راه مقابله با حملات سنگین 80GB/s دی داس Port Flood +Synflood و عدم عملکرد فایر وال

**wanener** · May 6th, 2013, 15:19

نوشته اصلی توسط pardishosting

سرور برای ماست.
ما هم به عدد 80 خیلی مطمئن نیستیم ولی عین جمله دیتاسنتر هست ، به محض استارت حمله هم ظرف 60 ثانیه ای پی ها بلاک می شند.
تا 1 - 3 G هم خودم روی سرور می بینم. و مطمئن هستم حالا به قول شما 80 مبالغه امیز هست من هم موافقم ، اما 1 - 3 هم UDP flood چیز کمی نیست.
یک نکته دیگه اینکه پورت سرور ما بیشتر از 1 - 3 جواب نمی ده ممکن هست راست گفته باشند . در هر حال از رد استیشن هم پرسیدم اون فایروالی که شما معرفی کردید رو گفتند جوابگو نیست.

با سلام
ببنید وقتی دیتاسنتر اعلام میکنه یک عددی دی داس روی سرور هست
معنیش این نیست که این ترافیک به سرور شما میرسه
چون ظرفیت سویچ این نیست
به عنوان مثال سروری که به یک کور 48 گیگ وصل شده نهایت میتونه 48 گیگابیت در آپلینک فیبر کل سویچ داشته باشه !
حالا از این عدد فقط 1 گیگابیت هست که به سرور شما میرسه اما اگر در گلوگا نبندند در مسر انتقال دیتاسنتر رو دچار مشکلخواهد کرد
ضمنا رد استیشن درست حسابی تشخیص نمیده !
1 گیگابیت فیکس روی سرور ما از سرور دیگر ترافیک دائمی وجود داشت
هیچ عکس العملی نشون ندادند
البته اون ترافیک داخلی بود از روی اینترنت نمی اومد
در رد استیشن هم در بهترین حالت پورت 500 مگابیت ظرفیت اینترنت دارد ! ( بسته به نوع سرور که البته دستیابی به پهنای باند بالاتر هزینه گزافی در این دیتاسنتر دارد )
این اعداد هیچ کدام با هم همخوانی ندارند.

**InterServer.ir** · May 6th, 2013, 15:51

والا منم قبلا سرور از این دیتا سنتر داشتم که ddos شدم گفتند 500000 packet رو سرور من DDos وجود داره و سرور رو 24 ساعت بستند!
بعد از انتقال به دیتا سنتر های دیگه متوجه شدم DDos بیشتر از 50000 packet نبوده!

تو DDOS اونطور که من تجربه دارم iptables یکی از بهترین فایروال های خود سرور جلوی ddos udp port و symflood ! که اونم کانفیگش کار هر کسی نیست ! csf اونطور که کانفیگ میشه عمل نمی کنه خیلی جاها iptables به کانفیگ csf که روش انجام میده عمل نمی کنه !این در مورد فایروال سرور بود شاید کانفیگ درست بتونه مشکلتون رو حل کنه رو iptables کلیه پورت های udp رو مسدود کنید , syn رو هم اینطور !دستوراتش یادم نیست ولی بگردید هست!

در مورد فایروال خارجی نظری ندارم!

حالا این 80 گیگ ddos هم 100 % مبالغه هستش و چنین حجم ddos رو دیتا سنتر اجازه نمیده تا به سرور برسه درجا آیپی سرور رو می بنده! از دیتا سنتر بهتری استفاده کنید مثل yes up که اطلاعات واقعی میدند و کمک می کنند تا جایی که امکان داشته باشه سرورتون ddos نشه ! من به خاطر ddos شدن سرور هام از این دیتا سنتر استفاده می کنم !

