نمایش نتایج 1 تا 7 از 7

نام تاپیک: راه‌های مقابله‌ با حملات ip spoofing

  1. #1

    راه‌های مقابله‌ با حملات ip spoofing

    سلام
    ما یک سرور لینوکس داریم که به طور پیوسته مورد حمله از نوع ip spoofing قرار میگیره به این صورت که با هر آیپی جعلی یک کانکشن با وب سرور ایجاد می‌شه و آیپی‌های جعلی هم از رنج ولید هستند تنظیمات محدودیت hitcount در iptable انجام دادم که البته در مورد این نوع حمله کارایی نداره همچنین تنها پورت ۸۰ باز هست و حمله فقط روی این پورت انجام می‌شه از اونجایی که تعداد کانکشن‌های جعلی بسیار زیاد هست به سرعت منابع وبسرور اشغال می‌شه و از کار میفته


    با این توضیحات چه راه‌کار‌های نرم‌افزاری برای مقابل با این حمله می‌شه انجام داد؟

  2. #2
    کاربر دائمی آواتار cybercoder
    تاریخ عضویت
    فروردین 1387
    محل زندگی
    root/
    پست
    2,016

    نقل قول: راه‌های مقابله‌ با حملات ip spoofing

    یک راهش استفاده از IDS/IPS هست مثل Snort:
    https://nsrc.org/workshops/2016/apri...-3-3.snort.pdf

    راه دیگه اش استفاده از connection limit برای قراردادن ip ها در black list هست در فایروال که اگر واقعا بازدیدتون بالا باشه کارایی نداره چون کاربران رو بعضی اوقات بلاک میکنه.

    راه دیگه اش هم استفاده از captcha هستش که در صورت ورود ترافیک http زیاد ip رو به صفحه captcha منتقل کنه که البته یک level بالاتر باید قرار بگیره نه روی خود web server

  3. #3

    نقل قول: راه‌های مقابله‌ با حملات ip spoofing

    یک راهش استفاده از IDS/IPS هست مثل Snort:
    https://nsrc.org/workshops/2016/apri...-3-3.snort.pdf
    ممنون، ولی‌ همونطور که عرض کردم اولویت راه حل نرم‌افزاری هست (اگر وجود داشته باشه)


    راه دیگه اش استفاده از connection limit برای قراردادن ip ها در black list هست در فایروال که اگر واقعا بازدیدتون بالا باشه کارایی نداره چون کاربران رو بعضی اوقات بلاک میکنه.
    به دلیل اینکه آیپی های متصل شده فیک و به صورت رندم هستند اگر تمام درخواست‌هایی که مثلا بعد از ۳۰ ثانیه پکت ارسال نمیکنند رو تو بلاک لیست قرار بدم اندازه این بلاک لیست ممکنه به ملیارد هم برسه و اگر بخوام چک کنم که آیپی درخواست کننده تو بلاک لیست هست یا نه این CPU خیلی‌ زیادی مصرف می‌کنه به طوری که همین امر باعث از دسترس خارج شدن سرور می‌تونه بشه

    راه دیگه اش هم استفاده از captcha هستش که در صورت ورود ترافیک http زیاد ip رو به صفحه captcha منتقل کنه که البته یک level بالاتر باید قرار بگیره نه روی خود web server
    از اونجایی که تعداد کانکشن هایی که در یک زمان کوتاه متصل میشن خیلی‌ بالا هست و وبسرور مدت زمانی‌ منتظر دریافت پکت برای این کانکشن‌ها میمونه همین امر باعث می‌شه تمام ظرفیت ممکن(۶۰ هزار کانکشن همزمان) اشغال بشه و سرور درخواست دیگه‌ای رو نمیتونه اکسپت کنه.

