کمک! حمله به سرور - DNS Amplification
ما یک شرکت کوچیک داریم با یک ویندوز سرور 2012 به صورت Domain controller که IP Static به صورت DMZ ست شده رو سرور مدتی هست که حجم اینترنتمون زود به زود داره تموم میشه ( آپلود وحشتناک زیاد - چندین گیگی)
متوجه شدم که این حجم از سمت DNS هست و وقتی resource monitor رو زیر نظر گرفتم متوجه چندین IP خارجی خصوصا چینی از سمت DNS.exe شدم. تو اینترنت به DNS Amplification برخوردم و با راهنمایی هایی که وجود داشت در تنظیمات DNS، تیک گزینه Disable recursion رو زدم . تعداد حملات کم تر شده اما هنوز هستن. چیکار باید بکنم؟ هر چی حجم میخریم تموم میشه. کمک کنید لطفاً.
دز ضمن Attack Blocker آنتی ویروسمون هم چند تا حمله رو بلاک کرده از Port53 و Port3389 که فکر کنم برای DNS و RemoteDesktop هست. در ضمن کاربرای شهرستانمون به ریموت احتیاج دارند.
تنظیمات IP سرور هم به صورت زیر هست
دوستان به معنای واقعی کمک!!
اگه یه نفر اول راجع به این نوع حمله توضیح بده و بگه مشکل کار کجاست و چطور باید جلوشو گرفت ممنون میشم.
در ضمن من آدم حرفه ای نیستم و آماتورم( زیر دیپلم بگید)
20 پاسخ
با سلام
میشه بیشتر توضیح بدین؟
اصلا هدف این سرورتون چیه؟
کاربراتون کیا هستن ؟
و سرورتون در کجا قرار داره و چه مقدار پهنای باند میخواد ؟
نه متأسفانه سیستم اضافی نداریم. :(
آقای احسان امجدی عزیز ممنون از پاسختون ولی باید بگم که IP ها مدام در حال تغییر هستند و فکر نمیکنم این راهکار مناسبی باشه چون IP آمریکا هم توشون دیدم سرور هم روش آنتی ویروس Small office کسپرسکی اورجینال هست و فکر نمیکنم مورد آلودگی باشه ولی با این حال منتظرم Rescue disk دانلود شه تا به صورت بوت چک کنم.
من دنبال راهی میگردم تا یه جوری تو تنظیمات DNS جلوی این کارو بگیرم. چون فکر کنم از DNS فقط به صورت lan استفاده میشه نه در محیط اینترنت(البته در شرکت ما)
RB941-2nD من فکر می کنم بهترین پیشنهاد باشه البته حتما قبل از خرید اطلاعاتتون رو راجع به mikrotik افزایش بدین چون بعد از خرید باید کانفیگش کنید
اگه سیستمی دارین که بلا استفاده است حتی اگه ضعیف هم هست بفرمایین تا راهنمایی کنم
سلام
سرور هدف خاصی نداره یه سرور که روش Dhcp ست شده و دو تا هم کلاینت تهران داریم که بعضی مواقع از شهرستان ریموت میزنن اطلاعاتشون بهمون میدن.
اینترنت هم مستقیم به مودم و از مودم به سرور رفته
فایروال هم به صورت نرم افزاری روی سرور هست(فایروال آنتی ویروس)
سلام
آیا اینترنت مستقیم به سرور اصلیتون وصل شده؟ آیا بین اینترنت و شبکه داخلی فایروالی دارین؟
yek_mosafer2000 عزیز اگه تو عکس دقت کنید میبینید که راه حل هم سخت افزاری هست و هم نرم افزاری. Firewallخود مودم-روتر رو فعال کردم و همچنین DOS Protection. البته لازم به توضیحه که با Disable recursion فکر میکنم مسئله کاملا حل شده بود. اما برای اطمینان Firewall و DOS Protection روتر روهم Enable کردم.
