با سلام
می خواستم مرا راهنمایی کنید
چجوری میشه با حملات DDOs روی یک سرور مقابله کرد جوری که حداکثر تعداد کاربرا بتونن سایتها رو ببینن
البته روشی غیر از استفاده از فایروال
موضوعات مشابه:
با سلام
می خواستم مرا راهنمایی کنید
چجوری میشه با حملات DDOs روی یک سرور مقابله کرد جوری که حداکثر تعداد کاربرا بتونن سایتها رو ببینن
البته روشی غیر از استفاده از فایروال
موضوعات مشابه:
با سلام
اول یک چیز رو باید مشخص کنید . از چه نوع حمله ای می خوایین جلو گیری کنین ؟ خود DDOS انواع حمله داره که میشه در موردش 600 صفحه کتاب نوشت .
در مورد حملات تحت وب هم صحبت کردید . ببینید کلان حملات تحت وب 2 نوع هستند . یا اینکه هکر اینقدر در خواست میفرسته تا usage بزنه بالا یا پهنای باند رو full کنه . یا اینکه وب سرور باگ داشته باشه . دومی که هیج آپدیت باشید مشکلی نیست . اما اولی . برای اینکه جلوی حمله رو بگیرین یا باید از فایروال استفاده کنین که براش یک rule تعریف کنید که اگر یک آی پی از 10 20 بار در یک فاصله زمانی کوتاه کانکت کرد یا request فرستاد اون آی پی رو بلوک کن ( این کار اصولی هستش در برابر جلوگیری از این حملات ) یا اینکه چند تا سرور دیگه بگیری با پهنای باند بیشتر NLB راه بندازی و کلاستر کنی که این کار رو معمولاً زمانی انجام میدن که یک سایت بازدید بالایی داره نه برای جلوگیری از حملات . اما تا حد زیادی می تونه کمکت کنه . خوب چه کاریه ؟ این همه هزینه . آخرش هم بازم سرور Down میشه یکم حمله گسترده تر بشه . از همون اول فایروال رو کانفیگ کن دیگه . مشکلی بود در خدمتم
اینهایی که شما اشاره کردین DoS و FLOOD بود .
DDOS میشه Distributed Denial Of Service که بطور کلی میشه حمله ی دست جمعی
در مورد DoS صحبت نمیکنم اما DDOS عملا بستگی به حجم حمله بر فرض که واقعا DDOS باشه ( حمله از حداقل 15 سرور ) تنها راه حل اون محافظت از سرویس دهنده های سرور در برابر درخواست ها ( یعنی اینکه سرویس های سرورت رو سرپا نگه داری که دچار مشکل نشه ) و مرحله ی بعدی درخواست به دیتا سنتر برای بلاک کردن اتک از روی سوئیچ های اصلی هست .
یادتون باشه DoS شاید 1 دقیقه هم طول نکشه ، اما DDOS ممکنه روزها هم طول بکشه .
بطور کلی :
اشغال پهنای باند و یا یک پرت : FLOOD
حمله به یک سرویس و از کار انداختن اون در نتیجه کل سرور : DoS
بستن راه های ارتباطی سرور DDOS
بطور کل ابزاری بسیار خطرناک هست که گاهی شما میتونید یک مجموعه ی خیلی خیلی بزرگ رو بدون هیچ راه حلی دچار مشکل کنید . یکی از بدترین نوع این حملات Zombie کردن اصطلاحا نام داره که حمله از طریق بات هایی انجام میشود که از کانالهای IRC دستور میگیرند و بر روی کلاینتهایی که به هر نحوی آلوده شدند نصب شده که شاید تعداد اونها به بیش از 50 هزار هم برسه .
