|
السلام عليكم
يوجد لدي سيرفر كان فيه هجوم على أحد المواقع الموجودة على السيرفر مما أثر على السيرفر كامل !!
اعتقادي الكبير ان نوع الهجوم
syn-flood
قوة الهجوم
Exceeded Packets In: 1019.1 k (Threshold: 250 k)
Exceeded Flows In: 762.2 k (Threshold: 250 k)
هذه بعض الأيبيات المهاجمه
لم يستطع أي برنامج صد الهجوم
root@ser99 [/]# netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -nk 1
297 195.23.155.238
302 89.102.205.164
304 186.106.45.245
313 98.202.136.200
314 112.156.77.166
319 91.73.62.130
330 79.112.93.113
335 113.65.129.167
336 46.11.39.186
345 82.81.97.192
345 85.66.150.147
348 87.69.89.83
352 79.112.109.177
353 219.141.209.213
363 195.23.155.237
369 88.118.6.59
379 125.102.30.165
399 119.197.231.13
408 79.112.17.26
439 77.79.172.20
456 84.123.119.237
468 203.198.39.70
506 95.55.185.209
509 123.0.101.69
549 186.10.25.192
606 94.75.112.27
678 62.24.80.116
745 46.109.84.55
846 113.252.107.151
877 62.107.173.29
941 78.8.135.89
952 89.102.217.166
987 113.43.182.178
1067 77.64.139.227
1130 178.159.22.56
1248 46.109.56.222
1249 62.178.158.130
1266 113.253.90.235
1275 194.79.95.209
1500 113.255.251.245
1510 62.107.84.161
1657 92.32.8.229
1755 188.173.93.20
1786 78.45.195.28
ركبت جميع هذه البرامج
IPTables
mosSecurity
وبإعدادات 99% قيوية وسلمية
الغريب في الأمر ولا برنامج حماية قدر يوقفه حتى شركة سوفت لير تحدثت مع الدعم الفني كان رده
Your server is being hit with a denial of service attack; we have placed the server under the Cisco Guard systems' protection, but it isn't very effective because the requests are legitimate HTTP requests.
يقول بأن الهجوم قوي لم نستطيع التصدي له ! لأن الهجوم كان على المنتفذ http 80
كيف ممكن تساعدوني في هذا الأمر !!
أنا طرحت هذا الموضوع للنقاش ومعرفة التصدي لهذا النوع من الهجوم في المستقبل ..
راسلت شركة gigenet.com
رد بعد ماشاف bandwidth graphs
كود: For something like that we can do $350/mo + $1000 set up fee - however, if you were to host with us I could offer you a discounted set-up fee. When would you be looking to move forward with the protection?
ارفقت لكم bandwidth graphs
http://imageshack.us/photo/my-images/12/a27v03td.png/
http://imageshack.us/photo/my-images/546/0rsk2ph7.png/
ياليت من واجهه مثل هذا الهجوم أو يعرف طريقة الهجوم والتصدي لها يفيدني ويفيد أخواني بهذا المنتدئ الرائع
وفقكم الله
 |
أسئلة وأجوبة 
1. استخرج User Agent الذي يقوم بإرسال الريكويستس للأباتشي واكتب له قانون بحجب الطلب الذي يأتي منه مع جعل القانون يسجل الحدث في لوج المودسيكورتي.
2. ركب CSF واضبطة مع المودسيكورتي بحيث عندما يكتشف اي هجمة لأكثر من ريكوستس يقوم بحجب الايبي.
هذا مايخص المودسيكورتي في ماذا يستطيع ان يفيدك في هجمات حجب الخدمة.
الشيء الاخر واضح ان اعدادات الايبي تيبل غير صحيحة تماماً لسبب بسيط لو كانت مضبوطة لما سمح لأيبي الواحد ان يفتح اكثر من 100 اتصال علماً ان الجزء الاكبر منها بحالة WAIT
تستطيع من خلال الايبي تيبل او csf لسهولة التعديل والضبط من ضبط الحد الاقصى للكونكشنس لكل ايبي بحالتك 50 ~ 100 جيدة. ومن تجاوز الحد يتم حجبة ل 24 ساعة مثلاً.
قد تحتاج لتغيير php handler إلى fastcgi لانه يتحمل الترافك العالي اكثر من php_module and/or suphp
بالمناسبة HW firewall افضل ولكن مكلف. ويساعد السيرفر على التحمل لان الضغط لايكون عليه بالكامل.
عليك ايضاً بالتبليغ عن هذه الايبيات ليتم حجبها من الشبكة مباشرة في الداتا سنتر. قد تقول انهم غير متعاونين هذا غير صحيح لسبب بسيط الهجوم هذا لا يوثر عليك فقط بل يوثر على كل السيرفرات التي في نفس الراك/السويتش/الراوتر وهذا يعتمد على قوة الهجوم. وايضاً قدم شكوى للجهة المسؤولة عن الايبيات هذه.