روش مقابله با DDos

**KherKhere** · 2010-06-27, 01:23 PM

آقا اصلاً نیازی به Fake IP نیست . با یه Proxy list که مثلاً 2000 تا HTTP Proxy سالم توش باشه و Request ها از اون بره تمومه .

**Sinozit** · 2010-06-27, 01:33 PM

بحث سر نوع حمله نیست جناب مهران اتفاقان من در پست های قبل هم گفتم بحث پروکسی رو

وقت بزاره یک worm بنویسه 1 سال یک botnet درست کنه و یا از پروکسی ساکس ها استفاده کنه تا آی پی های spam ها بلوک نشن به همین راحتی

موضوع بحث سر این هستش که Fake ip فقط در محیط local امکان پذیر هستش . اما جناب کلاهی نظرشون متفاوت هستش و بحث سر این موضوع هستش .

**Sinozit** · 2010-06-27, 01:57 PM

اون لینک youtube که گذاشتید هم برنامه hide my ip هستش گرامی پروکسی ست می کنه . پروکسی کجا و جعل آی پی کجا . دوستان هم ببینن شاید من اشتباه میکنم .

http://www.youtube.com/watch?v=i15BBf1mjec

با تشکر

**William** · 2010-06-27, 02:02 PM

فکر کنم برای حملات تحت وب بهتره از پکت فیلترینگ استفاده کنی که بر اساس آی پی ارسال کننده فیلتر میشن.

**Sinozit** · 2010-06-27, 02:47 PM

ARP poisoning مک آدرس رو fake میکن ه آی پی نمیشه fake کرد . در این حمله کلاً با ARP table هکر سروکار داره . ابزار هایی مثل Cain هم این حمله رو به راحتی انجام میدن .

ارجاع به لينك زير. قضاوت با شما.

Powered by Google Docs

این لینک که گذاشته بودین هم الان دیدم حتماً دوستان و مدیران ببینن چون این لینک هم حرف بنده رو تائید میکنه ( ARP poisoning مک آدرس رو fake میکن ه آی پی نمیشه fake کرد . در این حمله کلاً با ARP table هکر سروکار داره . ابزار هایی مثل Cain هم این حمله رو به راحتی انجام میدن ) .

**masterweb** · 2010-06-27, 07:12 PM

نوشته اصلی توسط Sinozit

1. در حملات مبنی بر وب حتی DDOS کلمه Flood بکار نمیره . در حملات تحت سیستم و تحت شبکه Flood به کار میره

2. من فقط در مورد جلوگیری حملات DDOS تحت وب بحث کردم

3. مثلاً از کجا فهمیدین منظور من ddos نبود ؟ دوستان شما تاپیک رو بخونین من جایی اشاره از حمله با یک سیستم کردم ؟

4. اگر سوال botnet می کردند من جواب اون سوال هم میدادم که هیچ روش های شناسایی botnet ها رو هم می گفتم برای ایشون ..

5. گفتن چطور جلوگیری کنم . توضیح که نخواستن . توضیح خواستن که بنده توضیح ندادم ؟

لطفاً خوب بخونید تاپیک رو .

در مورد Botnet ها هم بگم امروزه اینقدر honeypot برای شناسایی botnet ها و خصوصیات رفتاری هر bot ساخته و منتشر شده که شما اگه یک bot طراحی کنین هر چقدر هم ساختمان قوی داشته باشه و حتی باگ هایی که ازش استفاده می کنه برای گسترش خودش هم توسط خودتون پیدا شده باشه و فوووووولل پرایوت باشه باز هم برای ساخت یک botnet بزرگ نیاز به زمانی دست کم 1 2 ماه ( بیشتر از این حرفاست ) دارید . تا سیستم ها شناسایی بشن تا join کنند تا تست بشن بیشتر از این حرفا زمان میبره . تو این زمان به راحتی botnet شما شناسایی میشه و باز هم نمیتونید دست به یک حمله بزرگ بزنید . بگذریم که متد هایی مثل ip history اومده و دیگه ddos معنی هم نمیده .

