روش مقابله با DDOS [بایگانی]

Mohammad62

جمعه 31 اردیبهشت 1389, 12:29 عصر

سلام
استاد ما یه سوال داده گفته اگه اینو جواب بدید 20 میدم و دیگه نمیخواد امتحان بدید
پرسیده که : چجوری میشه با حملات DDOs روی یک سرور مقابله کرد جوری که حداکثر تعداد کاربرا بتونن سایتها رو ببینن
البته روشی غیر از استفاده از فایروال
لطفا راهنمایی کنید
ممنون

mehrdad196

جمعه 07 خرداد 1389, 00:27 صبح

میشه بگی این سرور قراره چه سرویس هایی رو در شبکه ارائه کنه؟

RED-C0DE

شنبه 29 خرداد 1389, 01:12 صبح

سلام
استاد ما یه سوال داده گفته اگه اینو جواب بدید 20 میدم و دیگه نمیخواد امتحان بدید
پرسیده که : چجوری میشه با حملات DDOs روی یک سرور مقابله کرد جوری که حداکثر تعداد کاربرا بتونن سایتها رو ببینن
البته روشی غیر از استفاده از فایروال
لطفا راهنمایی کنید
ممنون
ي جستجوي ساده تو گوگل ب جواب مي رسيدي مثلا تو خود ويكي : http://en.wikipedia.org/wiki/Denial-of-service_attack#Prevention_and_response

strongxxx

شنبه 29 خرداد 1389, 08:38 صبح

حملات از نوع تکذیب سرویس گسترده هیچگونه راه حل قطعی نداره (البته تا حالا سال 2010)
اما با استفاده از روشهایی مثل فیلتر کردن بسته های مشکوک مسدود کردن IP های مشکوک
و از این قبیل موراد تا حدی میشه با این نوع حملات مقابله کرد
البته نکته قابل توجه اینه که چطور از مشکوک بودن بسته ها آگاهی یابیم:عصبانی++:

LORD AELX

شنبه 29 خرداد 1389, 09:49 صبح

http://www.riorey.com/?_kk=ddos%20protection&_kt=3825a679-17ee-4603-bb49-3ef6df54755d

http://hotfile.com/dl/16592761/4f992d2/Internet.Denial.of.Service_0131475738.zip.html

gelayor14

یک شنبه 06 تیر 1389, 10:46 صبح

با سلام
راه اول همان فایروال بود که اشاره کردید
راه دوم استفاده از شبکه مجازی می باشد
و راه سوم استفاده از ips ,ids می باشد
اینها جواب هایی بود که از استاد امنیت شبکه ام پرسیدم اما در زیر جواب سایر دوستانم را برایتان می نویسم به نظر خودم کاملتر است

1.اول یک چیز رو باید مشخص کنید . از چه نوع حمله ای می خوایین جلو گیری کنین ؟ خود DDOS انواع حمله داره که میشه در موردش 600 صفحه کتاب نوشت .

در مورد حملات تحت وب هم صحبت کردید . ببینید کلان حملات تحت وب 2 نوع هستند . یا اینکه هکر اینقدر در خواست میفرسته تا usage بزنه بالا یا پهنای باند رو full کنه . یا اینکه وب سرور باگ داشته باشه . دومی که هیج آپدیت باشید مشکلی نیست . اما اولی . برای اینکه جلوی حمله رو بگیرین یا باید از فایروال استفاده کنین که براش یک rule تعریف کنید که اگر یک آی پی از 10 20 بار در یک فاصله زمانی کوتاه کانکت کرد یا request فرستاد اون آی پی رو بلوک کن ( این کار اصولی هستش در برابر جلوگیری از این حملات ) یا اینکه چند تا سرور دیگه بگیری با پهنای باند بیشتر NLB راه بندازی و کلاستر کنی که این کار رو معمولاً زمانی انجام میدن که یک سایت بازدید بالایی داره نه برای جلوگیری از حملات . اما تا حد زیادی می تونه کمکت کنه . خوب چه کاریه ؟ این همه هزینه . آخرش هم بازم سرور Down میشه یکم حمله گسترده تر بشه . از همون اول فایروال رو کانفیگ کن دیگه .

2.اینهایی که شما اشاره کردین DoS و FLOOD بود .

DDOS میشه Distributed Denial Of Service که بطور کلی میشه حمله ی دست جمعی

در مورد DoS صحبت نمیکنم اما DDOS عملا بستگی به حجم حمله بر فرض که واقعا DDOS باشه ( حمله از حداقل 15 سرور ) تنها راه حل اون محافظت از سرویس دهنده های سرور در برابر درخواست ها ( یعنی اینکه سرویس های سرورت رو سرپا نگه داری که دچار مشکل نشه ) و مرحله ی بعدی درخواست به دیتا سنتر برای بلاک کردن اتک از روی سوئیچ های اصلی هست .
یادتون باشه DoS شاید 1 دقیقه هم طول نکشه ، اما DDOS ممکنه روزها هم طول بکشه .

بطور کلی :

اشغال پهنای باند و یا یک پرت : FLOOD
حمله به یک سرویس و از کار انداختن اون در نتیجه کل سرور : DoS
بستن راه های ارتباطی سرور DDOS

بطور کل ابزاری بسیار خطرناک هست که گاهی شما میتونید یک مجموعه ی خیلی خیلی بزرگ رو بدون هیچ راه حلی دچار مشکل کنید . یکی از بدترین نوع این حملات Zombie کردن اصطلاحا نام داره که حمله از طریق بات هایی انجام میشود که از کانالهای IRC دستور میگیرند و بر روی کلاینتهایی که به هر نحوی آلوده شدند نصب شده که شاید تعداد اونها به بیش از 50 هزار هم برسه .
( ویروس کانفیکر طبق گفته ویکیپدیا بیش از 10 میلیون بات داشت و در روز 10 بیلیون بار اسپم میکرد !!!!! )

این کلاینتها از طریق این باتها که روشون نصب شده دستور میگیرند به اینصورت که به کانال مشخصی در IRC در یک ساعت مشخص وصل شده و دستوراتی که بر روی کانال توسط هکر قرار گرفته رو دریافت و اجرا میکنند

برای اطلاعات بیشتر به لینک زیر برید و اون عکس رو هم ببینید و کاملا متوجه میشید :

http://en.wikipedia.org/wiki/Botnet (http://en.wikipedia.org/wiki/Botnet)

3.برای اینکه جلوی حمله رو بگیرین یا باید از فایروال استفاده کنین که براش یک rule تعریف کنید که اگر یک آی پی از 10 20 بار در یک فاصله زمانی کوتاه کانکت کرد یا request فرستاد اون آی پی رو بلوک کن

4.این کارا و این رول ها قدیمی شده و جواب کارتون رو نمیده . نرم افزار های زیادی هستند که این
رول ها رو براحتی دور میزنند. اول اینکه درخواست کانکت شدن از ای پی های ثابت نمی اید و
نوسط نرم افزار ها ، از ای پی های فیک استفاده میشه که به هیچ عنوان قابل شناسایی نیستند.
دوم اینکه ای پی ها کانکت نمیشن و به محض دریافت بستۀ ACK SYN ، ارتباط رو دراپ میکنن و
ای پس ثبت نمیشه.

مشکل دیگه ای هم که هست ، اسیب پذیری خود رول های فایر وال هست که براحتی قابل تغییره
و بنظر من ، این تهدید از دو تهدید قبلی خطرناک تره.

5.بقیه نظرات را هم بعدا برایتان می گذارم
:لبخند::لبخند::تشویق:

باآرزوی موفقیت برای دانشجویان کامپیوتر