آموزش مقابله با حملات DDOS

یک حمله DDoS چیست؟

جلوگیری و مقابله با حملات DDOS سرور
جلوگیری و مقابله با حملات DDOS سرور

DDoS مخفف Distributed Denial of Service می باشد.

این یک نوع از حمله DoS مشهور است.

حمله ی DoS یک نوع حمله است که مهاجمان سرویس را متوقف می کند

تا کاربران مشروع نیز نمی توانند به سرویس دسترسی یابند.

حمله از یک سیستم کامپیوتری واحد خواهد بود.

این امر با ارسال درخواست اتصال بیش از حد به یک وب سرور به دست می آید.

هر سرور محدودیتی را بر تعداد درخواستهایی که در یک زمان می تواند مورد استفاده قرار گیرد، محدود می کند.

هنگامی که تعداد درخواستها از این حد بالاتر است،

سرور بارگیری خواهد شد و این سرویس برای کاربران در دسترس نخواهد بود.

این کاربران همچنین می توانند مشروع باشند،

به طوری که سرویس از سرور وب توسط هکرها انکار می شود.

در یک حمله DDoS، درخواست های هکر از طیف گسترده ای از رایانه های خطرناک ارسال می شود.

کامپیوترها اغلب با ویروس های تروجان آلوده می شوند.

همانطور که حمله از شبکه های پویا و یا میزبان راه اندازی شده است،

آن را به شدت مشکل رفع این مشکل است.

ما می توانیم از طریق تأمین امنیت شبکه ها و سرورها از این حمله تا حد مشخص جلوگیری کنیم.

چگونه حمله DDoS کار می کند؟

جلوگیری و مقابله با حملات DDOS سرور
جلوگیری و مقابله با حملات DDOS سرور

نمودار زیر نشان می دهد چگونه یک حمله DDoS کار می کند.

بیایید جزئیات هر عنصر را بررسی کنیم.

سیستم های دخیل در حمله DDoS به دو دسته “Master” و “Slave” تقسیم می شوند.

مهاجم و دستگیرشدگان در اینجا است.

کارشناسی ارشد برده ها، زامبی ها را کنترل می کند و باعث حمله به قربانی می شود.

 

حمله کننده

جلوگیری و مقابله با حملات DDOS سرور
جلوگیری و مقابله با حملات DDOS سرور

این میزبان است که این حمله را آغاز می کند.

این کامپیوتر کنترل کننده ها را کنترل می کند.

هندلر

Handler یک سیستم کامپیوتری است که پس از آن چندین زامبی را کنترل می کند.

زامبی ها برای ارسال درخواست به قربانی استفاده می شود.

 زامبی

زامبی یک سیستم در حال حاضر به خطر افتاده است که ارسال چندین درخواست به سرور قربانی است.

این توسط دستگیره ها کنترل می شود.

 قربانی

سرور که هدف حمله است قربانی نامیده می شود.

سرور با چندین درخواست بیش از حد بار می شود،

به طوری که سرویس آن حتی برای کاربران مشروع نیز قابل دسترس نمی باشد.

درخواست ها از آدرس های IP مختلف تولید می شوند،

به طوری که ابزار رفع عیب نمی تواند به راحتی آنها را مسدود کند.

حمله DDoS در دو مرحله انجام می شود.

جلوگیری و مقابله با حملات DDOS سرور
جلوگیری و مقابله با حملات DDOS سرور

1) نفوذ نفوذ

2) فاز توزیع شده DoS حمله

 

فاز نفوذ

در مرحله اول، به خطر انداختن سیستم های کامپیوتری مختلف در سراسر جهان انجام می شود.

مهاجم کامپیوترهای ضعیف از شبکه های مختلف را به خطر می اندازد.

 

فاز توزیع DoS حمله

مرحله دوم حمله توزیع شده DoS است.

در این مرحله، مهاجم ابزارهایی را برای حمله DDoS نصب می کند

و به قربانیان سرور یا وب سایت ها حمله می کند.