Google
ٌ
1. What Is Flooding
2. What Is HoneyPot
http://www.keyfocus.net/kfsensor/overview.php
3. Botnet Source Code

**Sinozit** · 2010-06-27, 07:28 PM

در مورد اینکه متوجه بشین honeypot ها چه نقشی در شاسایی botnet ها دارن به کتاب botnet detection مراجعه کنید .

بقیه هم که گوگل هست ببینین و قضاوت کنید

**Sinozit** · 2010-06-27, 07:39 PM

3. Botnet Source Code

دوست عزیز bot source .

botnet به کانالی می گن که از طریق اون بشه به تمامی bot های تحت اختیار خودتون دستور بدین که معروف ترین متد دستور دادن به bot ها هم C&C هستش . bot هم همون malware یا worm ای هستش که کامپیوتر شما رو تحت اختیار نفوذگر در میاره ( با تروجان اشتباه نگیرین ) خیلی با تروجان فرق داره . bot ها معمولان ساختار ویروس رو دارند و خیلی هوشمند هستند و از راه های مختلفی برای نفوذ به سیستم ها استفاده می کنند و خودشون رو منتشر می کنند اما تروجان ها اینطور نیستند . با این اوصاف شما bot source می تونید سرچ کنید و نمونه سورس کد bot های معروف رو ببینید اما Botnet ........ توضیح دادم . یکی از معروف ترین محیط هایی که معمولاً bot ها رو به اونجا join میدن و botnet درست می کنند در کانال های IRC هستش .

با تشکر

**zamoova** · 2010-06-28, 09:47 AM

سلام
بحث جالبي شده ، كاش به اينترنت دسترسي شبانه روزي داشتم.

راستش من گفتني هارو گفتم. منابع رو هم آوردم .
ولي بازم برگشتيم سر جاي اولمون . اشاره كرديد كه IP Spoofing
همون MAC Spoofing هست. اين از اون حرفا بود.
از اون حرفايي كه ديگه واقعا نميدوني چي بگي.

در مورد اینکه متوجه بشین honeypot ها چه نقشی در شاسایی botnet ها دارن

دوست عزيز ، آقا كيوان ، هاني پات ها با اهدافي متفاوت تر از انچه فرموديد
بكار گرفته ميشن. با بررسي ساده لوگ هاي IDS متوجه ميشيد كه شما جز
باتنت هستيد يا نه. چه ربطي داشت به هاني پات؟ بازم ميگم ، هاني پات ها
اهدافي غير از انچه فرموديد رو ، دنبال ميكنند.

شما وقتي شبكه تون جز بات شده ، ميايي از هاني پات استفاده ميكني؟
هاني پات براي گول زدن و جعل منابع است. بهترين و اسان ترين راه فهميدن
بات ، همون لوگ هاي IDS هست در صورت كانفيگ درست ، حتي يك پكت مشكوك
هم نميتونه لوگ نشه. اگه ممكنه كمي دقت كنيم .

اگه در تائيد حرفاتون بازم ميخواييد به گوگل ارجاع بديد ، شايد لينك هايي بزاريد مبني بر استفاده
هاني پات به عنوان .... قبلا بگم كه به مثل سخيف ولي جالب خودم بسنده ميكنم ،
توجه كنيم ، به چاقو هم ميشه در كنسرو رو باز كرد ، ولي براي اين كار ابزار مخصوصي وجود داره
كه بهتر ، راحتر و بيدردسرتر ! اين كارو انجام ميده.

**aliafzalan** · 2010-06-28, 03:26 PM

نوشته اصلی توسط zamoova

سلام
علي آقاي عزيز ، استاد گرامي ، در بحث اي پي سپوفينگ ، قرار نيست
بسته دوباره به دست شما برسه. براي مثال در بحث حمله MIM ، شما
خودتون رو جاي يه اي پي معرفي ميكنيد ، بعد از آن ارتباط دروغين HTTPS
برقرار ميشه كه بحث خودش رو داره. و جسارتا ، اين كار براحتي اجرا نميشه.