**s.w.a.t** · May 6th, 2013, 15:55

نوشته اصلی توسط wanener

با سلام
ببنید وقتی دیتاسنتر اعلام میکنه یک عددی دی داس روی سرور هست
معنیش این نیست که این ترافیک به سرور شما میرسه
چون ظرفیت سویچ این نیست
به عنوان مثال سروری که به یک کور 48 گیگ وصل شده نهایت میتونه 48 گیگابیت در آپلینک فیبر کل سویچ داشته باشه !
حالا از این عدد فقط 1 گیگابیت هست که به سرور شما میرسه اما اگر در گلوگا نبندند در مسر انتقال دیتاسنتر رو دچار مشکلخواهد کرد
ضمنا رد استیشن درست حسابی تشخیص نمیده !
1 گیگابیت فیکس روی سرور ما از سرور دیگر ترافیک دائمی وجود داشت
هیچ عکس العملی نشون ندادند
البته اون ترافیک داخلی بود از روی اینترنت نمی اومد
در رد استیشن هم در بهترین حالت پورت 500 مگابیت ظرفیت اینترنت دارد ! ( بسته به نوع سرور که البته دستیابی به پهنای باند بالاتر هزینه گزافی در این دیتاسنتر دارد )
این اعداد هیچ کدام با هم همخوانی ندارند.

باسلام
در مورد پورت محدودیتی که شما گفتید به فرض اگر گارانتی پورت 200مگابیت باشد.

Redstation -> Internet = 200Mbps with Burst to 1Gbps
Redstation -> Redstation = Unrestricted
Internet -> Redstation = Unrestricted

در مورد تشخیص هم مشاهده شده است که چندین سرور به دلیل داشتن اتک روی سرور و یا ارسال اتک به مدت 48 ساعت مسدود شده اند.

موفق باشید

**s.w.a.t** · May 6th, 2013, 15:59

نوشته اصلی توسط shingo

یه Cisco ASA5510 جلوی سرور بزارید با کانفیگ خودتون یا مدیریت شده توسط دیتاسنتر یک مگابایت هم رد نمیشه.

این فایروال اصلا مناسب کار ایشون نمیباشد. چون فقط 300مگابیت ساپورت میکند. استارتر هم اگر واقعا توان مالی دارند با دیتاسنتر صحبت کنند یادم هست یک بار با مدیر دیتاسنتر صحبت میکردیم رد مورد همین نوع از اتکها خودشون Solution دادند و قیمت Appliance چیزی حدود 40هزار پوند بود!

موفق باشید

**sadegh.nikaein** · May 6th, 2013, 17:33

ما هم چند وقت پیش چنین مشکلی داشتیم البته اگر شبیه به هم باشد ما روی پورت ۵۳ دی ان اس مشکل داشتیم چندین راه کار برای شما دارم اول recursive dns غیر فعال کنید دقت کنید اگر از bind استفاده میکنیم ورژن انرا اعلام کنید تعداد کوری های سرویس دی ان اس را محدود کنید البته در ورژن های بالا بایند ساپورت میشه
دی ان اس اصلی خودتون رو روی سرویس دهنده های به غیر از سرور خودتون انتقال بدید با تعریف چند دی ان اس سرور البته فکر میکنم تعویض ایپی هم داشته باشین خیلی خوب هست و دی ان اس شما از چند ایپی استفاده کنه و...

**sadegh.nikaein** · May 6th, 2013, 17:41

البته تعداد کانکشن هم روی ۵۳ میتوانید محدود کنید با دستور زیر

کد:

iptables -A INPUT -p udp --dport 53 -m connlimit --connlimit-above 20 -j DROP

ipv6 هم disable کنید .

**astro.alireza** · May 6th, 2013, 19:37

نوشته اصلی توسط InterServer.ir

والا منم قبلا سرور از این دیتا سنتر داشتم که ddos شدم گفتند 500000 packet رو سرور من DDos وجود داره و سرور رو 24 ساعت بستند!
بعد از انتقال به دیتا سنتر های دیگه متوجه شدم DDos بیشتر از 50000 packet نبوده!

تو DDOS اونطور که من تجربه دارم iptables یکی از بهترین فایروال های خود سرور جلوی ddos udp port و symflood ! که اونم کانفیگش کار هر کسی نیست ! csf اونطور که کانفیگ میشه عمل نمی کنه خیلی جاها iptables به کانفیگ csf که روش انجام میده عمل نمی کنه !این در مورد فایروال سرور بود شاید کانفیگ درست بتونه مشکلتون رو حل کنه رو iptables کلیه پورت های udp رو مسدود کنید , syn رو هم اینطور !دستوراتش یادم نیست ولی بگردید هست!