( ویروس کانفیکر طبق گفته ویکیپدیا بیش از 10 میلیون بات داشت و در روز 10 بیلیون بار اسپم میکرد !!!!! )
این کلاینتها از طریق این باتها که روشون نصب شده دستور میگیرند به اینصورت که به کانال مشخصی در IRC در یک ساعت مشخص وصل شده و دستوراتی که بر روی کانال توسط هکر قرار گرفته رو دریافت و اجرا میکنند
برای اطلاعات بیشتر به لینک زیر برید و اون عکس رو هم ببینید و کاملا متوجه میشید :
http://en.wikipedia.org/wiki/Botnet
ویرایش توسط masterweb : 2010-06-26 در ساعت 01:25 PM
1. در حملات مبنی بر وب حتی DDOS کلمه Flood بکار نمیره . در حملات تحت سیستم و تحت شبکه Flood به کار میره
2. من فقط در مورد جلوگیری حملات DDOS تحت وب بحث کردم
3. مثلاً از کجا فهمیدین منظور من ddos نبود ؟ دوستان شما تاپیک رو بخونین من جایی اشاره از حمله با یک سیستم کردم ؟
4. اگر سوال botnet می کردند من جواب اون سوال هم میدادم که هیچ روش های شناسایی botnet ها رو هم می گفتم برای ایشون ..
5. گفتن چطور جلوگیری کنم . توضیح که نخواستن . توضیح خواستن که بنده توضیح ندادم ؟
لطفاً خوب بخونید تاپیک رو .
در مورد Botnet ها هم بگم امروزه اینقدر honeypot برای شناسایی botnet ها و خصوصیات رفتاری هر bot ساخته و منتشر شده که شما اگه یک bot طراحی کنین هر چقدر هم ساختمان قوی داشته باشه و حتی باگ هایی که ازش استفاده می کنه برای گسترش خودش هم توسط خودتون پیدا شده باشه و فوووووولل پرایوت باشه باز هم برای ساخت یک botnet بزرگ نیاز به زمانی دست کم 1 2 ماه ( بیشتر از این حرفاست ) دارید . تا سیستم ها شناسایی بشن تا join کنند تا تست بشن بیشتر از این حرفا زمان میبره . تو این زمان به راحتی botnet شما شناسایی میشه و باز هم نمیتونید دست به یک حمله بزرگ بزنید . بگذریم که متد هایی مثل ip history اومده و دیگه ddos معنی هم نمیده .
اینم یک کتاب مرجع راجع به botnet ها که الان آپلود کردم . البته نحوه شناسایی Bot ها و botnet ها چیزی نگفته اگه خواستین بگین ابتدا یک توضیح راجع به اون بدم بعد کتابش هم بزارم
RapidShare: 1-CLICK Web hosting - Easy Filehosting
سلام
این کارا و این رول ها قدیمی شده و جواب کارتون رو نمیده . نرم افزار های زیادی هستند که اینبرای اینکه جلوی حمله رو بگیرین یا باید از فایروال استفاده کنین که براش یک rule تعریف کنید که اگر یک آی پی از 10 20 بار در یک فاصله زمانی کوتاه کانکت کرد یا request فرستاد اون آی پی رو بلوک کن
رول ها رو براحتی دور میزنند. اول اینکه درخواست کانکت شدن از ای پی های ثابت نمی اید و
نوسط نرم افزار ها ، از ای پی های فیک استفاده میشه که به هیچ عنوان قابل شناسایی نیستند.
دوم اینکه ای پی ها کانکت نمیشن و به محض دریافت بستۀ ACK SYN ، ارتباط رو دراپ میکنن و
ای پس ثبت نمیشه.
مشکل دیگه ای هم که هست ، اسیب پذیری خود رول های فایر وال هست که براحتی قابل تغییره
و بنظر من ، این تهدید از دو تهدید قبلی خطرناک تره.
در لینوکس از syn cookie استفاده میشه و دیگر syn flood جواب نمیده .دوم اینکه ای پی ها کانکت نمیشن و به محض دریافت بستۀ ACK SYN ، ارتباط رو دراپ میکنن و
ای پس ثبت نمیشه.