سلام
اختیار دارید، من شاگرد هستم به همین دلیل که میام اینجا تا از تجربیات اساتید استفاده کنم.

شما توی پست شماره 6 نوشته بودید:
"اول اینکه درخواست کانکت شدن از ای پی های ثابت نمی اید و
نوسط نرم افزار ها ، از ای پی های فیک استفاده میشه که به هیچ عنوان قابل شناسایی نیستند."

برداشت من از این حرف شما این بود که هکر میتونه IP خودش رو به هر چیزی تغیییر بده (مثلاً بزاره 4.2.2.4 - به همین دلیل بود که نوشتم بسته در برگشت به مقصد نمیرسه - به دلیل عدم وجود route در روترهای وسط راه) و حمله را انجام بده در حالیه الان نوشتید MIM، که توی این حالت یا باید شما توی همون شبکه LAN ای باشید که کاربرانتون قرار دارند و با قرار دادن خودتون به جای gateway اونها و یا اینکه توی یکی از روترهای وسط راه قرار بگیرید (مثلاً روترهای مخابرات!) تا بتونید محتوای بسته را عوض کنید.
در ضمن منظور من از تغییر source ip (که به آسانی انجام میشه) این بود که میشه بسته ای ساخت (با هر source ip، پورت و دیتا مورد نظر) و اون را به هر جا ارسال کرد. (با استفاده از برنامه نویسی و یا برنامه های موجود)

**Sinozit** · 2010-06-28, 08:57 PM

شرمنده من دریر بودم تا الان وقت نکردم به سایت سر بزنم اما الان اومدم این جواب ها رو هم بدم .

استش من گفتني هارو گفتم. منابع رو هم آوردم .
ولي بازم برگشتيم سر جاي اولمون . اشاره كرديد كه IP Spoofing
همون MAC Spoofing هست. اين از اون حرفا بود.
از اون حرفايي كه ديگه واقعا نميدوني چي بگي.

جواب این حرف شما رو جناب افضلان دادن . فکر نکنم بازم نیاز به توضیح باشه .

دوست عزيز ، آقا كيوان ، هاني پات ها با اهدافي متفاوت تر از انچه فرموديد
بكار گرفته ميشن. با بررسي ساده لوگ هاي IDS متوجه ميشيد كه شما جز
باتنت هستيد يا نه. چه ربطي داشت به هاني پات؟ بازم ميگم ، هاني پات ها
اهدافي غير از انچه فرموديد رو ، دنبال ميكنند.

شما وقتي شبكه تون جز بات شده ، ميايي از هاني پات استفاده ميكني؟
هاني پات براي گول زدن و جعل منابع است. بهترين و اسان ترين راه فهميدن
بات ، همون لوگ هاي IDS هست در صورت كانفيگ درست ، حتي يك پكت مشكوك
هم نميتونه لوگ نشه. اگه ممكنه كمي دقت كنيم .

از حرف بنده ناراحت نشید . اما متاسفانه شما در این رابطه مطالعه نداشتین قربان . من کتاب botnet رو در پست های صفحه اول برای شما ها گذاشتم عزیز من که بخونید و دیگر از این حرفا نزنید . ببینید برای شناسایی bot ها , botnet ها شما نیاز دارید که یک محیط آسیب پذیر رو شبیه سازی کنید و بعد شروع به مانیتورینگ کنید .
Amazon.com: Botnets: The Killer Web App (9781597491358): Craig Schiller, Jim Binkley, Gadi Evron, Carsten Willems, Tony Bradley, David Harley, Michael Cross: Books
این کتاب کمکتون میکنه که یاد بگیرین ایم بحث رو . این مطلب هم در وبلاگ یکی از دوستان ( حمید کشفی ) نوشته شده بود که کار من رو هم آسون کرد نیازی نیست 3 ساعت کامل توضیح بدم . خودتون بخونید .

