با سلام
می خواستم مرا راهنمایی کنید
چجوری میشه با حملات DDOs روی یک سرور مقابله کرد جوری که حداکثر تعداد کاربرا بتونن سایتها رو ببینن
البته روشی غیر از استفاده از فایروال
:ph34r:
Printable View
با سلام
می خواستم مرا راهنمایی کنید
چجوری میشه با حملات DDOs روی یک سرور مقابله کرد جوری که حداکثر تعداد کاربرا بتونن سایتها رو ببینن
البته روشی غیر از استفاده از فایروال
:ph34r:
با سلام
اول یک چیز رو باید مشخص کنید . از چه نوع حمله ای می خوایین جلو گیری کنین ؟ خود DDOS انواع حمله داره که میشه در موردش 600 صفحه کتاب نوشت .
در مورد حملات تحت وب هم صحبت کردید . ببینید کلان حملات تحت وب 2 نوع هستند . یا اینکه هکر اینقدر در خواست میفرسته تا usage بزنه بالا یا پهنای باند رو full کنه . یا اینکه وب سرور باگ داشته باشه . دومی که هیج آپدیت باشید مشکلی نیست . اما اولی . برای اینکه جلوی حمله رو بگیرین یا باید از فایروال استفاده کنین که براش یک rule تعریف کنید که اگر یک آی پی از 10 20 بار در یک فاصله زمانی کوتاه کانکت کرد یا request فرستاد اون آی پی رو بلوک کن ( این کار اصولی هستش در برابر جلوگیری از این حملات ) یا اینکه چند تا سرور دیگه بگیری با پهنای باند بیشتر NLB راه بندازی و کلاستر کنی که این کار رو معمولاً زمانی انجام میدن که یک سایت بازدید بالایی داره نه برای جلوگیری از حملات . اما تا حد زیادی می تونه کمکت کنه . خوب چه کاریه ؟ این همه هزینه . آخرش هم بازم سرور Down میشه یکم حمله گسترده تر بشه . از همون اول فایروال رو کانفیگ کن دیگه . مشکلی بود در خدمتم
اینهایی که شما اشاره کردین DoS و FLOOD بود .
DDOS میشه [I]Distributed Denial Of Service[/I] که بطور کلی میشه حمله ی دست جمعی
در مورد DoS صحبت نمیکنم اما DDOS عملا بستگی به حجم حمله بر فرض که واقعا DDOS باشه ( حمله از حداقل 15 سرور ) تنها راه حل اون محافظت از سرویس دهنده های سرور در برابر درخواست ها ( یعنی اینکه سرویس های سرورت رو سرپا نگه داری که دچار مشکل نشه ) و مرحله ی بعدی درخواست به دیتا سنتر برای بلاک کردن اتک از روی سوئیچ های اصلی هست .
یادتون باشه DoS شاید 1 دقیقه هم طول نکشه ، اما DDOS ممکنه روزها هم طول بکشه .
بطور کلی :
اشغال پهنای باند و یا یک پرت : FLOOD
حمله به یک سرویس و از کار انداختن اون در نتیجه کل سرور : DoS
بستن راه های ارتباطی سرور DDOS
بطور کل ابزاری بسیار خطرناک هست که گاهی شما میتونید یک مجموعه ی خیلی خیلی بزرگ رو بدون هیچ راه حلی دچار مشکل کنید . یکی از بدترین نوع این حملات Zombie کردن اصطلاحا نام داره که حمله از طریق بات هایی انجام میشود که از کانالهای IRC دستور میگیرند و بر روی کلاینتهایی که به هر نحوی آلوده شدند نصب شده که شاید تعداد اونها به بیش از 50 هزار هم برسه .