شما دارین همچین چیزی رو که در اینترنت جواب بده ؟ اگه دارین بزارین ما هم استفاده کنیم . اگر اینطور بود الان همه باید سرور هاشون رو جمع می کردن . در محیط تحت ARP میشه این کار رو کرد . اما نه اینترنت . شاید من بی اطلاع هستم لطفاً ابزارش رو اینجا بزارید ما هم ببینیمین کارا و این رول ها قدیمی شده و جواب کارتون رو نمیده . نرم افزار های زیادی هستند که این
رول ها رو براحتی دور میزنند. اول اینکه درخواست کانکت شدن از ای پی های ثابت نمی اید و
نوسط نرم افزار ها ، از ای پی های فیک استفاده میشه که به هیچ عنوان قابل شناسایی نیستند.
سلام
منظورم قدم دوم ارتباط TCP بود نه SYN FLOOD.در لینوکس از syn cookie استفاده میشه و دیگر syn flood جواب نمیده .
راه حل های امنیتی رو بر پایۀ یک نرم افزار یا یک سولوشن ارائه نمیدن.شما دارین همچین چیزی رو که در اینترنت جواب بده ؟ ا
برای هر سناریو و هر موقعیتی ، از مجموعه ای از راه حل ها و نرم افزار ها
استفاده میشه. البته که نرم افزار خاصی برای این منظور وجود نداره و لی
با ترکیب نرم افزار ها ، میتوان به این هدف رسید.
به یاد داشته باشیم اگه از بانک دزدی نمیشه ، دلیل نمیشه که بانک 100% امنه ،گه دارین بزارین ما هم استفاده کنیم . اگر اینطور بود الان همه باید سرور هاشون رو جمع می کردن . .
از طرف دیگه ، هر ترفند دزدی در هر بانکی جواب نمیده.
ARP یه پروتکل هست که تحت LAN و یک بار وقتی سوئیچ راه میافته استفاده میشهدر محیط تحت ARP میشه این کار رو کرد . اما نه اینترنت
و از روی ای پی اسم کامپیوتر رو پیدا میکنه و .....
محیط تحت ARP چی بود؟
یک بار نیست . هر چند وقت یک بار ARP table خودش رو آپدیت می کنه با یک اسنیف هم میشه این رو فهمید .ARP یه پروتکل هست که تحت LAN و یک بار وقتی سوئیچ راه میافته استفاده میشه
و از روی ای پی اسم کامپیوتر رو پیدا میکنه و .....
درسته اما همیشه یک راه حل base وجود داره که من گفتم .راه حل های امنیتی رو بر پایۀ یک نرم افزار یا یک سولوشن ارائه نمیدن.
برای هر سناریو و هر موقعیتی ، از مجموعه ای از راه حل ها و نرم افزار ها
استفاده میشه. البته که نرم افزار خاصی برای این منظور وجود نداره و لی
با ترکیب نرم افزار ها ، میتوان به این هدف رسید.
بحث اگه هکینگ بود یک چیزی اما اصلاً این چیزی که شما میگین ربطی نداره به این مثال . اگه پابلیک شده بزارین ما ببینیم چطوری هستش این tools ها .به یاد داشته باشیم اگه از بانک دزدی نمیشه ، دلیل نمیشه که بانک 100% امنه ،
از طرف دیگه ، هر ترفند دزدی در هر بانکی جواب نمیده.
یک کتاب DDOS هست تو Flazx بخونین اون رو . توضیح میده که در لوکال چون از مک آدرس برای انتقال بسته ها استفاده میشه شما میتونین آی پی فیک کنین .
سلام
حملۀ DOS و DDOS لوکال نیست دوست عزیز.یک کتاب DDOS هست تو Flazx بخونین اون رو . توضیح میده که در لوکال چون از مک آدرس برای انتقال بسته ها استفاده میشه شما میتونین آی پی فیک کنین .