پیش از اینکه به سراغ بحث بررسی و آنالیز نمونه ها برویم و یا حتی آشنایی با سیستم ها و نرم افزارهایی که در این زمینه می توانند به ما کمک کنند ، لازم است بدانیم که با چه چیزی قرار است سر و کار داشته باشیم ؟ با Bot ها !
Bot ها را میتوان از دو دیدگاه مختلف مورد بررسی قرار داده و دسته بندی کرد. از لحاظ تکنولوژی مورد استفاده برای برقراری ارتباط با کنترل کننده مرکزی (Command & Control system) که به اختصار C&C خوانده می شود ، و یا از نظر نحوه و هدف گسترش و آلوده سازی قربانیان جدید .

انواع Bot ها از نظر تکنولوژی مورد استفاده برای C&C :

مبتنی بر IRC : استفاده از پروتکل و مکانیزم کاری IRC برای برقراری ارتباط
مبتنی بر Web : استفاده از پروتکل HTTP برای برقراری با کنترل کننده مرکزی و دریافت یا ارسال دستورات و داده ها
مبتنی بر پروتکل های Peer to Peer ( P2P) برای برقراری ارتباط با یکدیگر و C&C
مبتنی بر پروتکل های Instant Messaging ( مانند MSN ,YIM ,ICQ)
مبتنی بر پروتکل FTP

انواع Bot ها از نظر مکانیزم مورد استفاده برای انتشار و آلوده سازی قربانیان:

استفاده از ضعف های امنیتی سرویس های اجرا شده توسط سیستم عامل یا نرم افزارهای جانبی ( مانند RPC , WEB , FTP , Backup,…) و اکسپلویت کردن آنها برای حصول دسترسی به سیستم قربانی جدید
استفاده از ضعف های امنیتی نرم افزارهای تحت وب (ضعف های منتج به اجرای کد یا دستور سیستم عامل)
استفاده از ضمیمه های آلوده ارسال شده به روش Spamming و ترغیب کاربر به اجرای آنها
استفاده از ضعف های امنیتی نرم افزارهایی که اصطاحآ Client-Side خوانده می شوند (Browsers, Mail Clients ,Media players,…)
استفاده از اعتماد (Trust) موجود در شبکه های داخلی بر روی پروتکل هایی مانند FTP ,SMB ,NFS و یا شبکه های به اشتراک گذاری فایل (P2P File Sharing)
استفاده از روش حدث کلمات عبور ضعیف پروتکل هایی مانند SSH ,Telnet,… و دسترسی به سیستم جدید از طریق آنها

تا اینجا مشخص شد که با چه نوع نرم افزارها و روش های حمله ایی روبرو خواهیم شد . توضیحات مختصری در مورد هر یک از موارد دسته بندی های بالا را در کتاب Botnet که پیش از این معرفی کردم می توانید مطالعه کنید . موضوع بعدی که می بایست بدان پرداخته شود این است که اولآ آیا ما نمونه ایی از Malware ( یا صرفآ Bot) را در اختیار داریم یا نه ؟ در صورتی که نمونه از هر طریقی در اختیار ما قرار داده شده باشد می بایست به سراغ روش ها و تکنولوژی های مورد استفاده برای بررسی نمونه رفت . فرض ما بر این است که خود ما می بایست قادر به کشف و بدست آوردن نمونه ها نیز باشیم . با همین رویکرد می توان ادامه کار را از دو روش مختلف دنبال کرد :

تشخیص و شناسایی Bot ها بصورت غیر فعالانه (Passive) از طریق آنالیز ترافیک شبکه
تشخیص و شناسایی و شکار نمونه ها از طریق ایجاد تعامل به هر نحو ممکن با Malware( Bot)

هر دو روش مزایا و معایب خاص خود را دارند . از مزایای روش اول می توان به Passive بودن آن اشاره کرد و اینکه به راحتی قابل استفاده در سطح و حجم زیاد ترافیک است . در این حالت با تکیه بر روش های Anomaly Detection در کنار امضا ها (Signature & Rule) به تشخیص فعالیت های BotNet ها پرداخته می شود . از مهم ترین ضعف های این روش می توان به درصد خطای بالا و همچنین وابستگی زیاد به داشتن آگاهی قبلی از نمونه ها اشاره کرد . در کل این روش زمانی کارایی خود را نشان می دهد که شما قبلآ یک یا چند نمونه و حتی تکنیک خاص گسترش را آنالیز کرده اید و قصد شناسایی نمونه های مشابه را درترافیک عبوری شبکه دارید.

