،برای لایه 7 که بهترینش لاگ هاست.اسکریپت هایی هستش که میتونید محدود کنید و اگ درخواست زیادی داشت،آیپی طرف لاگ بشه یا بن بشه از طریق htaccess
بدرود.

[S4L3H1]

تا وقتی که در جای مناسبی قرار نگیری، نمیشه پیداش کرد.
البته اگه اون شخص جوجه باشه خیلی راحت با این روش هایی که گفتن میشه

[IrIsT]

تا وقتی که در جای مناسبی قرار نگیری، نمیشه پیداش کرد.
البته اگه اون شخص جوجه باشه خیلی راحت با این روش هایی که گفتن میشه

اتک های مختلفی داریم
Udp اتک ها ببشتر لاگ نمیندازه البته اونم میشه برای پیدا گردن کارهایی کرد
اما ببشتر سرور و آنتی دیداسش جلوشو میگیره
دیشب دقیقا من دیداس داشتم رو سرور
اونم از سرورهای آمازون و alibaba تو هنگ کنگ که همشون رو تنظسم گردم و راحت آیپی پیدا میشه
البته بالای 200تا آیپی بود.

[unix_magnet]

خوب عملا چنین چیزی که مد نظرتون هست امکان پذیر نیست،
اما در یک نوع حمله لایه 7 که به XMLRPC شهرت دارد و اکثرا از طریق سایت های وردپرس قدیمی ارسال می شود می توان آی پی سرور اصلی که به سایت های وردپرسی پکت می فرستد برای حمله به سایت شما را پیدا کرد؛
در این نوع حمله، بات های وردپرسی در user agent آی پی اتکر ( ممکن است از سیستم شخصی یا سرور استفاده شده باشد) را به سایت قربانی ارسال می کند،
در اکسس لاگ شما هزاران لاگ مشابه زیر ثبت می شود:

کد:

192.241.x.x – – [09/Nov/2014:22:50:08 -0800] “GET /index.php HTTP/1.0″ 200 “-” “WordPress/3.9.2; http://www.x.x; verifying pingback from 11.22.33.44

که در اینجا آی پی 11.22.33.44 رایانه اصلی است که قصد حمله به شما را دارد.

جواب خوبی بود ممنون از شما

برای سناریو های دیگه راه حل های دیگه ای دارید ؟

[IrIsT]

جواب خوبی بود ممنون از شما

برای سناریو های دیگه راه حل های دیگه ای دارید ؟

سلام و درود
این چند روز از این حملات زیاد داشتم.واسه انجنیکس از این استفاده کنید

کد PHP:

server {
...
if ($http_user_agent ~ WordPress) { return 444; }
...
} 


برای آپاچی بهتون میگم.اجازه دین تست کنم رو سرور دیگم