( ویروس کانفیکر طبق گفته ویکیپدیا بیش از [B]10 میلیون بات[/B] داشت و در روز [B]10 بیلیون بار[/B] اسپم میکرد !!!!! )
این کلاینتها از طریق این باتها که روشون نصب شده دستور میگیرند به اینصورت که به کانال مشخصی در IRC در یک ساعت مشخص وصل شده و دستوراتی که بر روی کانال توسط هکر قرار گرفته رو دریافت و اجرا میکنند
برای اطلاعات بیشتر به لینک زیر برید و اون عکس رو هم ببینید و کاملا متوجه میشید :
[B][URL]http://en.wikipedia.org/wiki/Botnet[/URL]
[IMG]http://en.wikipedia.org/wiki/File:Botnet.svg[/IMG]
[IMG]http://en.wikipedia.org/wiki/File:Botnet.svg[/IMG]
[/B]
1. در حملات مبنی بر وب حتی DDOS کلمه Flood بکار نمیره . در حملات تحت سیستم و تحت شبکه Flood به کار میره
2. من فقط در مورد جلوگیری حملات DDOS تحت وب بحث کردم
3. مثلاً از کجا فهمیدین منظور من ddos نبود ؟ دوستان شما تاپیک رو بخونین من جایی اشاره از حمله با یک سیستم کردم ؟
4. اگر سوال botnet می کردند من جواب اون سوال هم میدادم که هیچ روش های شناسایی botnet ها رو هم می گفتم برای ایشون ..
5. گفتن چطور جلوگیری کنم . توضیح که نخواستن . توضیح خواستن که بنده توضیح ندادم ؟
لطفاً خوب بخونید تاپیک رو .
در مورد Botnet ها هم بگم امروزه اینقدر honeypot برای شناسایی botnet ها و خصوصیات رفتاری هر bot ساخته و منتشر شده که شما اگه یک bot طراحی کنین هر چقدر هم ساختمان قوی داشته باشه و حتی باگ هایی که ازش استفاده می کنه برای گسترش خودش هم توسط خودتون پیدا شده باشه و فوووووولل پرایوت باشه باز هم برای ساخت یک botnet بزرگ نیاز به زمانی دست کم 1 2 ماه ( بیشتر از این حرفاست ) دارید . تا سیستم ها شناسایی بشن تا join کنند تا تست بشن بیشتر از این حرفا زمان میبره . تو این زمان به راحتی botnet شما شناسایی میشه و باز هم نمیتونید دست به یک حمله بزرگ بزنید . بگذریم که متد هایی مثل ip history اومده و دیگه ddos معنی هم نمیده .
اینم یک کتاب مرجع راجع به botnet ها که الان آپلود کردم . البته نحوه شناسایی Bot ها و botnet ها چیزی نگفته اگه خواستین بگین ابتدا یک توضیح راجع به اون بدم بعد کتابش هم بزارم
[url=http://rapidshare.com/files/402972320/botnets.zip.html]RapidShare: 1-CLICK Web hosting - Easy Filehosting[/url]
سلام
[QUOTE] برای اینکه جلوی حمله رو بگیرین یا باید از فایروال استفاده کنین که براش یک rule تعریف کنید که اگر یک آی پی از 10 20 بار در یک فاصله زمانی کوتاه کانکت کرد یا request فرستاد اون آی پی رو بلوک کن[/QUOTE]
این کارا و این رول ها قدیمی شده و جواب کارتون رو نمیده . نرم افزار های زیادی هستند که این
رول ها رو براحتی دور میزنند. اول اینکه درخواست کانکت شدن از ای پی های ثابت نمی اید و
نوسط نرم افزار ها ، از ای پی های فیک استفاده میشه که به هیچ عنوان قابل شناسایی نیستند.
دوم اینکه ای پی ها کانکت نمیشن و به محض دریافت بستۀ ACK SYN ، ارتباط رو دراپ میکنن و
ای پس ثبت نمیشه.
مشکل دیگه ای هم که هست ، اسیب پذیری خود رول های فایر وال هست که براحتی قابل تغییره
و بنظر من ، این تهدید از دو تهدید قبلی خطرناک تره.
[QUOTE]دوم اینکه ای پی ها کانکت نمیشن و به محض دریافت بستۀ ACK SYN ، ارتباط رو دراپ میکنن و
ای پس ثبت نمیشه.[/QUOTE]
در لینوکس از syn cookie استفاده میشه و دیگر syn flood جواب نمیده .