مواردی که در روش تشخیص از طریق آنالیز ترافیک مورد توجه هستند بشرح زیر می باشند :

مانیتور کردن ترافیک و جستجوی امضاهای خاص (Signature Based Monitoring)
مانیتور کردن ارتباطات برقرار شده از یا به آدرس ها و دامنه های Black-List شده
مانیتور کردن حجم بالا و غیر معقول ترافیک ایجاد شده توسط سیستم ها (scan,request,replay,connection,name resolution,…)
مانیتور کردن محتوای DNS Cache شبکه و کنترل موارد برای مشاهده هرگونه نام Blacl-list شده
مانیتور کردن سیستم های Cache و Proxy شبکه و استفاده از روش Pattern Matching
شناسایی و مانیتور کردن ارتباطات رمزنگاری شده مشکوک
مانیتور کردن فعالیت ها وترافیک هدایت شده به سمت DarkNet ها

برخی از سیستم ها و ابزارهایی که در این روش برای بررسی ترافیک مورد استفاده قرار می گیرند :

روش دوم بر خلاف روش اول ، کاملآ تعاملی بوده و شما بطور مستقیم و تحت شرایط خاص اقدام به بدست آوردن نمونه ها و اجرای آنها می کنید تا به ماهیت رفتاری آنها پی ببرید . در این حالت هدف اصلی این است که با در معرض خطر قرار دادن یک سیستم آسیب پذیر ( یا به ظاهر آسیب پذیر) منتظر حمله به این سیستم شویم و پس از وقوع حمله ، رفتارهای حمله کننده در خلال نفوذ به سیستم و حتی پس از آن (تغییرات اعمال شده در سیستم قربانی توسط حمله کننده) را بررسی کنیم . این کار در واقع همان مفهوم ایده HoneyPot می باشد که به روش ها و حالت های مختلف پیاده سازی می شود . چیزی که موضوع اصلی بحث کتاب Virtual Honeypots است .

در روش تعاملی اولین قدم (از دید حمله کننده یا همان Bot) نفوذ به سیستم است و قدم دوم آلوده سازی سیستم . ما نیز کار خود را برهمین اساس دنبال می کنیم . یعنی پیاده سازی و استفاده از ابزارها و روش های سفارشی شده برای شکار Bot ها ، و اجرا و آنالیز نمونه های بدست آمده در سیستم ها و محیط های خاص برای شناسایی رفتار آنها . برای اینکه بتوان یک نمونه را با موفقیت بدست آورد ، لازم است بدانیم که Bot ها از چه روش هایی به سیستم آسیب پذیر نفوذ می کنند ، و خیلی خلاصه رایج ترین آنها را پیش از این مرور کردیم . حال با توجه به همین روش های خاص ، ما می بایست سیستم های HoneyPot سفارشی شده ایی داشته باشیم تا بتواند بطور موفیت آمیز با یک یا چند نمونه از این روش ها تعامل داشته باشد . دقیقآ به همین دلیل است که برای شکار هر خانواده از Bot ها از نوع خاصی از Honeypot ها استفاده می شود . در ادامه جزئیات بیشتری را در مورد Honeypot ها را بازگو خواهم کرد .

