روشهای شناسایی و مقابله با حملات DOS/DDOS

[abolfazl-z]

چرا ISP ها هم میتونن یه کارهایی بکنن و بعضا میکنن. ولی ظاهرا در این زمینه وحدت رویه و استاندارد و قانون های جامع و دقیقی وجود ندارن و یک ISP ممکنه جلوی یکسری چیزهایی رو به یکسری روشهایی تا حدی بگیره و یک ISP دیگر ممکنه تفاوت بکنه در اینکه جلوی چی رو چطوری و تا چه حدی میگیره یا اصلا شاید تقریبا هیچ کاری نکنه. بهرحال تشخیص و جلوگیری از این همه انواع حمله از لحاظ فنی کار ساده و کم هزینه ای هم نباید باشه. خیلی وقتا هم اگر زیادی بخواد حساسیت و جامعیت در این زمینه اعمال بشه میتونه خودش منجر به مشکلات فنی برای کاربران بشه و مسدود شدن بعضی ارتباطهای مورد نیاز و تشخیص اشتباه و این حرفا. در تمام موارد هم نمیشه براحتی ترافیک خطرناک رو از ترافیک عادی تشخیص داد. در بعضی موارد که تقریبا غیرممکن میشه (اگر ISP به تنهایی و بخصوص بصورت خودکار بخواد این کار رو بکنه).

راستی در صحبت قبلی گفتم آدرس IP فرستنده میتونه جعلی باشه؛ این رو درمورد بعضی انواع حمله های DDOS گفتم؛ وگرنه اگر بحث در سطح HTTP و برنامه نویسی PHP باشه، IP کلاینت نمیتونه جعلی باشه (ولی بهرحال هکر ممکنه از پراکسی و رایانه زامبی یا Botnet استفاده کرده باشه).

خوب حجم داده ای که از سیستم هکر ارسال میشه چیزی نیست که نشه فهمید !

و داده هایی که هکر ارسال می کنه چیزی نیست که نشه خوندش !

البته همانطور که گفتم دانش من زیاد نیست ولی همانطور که معلوم هست میشه یه طوری جلوشو گرفت.

پس کسی که آی پی تقلبی ارسال میکنه باید بلاک بشه ! میشه چنین قانونی ؟ اصلا شدنی است ؟

پس کسی که داده های حجیم در یک زمان خاص ارسال مینکه میشه تشخیص داد ؟

اگر میشه لازم نیست طرف سریع بلاک بشه فقط لازم توی لیست دیگر نه لیست سیاه قرار بگیرد و سیستم روی آن اکانت حساس تر عمل کند.