فیک ا ی پی تحت LAN انجام نمیشه ، LAN مبتنی بر لایۀ 2 هست و آی پی مبتنی بر لایۀ3
اگه راه حل BASE وجود داشت ، هر سازمانی یه راه حل BASE راه میانداختدرسته اما همیشه یک راه حل base وجود داره که من گفتم .
و بحث امنیت شبکه هم تو ایران تموم شده اعلام میشد ، ولی قبول کنین اینجوری نیست،
مخصوصا در بحث امنیت شبکه که هزاران سولوشن وجود داره، حداقل اینو قبول کنین
که سواد ادمین امنیت شبکه کشک نیست که راه حل BASE وجود داشته باشه..
همیشه و تمام راه حل ها بر اساس سواد و سناریو هست.
خب ؟ توضیح محیط تحت ARP بود این؟یک بار نیست . هر چند وقت یک بار ARP table خودش رو آپدیت می کنه با یک اسنیف هم میشه این رو فهمید .
اتفاقاً نمونه هایی از حمله fake ip در محیط شبکه های داخلی که broadcast ساپورت میشه . Smurf
سلام
لطفا به سوالات مطرح شده جواب بدین. مخصوصا محیط تحت ARP.
هدف بحث fake ip نیست ، DDOS هست که اونم از بیرونه. لطفا بحث رو به حاشیه نکشید.اتفاقاً نمونه هایی از حمله fake ip در محیط شبکه های داخلی ک
ببینید دوست عزیز شما در شبکه های لوکال چون ARp ساپورت میشه و broadcast هم میشه کرد می تونید حملات fake ip رو انجام بدید . اما این رو قبول کنید در محیط اینترنت حملات fake ip وجود نداره . یک resource شما معرفی کنین که در محیط اینترنت گفته باشه که میشه Fake ip کرد .
من نگفتم یک را حل base و تکمیل هستش . من گفتم یک راه حل base وجود داره همیشه که بعد ها bypass میشه بالاخره اما این که از دو کانال برای شبکه استفاده کنید و آی پی هایی که درخواست زیادی فرستادن بلوک بشن یک راه حل base هستش می تونید تحقیق کنید راجع به این موضوع .اگه راه حل BASE وجود داشت ، هر سازمانی یه راه حل BASE راه میانداخت
و بحث امنیت شبکه هم تو ایران تموم شده اعلام میشد ، ولی قبول کنین اینجوری نیست،
مخصوصا در بحث امنیت شبکه که هزاران سولوشن وجود داره، حداقل اینو قبول کنین
که سواد ادمین امنیت شبکه کشک نیست که راه حل BASE وجود داشته باشه..
همیشه و تمام راه حل ها بر اساس سواد و سناریو هست.
شما میگید میشه fake ip کرد و بحث کشیده شد به fake ip من به حاشیه نکشیدم . در مورد DDOS هم توضیح دادم در تاپیک های قبلی که شما گفتید fake ip میشه و نمیشه جلوش رو گرفت که گفتم Fake ip نمیشه
سلام
Fake ip تحت LAN برای ARP Poisoning بکار میره ولیببینید دوست عزیز شما در شبکه های لوکال چون ARp ساپورت میشه و broadcast هم میشه کرد می تونید حملات fake ip رو انجام بدید . اما این رو قبول کنید در محیط اینترنت حملات fake ip وجود نداره . یک resource شما معرفی کنین که در محیط اینترنت گفته باشه که میشه Fake ip کرد .
تحت اینترنت برای مقاصد مختلفی استفاده میشه. شما بگید
کدوم منظورتونه تا من توضیح بدم. در ضمن این کار تحت اینترنت و تحت
LAN دو مقولۀ کاملا جداست ، اینا رو باهم مقایسه نکنید.
ویرایش توسط zamoova : 2010-06-26 در ساعت 07:37 PM