با توجه به اینکه برای فریب یک حمله کننده (Bot) لازم است تا یک سیستم آسیب پذیر در دسترس و محدوده جستجوی وی قرار گیرد ، می بایست یا از یک سیستم واقعی و یا از یک مکانیزم شبیه سازی استفاده شود که وجود یک سیستم آسیب پذیر واقعی را شبیه سازی می کند . بر همین اساس هانی پات ها را به دو دسته کلی High-Interaction و Low-Interaction تقسیم می کنند .در انواع High-Interaction ایده و روش بر این اساس است که یک سیستم یا نرم افزار آسیب پذیر واقعی ، در شرایط کاملآ مانیتور شده و ایزوله شده ، در اختیار حمله کننده قرار می گیرد . این روش البته خطرات و ریسک های امنیتی خاص خود را دارد از جمله اینکه از خود هانی پات نیز ممکن است برای حمله به سایر سیستم ها استفاده شود .

برخی از شناخته شده ترین نمونه های هانی پات های High-Interaction :

SEBEK
ARGOS
HoneyBow
HiHAT
HoneyWall ( که در واقع سیستمی برای مدیریت و کنترل انواع هانی پات های H.I است)

همانطور که گفته شد ، سیستم های High-Interaction خود ممکن است مورد سو استفاده قرار گیرند . همچنین نگهداری و مدیریت این دسته از هانی پات ها غالبآ عملی مشکل و زمانبر بوده و نیازمند پیاده سازی مکانیزم های مختلفی برای خودکار سازی آنهاست . همه این موارد باعث گرایش به سمت ایده دوم یعنی سیستم های Low-Interaction می گردد . در این دسته ، درواقع یک نمونه تقلبی (Fake) و شبیه سازی شده از نرم افزارو یا سرویس آسیب پذیر در دسترس حمله کننده قرار می گیرد . میزان شبیه سازی باید آنقدر بالا باشد که حمله کننده به آن شک نکرده و مکانیزم حمله را متوقف نکند ، و همچنین شبیه سازی نباید آنقدر کامل و پیچیده باشد که بیش از حد نیاز و انتظار حمله کننده باشد . بطور مثال یک Bot که به یک سرویس خاص FTP حمله می کند ، تنها به دنبال دستور LOGIN و هدف قرار دادن آن است و هرگز درخواستی برای اجرای سایر دستورات مانند PUT و یا GET را ارسال نمی کند . بنا بر این نیازی به شبیه سازی آنها نیز نیست! البته این موضوع در عمل کمی پیچیده تر از این مثال ساده است . هانی پات های دسته Low-Interaction ممکن است یک نرم افزار و یا سرویس خاص را شبیه سازی کنند و یا حتی ممکن است قابلیت شبیه سازی یک سیستم عامل یا یک شبکه کامل را داشته باشند . بسته به اینکه هدف از راه اندازی هانی پات چه باشد ، از یک یا ترکیب چند سیستم هانی پات مختلف استفاده می شود . برخی از نمونه های هانی پات از دسته Low-Interaction بشرح زیر می باشند :

سیستم های هانی پاتی نیز طراحی و پیاده سازی شده اند که ترکیبی از قابلیت های High-Interaction و Low-Interactionرا در اختیار قرار می دهند . این قبیل هانی پات ها غالبآ بصورت محصول و نرم افراری آماده مصرف در دسترس عموم نیستند , بلکه حاصل یک پروژه و یا کار تحقیقاتی می باشند که تنها مستندات و کلیات مکانیزم کاری آنها برای عموم منتشر شده است . به این دسته از سیستم ها Hybrid HoneyPot گفته می شود .برخی از این نمونه ها عبارتند از :