    روش یا تکنیک خاصی‌ وجود نداره که بشهدر لایه ۳ از روی هدر آیپی‌ها جعلی بودنشن رو تشخیص داد ؟

  4. #4
    کاربر دائمی آواتار cybercoder
    تاریخ عضویت
    فروردین 1387
    محل زندگی
    root/
    پست
    2,016

    نقل قول: راه‌های مقابله‌ با حملات ip spoofing

    ممنون، ولی‌ همونطور که عرض کردم اولویت راه حل نرم‌افزاری هست
    SNORT نرم افزاری متن بازه!

    به دلیل اینکه آیپی های متصل شده فیک و به صورت رندم هستند اگر تمام درخواست‌هایی که مثلا بعد از ۳۰ ثانیه پکت ارسال نمیکنند رو تو بلاک لیست قرار بدم اندازه این بلاک لیست ممکنه به ملیارد هم برسه و اگر بخوام چک کنم که آیپی درخواست کننده تو بلاک لیست هست یا نه این CPU خیلی‌ زیادی مصرف می‌کنه به طوری که همین امر باعث از دسترس خارج شدن سرور می‌تونه بشه
    برای این کارها ابزاری وجود داره به نام فایروال که لازم نیست حتما روی همون وب سرور run بشه. نمیتونم وب سروری رو تصور کنم که پشت فایروال و لودبالانسر نباشه! با این حال بلک لیست ها رو معمولا زمانی در نظر میگیرند. مثلا IP های مهاجم 3 ساعت در بلک لیست باشند و ...
    روش یا تکنیک خاصی‌ وجود نداره که بشهدر لایه ۳ از روی هدر آیپی‌ها جعلی بودنشن رو تشخیص داد ؟
    IDS/IPS این کار رو میکنه. راهنمای SNORT رو مطالعه کنید.

    موفق باشید.
    آخرین ویرایش به وسیله cybercoder : شنبه 10 مهر 1395 در 01:20 صبح

  5. #5
    کاربر تازه وارد
    تاریخ عضویت
    شهریور 1391
    محل زندگی
    tabriz tehran
    پست
    80

    نقل قول: راه‌های مقابله‌ با حملات ip spoofing

    حمله شما ddos هست و از آنجایی که اتکر آی پی عوض میکنه شما نمیتونی جلوش رو بگیری حتی ids ips هم نمیتونه جلوش رو بگیره مگر اینکه بیای شما تحلیل کنی و رفتار اتکر رو بفهمی و یه سیگنیچر یا رولی بنویسی و جلوش رو بگیری - به نظر بهتر هست شما تعدا کانکشن های همزمان رو محدود بکنی و از کوکی یا سیزن استفاده کنی وقتی کسی رو بلاک کردی مجبور بشه بره کوکیشو حذف کنه بیاد(که در این صورت هم چون این اتک از طرق نرم افزار صورت میگیره نمیتونه دوباره لاگین بکنه) - شما باید یه جوری اهراز هویت کنی حالا چجوری ؟ نیاز به بحث داره. بلاخره جلوگیری از حملات خرابکاری ddos راحت نیست و نیاز به فایروال های سخت افزاری دارین که سیگنیچر های قوی داشته باشه. من نظر شخصیم اینه شما کانکشن هارو اهراز هویت کنین و به یوزر توکن بدین که اگر ایپیش عوض شد توکن فاسد بشه و مجبور باشه توکن دیگه بگیره