[QUOTE]ین کارا و این رول ها قدیمی شده و جواب کارتون رو نمیده . نرم افزار های زیادی هستند که این
رول ها رو براحتی دور میزنند. اول اینکه درخواست کانکت شدن از ای پی های ثابت نمی اید و
نوسط نرم افزار ها ، از ای پی های فیک استفاده میشه که به هیچ عنوان قابل شناسایی نیستند.[/QUOTE]
شما دارین همچین چیزی رو که در اینترنت جواب بده ؟ اگه دارین بزارین ما هم استفاده کنیم . اگر اینطور بود الان همه باید سرور هاشون رو جمع می کردن . در محیط تحت ARP میشه این کار رو کرد . اما نه اینترنت . شاید من بی اطلاع هستم لطفاً ابزارش رو اینجا بزارید ما هم ببینیم
سلام
[QUOTE] در لینوکس از syn cookie استفاده میشه و دیگر syn flood جواب نمیده .
[/QUOTE]
منظورم قدم دوم ارتباط TCP بود نه SYN FLOOD.
[QUOTE] شما دارین همچین چیزی رو که در اینترنت جواب بده ؟ ا[/QUOTE]
راه حل های امنیتی رو بر پایۀ یک نرم افزار یا یک سولوشن ارائه نمیدن.
برای هر سناریو و هر موقعیتی ، از مجموعه ای از راه حل ها و نرم افزار ها
استفاده میشه. البته که نرم افزار خاصی برای این منظور وجود نداره و لی
با ترکیب نرم افزار ها ، میتوان به این هدف رسید.
[QUOTE] گه دارین بزارین ما هم استفاده کنیم . اگر اینطور بود الان همه باید سرور هاشون رو جمع می کردن . .[/QUOTE]
به یاد داشته باشیم اگه از بانک دزدی نمیشه ، دلیل نمیشه که بانک 100% امنه ،
از طرف دیگه ، هر ترفند دزدی در هر بانکی جواب نمیده.
[QUOTE] در محیط تحت ARP میشه این کار رو کرد . اما نه اینترنت [/QUOTE]
ARP یه پروتکل هست که تحت LAN و یک بار وقتی سوئیچ راه میافته استفاده میشه
و از روی ای پی اسم کامپیوتر رو پیدا میکنه و .....
محیط تحت ARP چی بود؟
[QUOTE]ARP یه پروتکل هست که تحت LAN و یک بار وقتی سوئیچ راه میافته استفاده میشه
و از روی ای پی اسم کامپیوتر رو پیدا میکنه و .....[/QUOTE]
یک بار نیست . هر چند وقت یک بار ARP table خودش رو آپدیت می کنه با یک اسنیف هم میشه این رو فهمید .
[QUOTE]راه حل های امنیتی رو بر پایۀ یک نرم افزار یا یک سولوشن ارائه نمیدن.
برای هر سناریو و هر موقعیتی ، از مجموعه ای از راه حل ها و نرم افزار ها
استفاده میشه. البته که نرم افزار خاصی برای این منظور وجود نداره و لی
با ترکیب نرم افزار ها ، میتوان به این هدف رسید.
[/QUOTE]
درسته اما همیشه یک راه حل base وجود داره که من گفتم .
[QUOTE]به یاد داشته باشیم اگه از بانک دزدی نمیشه ، دلیل نمیشه که بانک 100% امنه ،
از طرف دیگه ، هر ترفند دزدی در هر بانکی جواب نمیده.[/QUOTE]
بحث اگه هکینگ بود یک چیزی اما اصلاً این چیزی که شما میگین ربطی نداره به این مثال . اگه پابلیک شده بزارین ما ببینیم چطوری هستش این tools ها .
یک کتاب DDOS هست تو Flazx بخونین اون رو . توضیح میده که در لوکال چون از مک آدرس برای انتقال بسته ها استفاده میشه شما میتونین آی پی فیک کنین .
سلام
[QUOTE] یک کتاب DDOS هست تو Flazx بخونین اون رو . توضیح میده که در [B]لوکال[/B] چون از مک آدرس برای انتقال بسته ها استفاده میشه شما میتونین آی پی فیک کنین . [/QUOTE]
حملۀ DOS و DDOS لوکال نیست دوست عزیز.