ماجرای هانی پات ها به همینجا ختم نمی شود . در ابتدای توضیحات گفتم که یکی از روش های مورد استفاده Bot ها برای گسترش و آلوده سازی سیستم های جدید ، استفاده از ضعف های امنیتی نرم افزار های Client-Side است . نکته مهم این است که بسیاری از BotNet ها امروزه بر استفاده از همین روش گسترش تآکید داشته و بطور بسیار گسترده از آن استفاده می کنند . این دسته از Bot ها را نمی توان با هیچ یک از سیستم های هانی پات که پیش از این به آنها اشاره کردم (بصورت خودکار) شناسایی کرد . دلیل این موضوع نیز این است که در همه موارد ( و روش های گسترش قبلی) این حمله کننده (Bot) است که به سراغ سیستم ما آمده و به آن حمله می کند . اما در روش گسترش مبتنی بر ضعف های امنیتی Client-Side ، این هانی پات است که باید به جستجوی حمله کننده بپردازد ! با توجه به اینکه که طیف بسیار زیادی از این حملات از طریق هدایت قربانی به سمت وب سایت های آلوده و مخرب صورت می گیرد ، هانی پات های نسل جدید نیز می بایست همانند یک کاربر اینترنت معمولی به مرور سایت های مختلف بپردارند تا مورد حمله واقع شوند . به این دسته از هانی پات ها اصطلاحآ Client Honeypot گفته می شود و همانند انواع قبلی در دو دسته High-Interaction و Low-Interaction جای می گیرند . فصل 8 کتاب Virtual Honeypots می تواند شروع بسیار خوبی برای آشنایی با مکانیزم کاری Client Honeypot ها باشد . تصویر زیر شمایی کلی از آنچه تاکنون به آن اشاره کردم را نشان می دهد .

در پست بعدی ، به معرفی سیستم های Sandbox و سایر نکات در خصوص بررسی Bot ها خواهم پرداخت.

**Sinozit** · 2010-06-28, 09:04 PM

چون همیشه این بحث ها میشه و معمولاً هم هیچ وقت دو طرق حاضر نیستن بگن که کی اشتباه می کنه و در آخر هم تاپیک دیگه پیگیری نمیشه یا بسته میشه از اساتید با تجربه و مدیران می خوام که کامل از اول تا آخر این تاپیک رو بخونن و بگن که کی اشتباه می کنه تا یکی میاد این تاپیک رو می خونه آخرش متوجه بشه و نتیجه گیری کنه . اینطور نباشه که ما اینجا بحث کنیم خواننده هم بخونه و متوجه نشه کدام مطالب درست و کدام یک غلط هستش . ممنون میشم اگه توجه بشه . اگه بنده اشتباه می کنم بگید اگر جناب کلاهی اشتباه می کنند بگین . من بار ها دیدم تاپیک ها رو که بحث میشه اما آخرش مشخص نمیشه کی حرف حق رو زده .

با تشکر

**masterweb** · 2010-06-29, 02:34 PM

1. توی یک تاپیک 20 تا پست دادین همرو هم پشت سر هم ، از دکمه ی ویرایش استفاده کنید و چند تا پست پشت هم ندین

2. تئوری با عمل فرق داره ، شما میگی بله هانی پات فلان کار رو در فلان حالت میکنه اما هیچ نمونه ی عملی و حاضر از هانی پاتی با این مشخصات موجود نیست پس صحبت سره تئوری نمیکنیم وگرنه دزدگیر از اسمش پیداست چی کار میکنه حالا شما میگی دزدگیر میتونه از مجرم عکس بگیره ، من میگم بله میتونه اما کو دزدگیری که چنین کاری بکنه !؟ شما میتونی بسازی ، بساز اونوقت دزده یه فکره دیگه میکنه اما فعلا ...
من تنها 1 نمونه هانی پات دیدم و باهاش کار کردم اونم لینک دادم البته نمونه های غیر ویندوزی هم هست ولی کاری فراتر از این نرم افزار انجام نمیده .

**Sinozit** · 2010-06-29, 05:42 PM

جالب بود . مدیر ها به داد این تاپیک برسند .