  6. #6

    نقل قول: راه‌های مقابله‌ با حملات ip spoofing

    نقل قول نوشته شده توسط prans68 مشاهده تاپیک
    حمله شما ddos هست و از آنجایی که اتکر آی پی عوض میکنه شما نمیتونی جلوش رو بگیری حتی ids ips هم نمیتونه جلوش رو بگیره مگر اینکه بیای شما تحلیل کنی و رفتار اتکر رو بفهمی و یه سیگنیچر یا رولی بنویسی و جلوش رو بگیری - به نظر بهتر هست شما تعدا کانکشن های همزمان رو محدود بکنی و از کوکی یا سیزن استفاده کنی وقتی کسی رو بلاک کردی مجبور بشه بره کوکیشو حذف کنه بیاد(که در این صورت هم چون این اتک از طرق نرم افزار صورت میگیره نمیتونه دوباره لاگین بکنه) - شما باید یه جوری اهراز هویت کنی حالا چجوری ؟ نیاز به بحث داره. بلاخره جلوگیری از حملات خرابکاری ddos راحت نیست و نیاز به فایروال های سخت افزاری دارین که سیگنیچر های قوی داشته باشه. من نظر شخصیم اینه شما کانکشن هارو اهراز هویت کنین و به یوزر توکن بدین که اگر ایپیش عوض شد توکن فاسد بشه و مجبور باشه توکن دیگه بگیره
    دوست عزیز حمله در لایه ای پی بود و نوع حمله همونطور که عرض کردم آی پی اسپوفینگ بوده و توی این لایه(لایه IP) خبری از لاگین و احراز هویت نیست!
    تنها راه مقابله با این نوع حمله افزایش پهنای باند شبکه و فیلتر کردن بسته هاد جعلی هست .

  7. #7
    کاربر تازه وارد
    تاریخ عضویت
    شهریور 1391
    محل زندگی
    tabriz tehran
    پست
    80

    نقل قول: راه‌های مقابله‌ با حملات ip spoofing

    شما منظور بنده رو متوجه نشدی. یا که سوال رو خوب مطرح نکردین. اول این که حمله قصدش خرابکاری و اختلال هست و این یعنی دی داس(رجوع شود به مفهوم دی داس نه معنی دی داس) و اینکه من احساس کردم این حمله نرم افزار شمارو از کار میندازه چون گفتین روش نرم افزاری میخام ولی الان ظاهرا اینجور متوجه میشم که کل سرور شمارو داون میکنه نه سرویس خاصی رو
    با افزایش پهانی باند شما مشکلی حل نمیشه چون اگراتکر از ماشین های زامبی استفاده کنه حتما پهنای باند بزرگی در اختیار داره در این صورت حتی اگه شما تمامی پکت ها رو بخای ریجکت کنی باز داون میشی یعنی مجبوری منابع خیلی خیلی بالایی داشته باشی که فکر نکنم مقرون به صرفه باشه. بخاطر این میگیم کسی که دی داس انجام میده حتما پدر کشتی داره چون فقط قصدش از کار انداختن و مختل هست تا جایی که کلا از دسترس خارج بکنه هدف رو و غیر این هیچ هدفی دنبالش نیست

تاپیک های مشابه

  1. تغییر مسیر با ip spoofing
    نوشته شده توسط FastCode در بخش امنیت در شبکه
    پاسخ: 2
    آخرین پست: پنج شنبه 29 مهر 1389, 16:26 عصر
  2. تفاوت آدرس فیزیکی با آدرس IP
    نوشته شده توسط Developer Programmer در بخش شبکه و Networking‌
    پاسخ: 9
    آخرین پست: شنبه 28 اردیبهشت 1387, 11:38 صبح
  3. کارهایی که میشه با یه IP کرد
    نوشته شده توسط once4ever در بخش امنیت در شبکه
    پاسخ: 20
    آخرین پست: چهارشنبه 05 مهر 1385, 03:50 صبح
  4. آشنایی با حملات pharming
    نوشته شده توسط hmm در بخش امنیت در شبکه
    پاسخ: 2
    آخرین پست: چهارشنبه 24 اسفند 1384, 12:15 عصر
  5. چرا user host name با آدرس IP فرقی ندارند؟
    نوشته شده توسط white fox در بخش ASP.NET Web Forms
    پاسخ: 4
    آخرین پست: پنج شنبه 04 اسفند 1384, 17:34 عصر

قوانین ایجاد تاپیک در تالار

  • شما نمی توانید تاپیک جدید ایجاد کنید
  • شما نمی توانید به تاپیک ها پاسخ دهید
  • شما نمی توانید ضمیمه ارسال کنید
  • شما نمی توانید پاسخ هایتان را ویرایش کنید
  •