 

عیب یابی حمله DDoS

جلوگیری و مقابله با حملات DDOS سرور
جلوگیری و مقابله با حملات DDOS سرور

همانطور که قبلا ذکر شد، حملات DDoS عیب یابی آسان نیست.

اگر فکر می کنید سرور شما تحت یک حمله DDoS قرار دارد، باید این را تایید کنید.

برای بررسی اینکه آیا یک سرور تحت حمله DDoS است، لطفا دستورالعمل های زیر را دنبال کنید.

 

بررسی کنید آیا بار دستگاه شما بالا است یا خیر

اولین کاری که باید انجام دهید این است که بار دستگاه را بررسی کنید.

لطفا در نظر داشته باشید که ما در حال رفع یک سرور لینوکس در این آموزش هستیم.

در یک سرور لینوکس، با استفاده از بسیاری از دستورات می توانید بار سرور را از انتهای عقب پیدا کنید.

جلوگیری و مقابله با حملات DDOS سرور
جلوگیری و مقابله با حملات DDOS سرور

در اینجا، ما از دستور w استفاده می کنیم.

شما همچنین می توانید از دستور uptime استفاده کنید.

# w

12:00:36 up 1 day, 20:27, 5 users, load average: 0.70, 0.70, 0.57

ما می توانیم پیدا کنیم که 5 کاربر وارد سیستم می شوند و  میانگین  لود سرور 0.70 است.

معمولا اگر بار پنج یا بیشتر باشد، ما باید برای احتمال حمله DDoS تحقیق کنیم.

پس از بررسی بار سرور، ما باید تعداد پروسه HTTP در حال اجرا را تعیین کنیم.

 

تعداد پروسه HTTP در حال اجرا را تعیین کنید

ما می توانیم تعداد فرایند HTTP را با استفاده از فرمان زیر پیدا کنیم.

# ps -aux | grep HTTP | wc -l

24

در یک سرور سنگین حدود 100 اتصال در یک زمان معمول است.

اگر تعداد فرآیندها خیلی بیشتر باشد، می توانیم این را به عنوان حمله DDoS در نظر بگیریم.

حالا ما باید شبکه هایی را پیدا کنیم که از آن حمله می کنند. همیشه در نظر داشته باشید

که شناسایی هر سیستم درگیر در حمله در مورد حملات DDoS مربوط نیست.

از این رو آدرس شبکه به جای آدرس IP فردی مهم است.

حالا ما باید آدرس IP های میزبان ها / شبکه های حمله را تعیین کنیم.

دستور زیر را در خط فرمان اجرا کنید تا آدرس های IP را دریافت کنید.

 # netstat -lpn | grep :80 | awk ‘{print $5}’ | sort

حالا هر بلوک آدرس IP را از خروجی چک کنید.

اگر بیش از 30 اتصال از یک آدرس IP واحد وجود داشته باشد،

سعی کنید چنین آدرس های آی پی / هاست را از لیست بر روی صفحه چاپ کنید.

اگر بیش از پنج آدرس IP / میزبان متصل از یک شبکه وجود دارد،

مشخص است که سرور شما تحت حمله DDoS قرار دارد.

جلوگیری و مقابله با حملات DDOS سرور
جلوگیری و مقابله با حملات DDOS سرور

در حال حاضر، شما باید آدرس IP و یا شبکه های خود را در فایروال خود را مسدود کنید.

لطفا اگر از ConfigServer Security & Firewall استفاده می کنید، از دستور استفاده کنید.

# csf -d IP address

eg: # csf -d 127.0.0.0

این دستور آدرس IP 127.0.0.0 را به فایل “/etc/csf/csf.deny” اضافه می کند.

برای جلوگیری از محدوده IP از دستور زیر استفاده کنید.

# csf -d IP range

برای محدود کردن محدوده 111.xxx.xxx.xxx، از دستور زیر استفاده کنید.

# csf -d 111.0.0.0/8

برای مسدود کردن محدوده 111.111.xxx.xxx از دستور زیر استفاده کنید.

# csf -d 111.111.0.0/16

برای مسدود کردن محدوده 111.111.111.xxx، از دستور زیر استفاده کنید.

# csf -d 111.111.111.0/24