1. جدیداً چیز مسائلی که تو کنفرانس های blackhat و defcon مطرح میشه بی خود هستش نه ؟ به گفته شما اینطور دیگه . چون این مسائل کامل در این کنفرانس ها هر ساله آنالیز میشه دوست من . بنده از شکم روده خودم در نمیارم اینهارو که . منابع هم دادم اسم کتاب نام بردم

2. اینکه شما نمیتونین انجام بدین به دلیل نداشتن سواد کافی در این مبحث دلیل بر این نمیشه که کل این گفته ها در کتاب ها و کنفرانس های جهاتی چرت و پرت هستش چرا ؟ چون جناب کلاهی یا جناب masterweb نتونیتند این کار رو عملی انجام بدهند .

من باز هم از مدیر ها در خواست دارم به داد این تاپیک برسید . اگر من اشتباه می کنم بگید بنده اشتباه می کنم . اما تا اونجایی که یادم نه Refrence بی اعتبار دادم . نه حرفی رو از خودم در آوردم . می تونید بخونید کل تاپیک رو

با تشکر

**Hakimi** · 2010-06-29, 06:22 PM

(پرانتز باز

دوستان گرامی و سروران ارجمند
به نظرم بهتر است سعی کنیم نیازمان به مبصر یا مدیر کمتر شود. چه دلیلی دارد یک نفر بخواهد بیاید حرف آخر را بزند؟ این یک تعامل چند طرفه است و مطالب مطرح می شوند و چکش کاری و پخته می شوند. همه ما در این گونه بحث ها یا مشغول یادگیری هستیم و یا دانسته هایمان را مرور می کنیم. پس بجز سود برایمان چیزی ندارد!
فقط یک نکته باقی می ماند: معمولا در مباحث امنیتی، برخی از افرادی که صاحب نظر هستند کمی دچار غرور هم می شوند که این غرور هم جنبه مثبت دارد و هم جنبه منفی. جنبه مثبتش آنجاست که برای دفاع از نظریه ها به مطالعه و تحقیق روی آورده می شود و در نتیجه مطالب مطرح شده مستند تر و دقیق تر می شوند و موجب بالا بردن سطح دانش می شود. ولی تالی فاسد یا جنبه منفی آن می تواند به حاشیه کشیدن مباحث و دور شدن از مباحث فنی و منطقی و گرایش یافتن به مباحث احساسی و غیر منطقی باشد. اگر هرکدام از ما سعی کنیم این حس را کنترل کنیم و اجازه ندهیم ما را به بیراهه بکشاند، می تواند موجب شود یک مبحث فنی در ده ها و صدها صفحه ادامه پیدا کند بدون این که حتی اندکی دلخوری برای کسی بوجود بیاید. اگر کمی در بکار گیری کلمات دقت داشته باشیم و زهرشان را بگیریم، کلمات و جملاتمان موجب رنجش دیگران نخواهد شد.

به یک نکته دیگر هم اشاره می کنم:
یکی از دوستان اشاره کرد که خواننده ها ممکن است سردرگم شوند چون نتیجه گیری قطعی بوجود نمی آید.
اتفاقا این از خواص انجمن هاست که مباحث مختلف مطرح می شوند و این خواننده است که از بین مباحث و نظریات مختلف و متعدد می تواند به آنچه می خواهد دست پیدا کند. اگر تمایل دارید نتیجه صریح و کامل و دقیق به دست آید، پس از پایان مباحث، یکی از دوستان می تواند زحمت خلاصه کردن و جمع بندی مبحث را بکشد و نتیجه را به مانند یک مقاله آماده کند که در اختیار همه قرار گیرد.

ببخشید که در بین بحث این پرانتز را باز کردم. به نظرم این توضیحات برای همه ما مفید خواهد بود.
ممنون

پرانتز بسته)

موضوع: روش مقابله با DDos

پیوند

ابزارهای موضوع

نمایش

کلمات کلیدی در جستجوها:

شناسایی botnet

http:forum.persiannetworks.comf105t36313.html

شبیه سازی حملات DDoS

هانی پات

شبیه سازی حمله ddos

راه های مقابله با ddos

روش مقابله با DDOS

pdf راجع به spoofing

توضیح ddos

شبيه سازي حمله ddos

انواع حملات ddos

برچسب برای این موضوع

مجوز های ارسال و ویرایش