نحوه تشخیص DDos
سلام وقت بخیر
مدتی هست اتک های سبک و سنگینی در سرور لینوکس میزبانی اشتراکی مان دریافت میکنیم.
از کمیت و کیفیت اتک با خبریم٬ اما میخواهیم بدانیم این اتک به سمت چه دامنه ای در حال انجام است.
سیستم عامل لینوکس centos - 6 -64 بیت
نکته: نیاز ما مشاهده وضعیت شبکه نمیباشد. میخواهیم بدانیم این ترافیک در وب سرور برای چه دامنه ای ارسال میشود.
ای پی های مربوطه را در مسیر وب سرور - دامین لاگ Grep کرده ایم اما به نتیجه ای دست نیافتیم.
رنج ip ها به دلیل گستردگی فراوان امکان انسداد ندارند چرا که هر ip تنها کمتر از ۱۰ ثانیه استفاده میشود و پس از آن دیگر ان ای پی استفاده نمیشود(احتمالا بات نت)
7 پاسخ
راه کارهای متفرقه زیاد هست ولی هیچکدومشون منطقی نیستند و انجامشون ممکنه برای شما ریسک داشته باشه...
حملات D0S همونطور که میدوندی حملاتی هستندکه با استفاده از ترافیک مجاز ولی در بُعد زیاد پهنای باند شما رو میگیرن.
برای جلوگیری از اونها دو حالت داره:
یا باید اون ها رو شناسایی کنید که این کار رو فقط IPS میتونه انجام بده و یا اینکه مشخصات سرور رو تغییر بدید که اینهم موقتیه.
مثلا این که IP سرورتون رو تغییر بدید که علاوه بر این که کلی ریسک داره و شما رو به دردسر میندازه، ممکنه down time هم براتون داشته باشه و منطقی هم نیست.
ips های نرم افزاری مثل SNORT هم وجود دارند که میتونید از اونها استفاده کنید. ولی بهر حال باید بدونید که ips ها هم در سطوح مختلف ارائه میشن و هرکدومشون تا حدی توانایی داره.
باسلام :
ضمن تایید صحبت های احسان عزیز چند تا نکته هست که باید بهتون گوش زد کنم
1) نسخه 6 این سیستم عامل توسط خود سایتش هم توصیه شده که دیگه به کارگیری نشه ، چون بسیاری از آسیب پذیری های مرسوم روش براحتی قابل اجراست. (lمثال Ghost، ShellShockو ...)
2) اینکه میشه جلوی یکسری حملات DOS و DDOS را روی خود میزبان از طریق IPTable گرفت که دستورات تعریفی و نقش هاش توی اینترنت به راحتی پیدا میشه
3) حتما سیستم تشخیص نفوذ را باید در حالت IPS استفاده کنی که بتونه تاثیر بذاره
دوست عزیز حملات سبک و سنگین DoS روی هر وب سروری وجود داره. و مسئله غیرطبیعی ای نیست. اینکه مقصد حملات رو بخواید بدونید یا باید بتونید لاگ های موجود رو درست تحلیل کنید و یا اون که ترافیک ورودی به سرور لینوکسی رو شنود کنید و از تحلیل ترافیک، مقصد حملات رو مشخص کنید.
البته این نکته رو بگم که به علت این که اکثر این حملات کور هستند، میشه گفت که روی تمام دامنه هایی که شما دارید باید این نوع حملات وجود داشته باشه.
تنها راه جلوگیری از حملات DoS، استفاده از IDPS هستش و WAF هستش. که قاعدتا باید هاستینگ مورد نظر شما این امکانات رو داشته باشه.
بنابراین غیر از فایروال سخت افزاری راهکاری ندارید؟
دوست عزیز تنها را جلوگیری از چنین حملاتی استفاده IPS در ساختار شبکه تون هستش. هر راه حل دیگه ای بجز این موقتی هستش و کارایی و منطق نداره. در ضمن اینکه شما در ساختار مجموعه تون سرور log management ندارید، باعث میشه تا درچنین مواردی، برای پیگیری لاگ ها به مشکل بخورید.
حتما از هاستینگی استفاده کنید که حداقل این امکانات رو داشته باشه.
ضمن تشکر از پاسخ تان
۱- مدیر سرور خودمان هستیم
۲- اتک بر روی پورت 80 وجود دارد و با iptables امکان محدود سازی خاصی وجود ندارد مگر لیمیت کانکشن به ۱۵۰ کانکشن که این مورد هم عملی نیست چرا که هر ip تنها با یک اتصال به سرور و ارسال بسته سنگین اختلال ایجاد میکند.
۳- انتقال بالغ بر ۲ هزار سایت یکشبه به ورژن 7 آن هم در میزبانی اشتراکی امکان پذیر نمیباشد.
۴- همانطور که در استارت هم خدمتتان اعلام شد ما هم قصد بررسی مسیر این بسته ها را داریم اما مشکل اساسی این است که تفکیک کاربران اصلی از ip های attacker برایمان ممکن نمیباشد. ضمن آنکه فایل لاگ وب سرور هم به قدری سنگین است که حتی لیستی که دیتاسنتر اعلام کرده است جهت جستجو در سرور بیش از یک روز زمان میبرد.
۵- طی روزهای اخیر به قدری حجم حملات بالا رفته است که در لحظات ابتدایی اغاز حملات ٬ سرور بطور کل مشغول میشود و حتی یک ترمینال هم نمیتوان برایش باز کرد. در این حالت مجبور میشویم سرور را در حالت رسکیو بالا بیاوریم تا پورت وب سرور را در حالت rescue mode دستکاری و بلاک کنیم.
در حالت تعلیق این پورت از انجایی که تمام کانکشن ها قطع میشوند باز هم امکان شناسایی در این حالت وجود ندارد.
۶- فایروال سخت افزاری توسط دیتاسنتر hetzner پشتیبانی نمیشود.
از اونجایی که رنج وسیعی ip از کشورهای مختلف دنیا در اختیار دارند نسبتا میشه گفت راه حل نرم افزاری براش نمیشه پیدا کرد.
سیستم عامل مجال برای تحلیل ترافیک و تمیز کردن اونها پیدا نمیکنه.