Confronting With DDOS - جلوگیری از حملات

[M-Soltani.ir]

درود به همه دوستان عزیز در این پست میخوام راجب Confronting With DDOS یعنی مقابله با حملات DDOS شرح بدم:

یکی از راه های مفید و آسان پیدا کردن آی پی هست که تعداد اتصالاتش (منظور همون connection هست) به سرور از حالت عادی بیشتر باشه . برای این کار کافیه از دستور زیر استفاده کنیم تا IP های که به سرور متصل هستند رو پیدا کنیم

netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

و با دستور زیر می تونیم تعداد اتصالات به سرور را مشخص کنیم :

netstat -n | grep :80 |wc -l

اگر این تعداد بیش از حد معمول بود شما باید به حمله شک کنید و آی پی مورد نظر رو از دستور اول پیدا کنید. حال که آیپی رو پیدا کردیم به راحتی می توانیم در Iptable یا فایروال خودتون قرار بدین و از این طریق دسترسی اون آی پی رو به سرور ببندین و باعث جلوگیری از حمله DDos اون فرد بشین...

فرمان های بستن یک آی پی به وسیله آی پی تیبل :

iptables -A INPUT 1 -s IPADRESS -j DROP/REJECT

service iptables restart

service iptables save

به جای IPADRESS آی پی مورد نظر رو وارد میکنین.

سپس تمامی اتصالات به آپاچی رو Kill میکنین و آپاچی رو رستارت می کنین

killall -KILL httpd

service httpd startssl

یه راه دیگه هم هستش...
البته این ماژول که روی اپاچی نصب میشه ۱۰۰ درصد کافی نیست و البته در بعضی مواقع باعث از کار افتادن front page روی سرور میشه .
این ماژول که روی apache نصب میشه از ارسال تعداد زیاد request های ناخواسته به webserver جلوگیری می کنه . این تنظیماتی که من اینجا نوشتم از حملات DOS برای 10 دقیقه برای هر ip جلوگیری می کنه توجه داشته باشید وارد کردن عدد بالا به جای این 10 دقیقه ممکنه باعث بشه بعضی از کاربران هم واقعا attacker نیستند جلوشون گرفته بشه .
اگر نسخه Apache 1.3.x دارید :

command-----
cd /usr/local/src
wget http://www.zdziarski.com/projects/mo..._1.10.1.tar.gz
tar -zxf mod_evasive_1.10.1.tar.gz
cd mod_evasive
/usr/local/apache/bin/apxs -cia mod_evasive.c
-----command-----

اگر نسخه ی Apache 2.0.x دارید:

-----command-----
up2date -i httpd-devel
cd /usr/local/src
wget http://www.zdziarski.com/projects/mo..._1.10.1.tar.gz
tar -zxf mod_evasive_1.10.1.tar.gz
cd mod_evasive
/usr/sbin/apxs -cia mod_evasive20.c
-----command-----

حالا باید این ماژول رو در تنظمیات apache تون اضافه کنید و تنظیمات لازمش رو انجام بدید : (برای apache 1.3.x )

DOSHashTableSize 3097
DOSPageCount 5
DOSSiteCount 100
DOSPageInterval 2
DOSSiteInterval 2
DOSBlockingPeriod 600

از نوشته هاش کاملا مشخصه که هر parametr برای چی استفاده شده.
تنضیمات httpd.conf برای نسخه ی apache 2.0.x (توجه داشته باشید نسخه رو درست انتخاب کنید)

DOSHashTableSize 3097
DOSPageCount 5
DOSSiteCount 100
DOSPageInterval 2
DOSSiteInterval 2
DOSBlockingPeriod 10
DOSBlockingPeriod 600

بعد از وارد کردن تنظیمات فوق فایل httpd.conf رو ذخیره کنید و وب سرور رو با دستور service httpd restart ری استارت کنید .
* اگر خواستید که هر وقت یک ip بسته میشه برای شما alert میل کنه این خط رو به تنظیمات فوق اضافه می کنید : DOSEmailNotify root که به جای root می تونید ادرس ایمیلتون رو وارد کنید .
قابل ذکرکه این ماژول از طریق /usr/bin میل میزنه حالا اگر دستور میل شما جای دیگه هست باید یه sybmlink برای اونجا بسازیر که ایمیل ها به دستتون برسه .

موفق باشید بدرود !

منبع : devilztm.com/forums
نویسنده : یوزر S99

[shafiei7]

بسیار مفید و کاربردی

[Final Hoster]

عالي بود

[Mostafa]

آقا واقعا دستتون درد نکنه!
فکر کنم این روش رو تست کردید و جواب داده ! آیا شما طی مشکلی که چند روز قبل داشتید از همین روش برای خنثی نمودن استفاده کردید ؟

[M-Soltani.ir]

فـعـلـا کــه مـشـکـل حـــل شــده

[TukaNet]

خیلی وقت بود آموزش خوبی نداشتیم توی wht
دستت درد نکنه

[msnasiri]

کسی هم طبق این اموزش نصب کرده؟

چون اصلاً لینک خرابه!!!

منم یادم می اد اولا ازش استفاده می کردم یادمه درست بهم جواب نداد و رفتم سراغ بقیه

[AfraWeb.net]

خوب این دستورات در حالتی کاربردی هستند که سرور شما بالا باشد و اگر حملات از نوع بوت نت باشد شما بعد از چند ثانیه بر روی سرور مجازی امکان دسترسی به سرور را از دست میدید .
ولی مطمعنا مطالب اموزشی خوبی هست که مدت ها هست فقط حاشیه و مسائل انتقاد و اینطور مسائل در فروم حکم فرما هست و جای مطالب اموزشی بسیار خالی هست

[M-Soltani.ir]

منبع درست : hackerz.ir خدا بیامرز بدون کم یا زیاد شدن حتی یک کلمه :-)

این کار جلوی حملات خیلی ضعیف را میگیرد و جلوی یک حمله واقعی را نمیگیره
برای اطلاعات بیشتر درباره گروهای مافیایی! مانند RBN تحقیق کنید

من از D3v1lz Tm کپی زدم ، از اونجایی که منبع ننوشته بودند فکر کردم نویسنده خودشون هستند

[Reza.exe]

وقتی یه بوتر میاد
مثل گوگل بوت
تعداد کانکشن هاش بالاست بعدا با این ایپی گوگل بن می شه