در مورد فایروال خارجی نظری ندارم!

حالا این 80 گیگ ddos هم 100 % مبالغه هستش و چنین حجم ddos رو دیتا سنتر اجازه نمیده تا به سرور برسه درجا آیپی سرور رو می بنده! از دیتا سنتر بهتری استفاده کنید مثل yes up که اطلاعات واقعی میدند و کمک می کنند تا جایی که امکان داشته باشه سرورتون ddos نشه ! من به خاطر ddos شدن سرور هام از این دیتا سنتر استفاده می کنم !

دوست عزیز iptables یک نرم افزار فایروال هست و کارش مدیریت بسته های ارسالی و دریافتیه. توی یه حمله ddos کل منابع سخت افزاری سرور صرف پاسخگویی به پکتهایی می شه که به سیستم می رسه و چون حجم درخواست ها بسیار بالاست سیستم دیگه نمی کشه. تنها راهش null route کرده وگرنه به سرور آسیب می رسه.
iptables در برابر ddos مثل یه موج شکن می مونه در برابر سونامی! این چیزایی هم که شما می گید که موثر هست اما نه واسه ddos. این راه حل ها جلوی یه سری flood رو می گیره.

**gupi** · May 18th, 2013, 04:12

سلام دوستان منم چنین مشکلی دارم یه چیزی حدود 100 تا آی پی همزمان به از سرور من دانلود می کنن با سرعت بالا !
bw من رو تمام کردن و سرور سنگین شده !
تا حالا نزدیک به 60 تا آی پی بلاک کردم ولی بازم مشکل هست یه سریشون آی پی نیستند ! اسم دارن و یا بجای نقطه خط تیره دارن و نمیشه بلاکشون کرد اگه میشه یه کمکی به من کنید

توضیحات کامل تر رو در این تایپیک دادم
http://www.webhostingtalk.ir/f55/80388/

با تشکر

موضوع: راه مقابله با حملات سنگین 80GB/s دی داس Port Flood +Synflood و عدم عملکرد فایر وال

ابزارهای موضوع

نحوه نمایش موضوع

پاسخ : راه مقابله با حملات سنگین 80GB/s دی داس Port Flood +Synflood و عدم عملکرد فایر وال

پاسخ : راه مقابله با حملات سنگین 80GB/s دی داس Port Flood +Synflood و عدم عملکرد فایر وال

پاسخ : راه مقابله با حملات سنگین 80GB/s دی داس Port Flood +Synflood و عدم عملکرد فایر وال

پاسخ : راه مقابله با حملات سنگین 80GB/s دی داس Port Flood +Synflood و عدم عملکرد فایر وال

پاسخ : راه مقابله با حملات سنگین 80GB/s دی داس Port Flood +Synflood و عدم عملکرد فایر وال

پاسخ : راه مقابله با حملات سنگین 80GB/s دی داس Port Flood +Synflood و عدم عملکرد فایر وال

تعداد تشکر ها از sadegh.nikaein به دلیل پست مفید

پاسخ : راه مقابله با حملات سنگین 80GB/s دی داس Port Flood +Synflood و عدم عملکرد فایر وال

پاسخ : راه مقابله با حملات سنگین 80GB/s دی داس Port Flood +Synflood و عدم عملکرد فایر وال

اطلاعات موضوع

کاربرانی که در حال مشاهده این موضوع هستند

موضوعات مشابه

تحلیل و معنای واقعی SYNFLOOD در csf رو کی میدونه شرح بده ؟

اجاره سرور اختصاصی کولو شده در آمریکا E31230 v2|Ram 32| Hard 4*2T |Port 1G dedicate | 32ip | 20T BW| remote port

Virtual Server USA (XLHOST Port 100MB) 7900T -- GERMAN (Hetzner Port 1GB) 6500T

درخواست تنظیمات صحیح و بهینه synflood و portflood برای فایروال csf

E8400 - 250GB H.D.D. - 2GB RAM - $79 | E6700 - 80GB Hard - 4TB BW - 1Gbps Connection - $69

مجوز های ارسال و ویرایش