فیک ا ی پی تحت LAN انجام نمیشه ، LAN مبتنی بر لایۀ 2 هست و آی پی مبتنی بر لایۀ3
[QUOTE]درسته اما همیشه یک راه حل base وجود داره که من گفتم .
[/QUOTE]
اگه راه حل BASE وجود داشت ، هر سازمانی یه راه حل BASE راه میانداخت
و بحث امنیت شبکه هم تو ایران تموم شده اعلام میشد ، ولی قبول کنین اینجوری نیست،
مخصوصا در بحث امنیت شبکه که هزاران سولوشن وجود داره، حداقل اینو قبول کنین
که سواد ادمین امنیت شبکه کشک نیست که راه حل BASE وجود داشته باشه..
همیشه و تمام راه حل ها بر اساس سواد و سناریو هست.
[QUOTE]یک بار نیست . هر چند وقت یک بار ARP table خودش رو آپدیت می کنه با یک اسنیف هم میشه این رو فهمید . [/QUOTE]
خب ؟ توضیح محیط تحت ARP بود این؟
اتفاقاً نمونه هایی از حمله fake ip در محیط شبکه های داخلی که broadcast ساپورت میشه . Smurf
سلام
لطفا به سوالات مطرح شده جواب بدین. مخصوصا محیط تحت ARP.
[QUOTE] اتفاقاً نمونه هایی از حمله fake ip در محیط شبکه های داخلی ک[/QUOTE]
هدف بحث fake ip نیست ، DDOS هست که اونم از بیرونه. لطفا بحث رو به حاشیه نکشید.
ببینید دوست عزیز شما در شبکه های لوکال چون ARp ساپورت میشه و broadcast هم میشه کرد می تونید حملات fake ip رو انجام بدید . اما این رو قبول کنید در محیط اینترنت حملات fake ip وجود نداره . یک resource شما معرفی کنین که در محیط اینترنت گفته باشه که میشه Fake ip کرد .
[QUOTE]اگه راه حل BASE وجود داشت ، هر سازمانی یه راه حل BASE راه میانداخت
و بحث امنیت شبکه هم تو ایران تموم شده اعلام میشد ، ولی قبول کنین اینجوری نیست،
مخصوصا در بحث امنیت شبکه که هزاران سولوشن وجود داره، حداقل اینو قبول کنین
که سواد ادمین امنیت شبکه کشک نیست که راه حل BASE وجود داشته باشه..
همیشه و تمام راه حل ها بر اساس سواد و سناریو هست.
[/QUOTE]
من نگفتم یک را حل base و تکمیل هستش . من گفتم یک راه حل base وجود داره همیشه که بعد ها bypass میشه بالاخره اما این که از دو کانال برای شبکه استفاده کنید و آی پی هایی که درخواست زیادی فرستادن بلوک بشن یک راه حل base هستش می تونید تحقیق کنید راجع به این موضوع .
شما میگید میشه fake ip کرد و بحث کشیده شد به fake ip من به حاشیه نکشیدم . در مورد DDOS هم توضیح دادم در تاپیک های قبلی که شما گفتید fake ip میشه و نمیشه جلوش رو گرفت که گفتم Fake ip نمیشه
سلام
[QUOTE] ببینید دوست عزیز شما در شبکه های لوکال چون ARp ساپورت میشه و broadcast هم میشه کرد می تونید حملات fake ip رو انجام بدید . اما این رو قبول کنید در محیط اینترنت حملات fake ip وجود نداره . یک resource شما معرفی کنین که در محیط اینترنت گفته باشه که میشه Fake ip کرد .
[/QUOTE]Fake ip تحت LAN برای ARP Poisoning بکار میره ولی
تحت اینترنت برای مقاصد مختلفی استفاده میشه. شما بگید
کدوم منظورتونه تا من توضیح بدم. در ضمن این کار تحت اینترنت و تحت
LAN دو مقولۀ کاملا جداست ، اینا رو باهم مقایسه نکنید.