سلام
و اگر دوباره این حمله تکرار بشه چی ؟؟؟؟ معمولا این حملات DNS sniffing که میان خودشونو DNS معتبری معرفی می کنن من جاتون باشم برای جلوگیری از تکرار این حملات که کم هم نیستن ی راه حل نرم افزاری یا سخت افزاری پیدا می کنم ی چیزی مثله ی فایروال .
rassol1 عزیز منظور شما فایروال سخت افزاری هست(اونوقت برای ریموت زدن باید چیکار کرد؟)؟ راستی اگه مستقیم شبکه داخلی با اینترنت در تماس نباشه کاربران داخلیمون اینترنت دارن؟، به مشکل نمیخورند؟
راه دیگه ای نداره چون نمیخوایم هزینه کنیم زیاد. بالاخره باید راهی باشه یه جوری جلوی اینا رو گرفت. سایتا چجوری مقابله میکنن؟ اصلا کسی راجع به این نوع حمله میدونه توضیح بده؟؟
با تشکر
نمیشه به DNS گفت که به درخواست هایی که از سمت اینترنت میاد پاسخ نده؟ فقط به صورت lan کار کنه؟؟
rasool1 عزیز، ممنون از راهنمایی هاتون.
پیشنهاد شما اینه که چه فایروالی نصب کنم که هزینه نداشته باشه؟ و اینکه اون فایوال ها چه کاری انجام میدن. فایروال کسپرسکی نمیتونه انجام بده؟
سلامی دوباره
جناب Amin.Gn عزیز.منظورم از اینکه هدفتون چیه این بود که دقیقا بفرمایین کاربرای دیگتون چرا به اون سرور وصل میشن و اصلا چرا اون سرورتون اینترنت داره؟
تا دقیق تر نفرمایین جواب خوبی نمیشه داد!
و تشکر از دوستان که توضیحات خوبی دادن.به نظر من بهترین فایروال iptables هست که خیلی قدرتمنده.
ارتباط شما با شهرستانها چطور هست؟
با توجه به توضیحاتی که دادید، علاوه بر حمله ای که فرمودید، ممکنه از سرور شما به عنوان یک بات نت استفاده بشه و در واقع با استفاده از پهنای باند سرور شما و بات نت های دیگه به هاست های مختلف حملات DDoS میشه. این موضوع باعث میشه که اتکر از پهنای باند شما برای حمله به سیستم های دیگه در نقاط مختلف جهان استفاده کنه. اگر فایروال دارید، در وهله اول اون IP های چینی رو بلاک کنید. بعدش باید سرورتون رو کاملا بازرسی کرده و پاکسازی کنید.
با سلام و تشکر از راهنمایی همه دوستان. ما که حرفه ای نبودیم نتونستیم کارای پیچیده ای که دوستان میگن رو انجام بدیم.
اما مشکل حل شد. اینجا برای دوستانی که مثل خودم هستن میذارم.
اول و مهم ترین نکته این که در تنظیمات DNS، تیک گزینه Disable recursion رو بزنید.
دوم من تو مودم یه قسمت sequrity برای این حملات پیدا کردم که عکسش در زیر هست:
با تشکر از همه
اگه در ساختار شبکه تون فابروال داشته باشید، میتونید رول بنویسید. در ضمن میتونید DNS server را پشت NAT بذارید و IP Valid روش ست نکنید.
پورتای دیفالتو عوض کن
این چیزایی که خدمت شما عرض کردم هم نرم افزار بودن هم سخت افزار. اگه درست کانفیگ بشن همه اینترنت دارن (البته کنترل شده و امن تر)و در آخر اینکه سایت هم از همین نوع نرم افزارها و سخت افزار ها استفاده می کنند
دوست عزیز این پیشنهادی که دادم کار استاندارد و درسته و اون چینش شبکه شما کاره درستی نیست چون ازین دست ایرادات زیاد پیش خواهد آمد
سلام
مشکل اصلی شما ارتباط مستقیم شبکه داخلی شما با اینترنت است اونو حل کنید مشکل خود به خود حل میشه
(فایروالهایی از جنس tmg ، کریو و یا mikrotik مشکل شما رو برطرف می کنه)
سلام دوباره خدمت cisco-tr عزیز.
روی سرور یه نرم افزار حسابداری سادست که کاربران تهران و شهرستان به صورت Remote Desktopبهش وصل میشند و اطلاعاتشونو وارد میکنند برای همین IP Static روی سرور ست کردیم.
کاربران محلی شرکت هم که از اینترنت برای کارای بانکی و ... استفاده میکنند.
در واقع سرور فقط Domain controller برای کاربران داخل شرکت و استفاده از نرم افزار حسابداری به صورت Remote Desktop برای کاربران شهرستان که کلا 2 نفرند.