امنیتلینوکس و تاثیر آن در دنیای سیستم عامل ها

راه های مقابله با حملات دیداس (DDOS) در لینوکس

در این مقاله قصد داریم تمام یحملات DDOS در لینوکس را مورد بررسی قرار دهید. اما پیش از آن باید بدانیم که حمله دیداس چیست و چه مفهومی دارد؟ اگر بخواهیم بطور مختصر این حملات را تشریح کنیم باید بگوییم DDOS مخفف ( Distributed Denial of Service ) به معنی سرازیر کردن تقاضاهای زیاد به یک سرور  و استفاده بیش از حد از منابع (پردازنده، پایگاه داده، پهنای باند، حافظه و…) است، به طوری که به دلیل حجم بالای پردازش سرویس دهی عادی آن به کاربرانش دچار اختلال شده یا از دسترس خارج شود. و اما در ادامه با ما همراه باشید تا این حملات را در Linuxبررسی کنیم.

آشنایی با انواع حملات DOS

حملات دیداس که یکی از ساده ترین روش‌های هک است به ۵ نوع  کلی دسته بندی می شوند. که در ادامه به بررسی آنها خواهیم پرداخت.

حملات Buffer Overflow Attack

حمله سر ریز بافر یا Buffer Overflow Attack هنگامی رخ می دهد که میزان اطلاعات نوشته شده در بافر بیش از میزان پیش بینی شده برای آن باشد. حمله کننده می تواند داده های کنترل مسیر اجرای برنامه را بازنویسی کرده و کدهای برنامه دلخواه خود را به جای پروسه های سرور به اجرا در آورد.

حملات Ping of Death Attack

در شیوه حمله Ping of Death Attack که یکی از مشهورترین حملات دی او اس قرن بیستم بوده است به طور کلی بلوکه شده و جلوی آن گرفته شده است. حمله کننده به عمد یک پاکت یا بسته IP بزرگتر از ۶۵۵۳۶ بایت را که توسط پروتکل IP مجاز شناخته می شود ارسال می کرد.
در این پروتکل فایل در مبدا به بسته های اطلاعاتی خرد شده و پس از ارسال به کامپیوتر مقصد، بسته های اطلاعاتی در مقصد سر هم شده و بر روی کامپیوتر مقصد فایل دوباره ساخته می شود.
اما سیستم عامل مقصد از عهده سر هم کردن پاکت های اطلاعاتی با اندازه بزرگتر از استاندارد که حمله کننده به صورت عمدی ساخته و ارسال کرده بود، بر نمی آمد و ری استارت می شد یا حتی به سادگی کرش می کرد.

DDoS

Smurf Attack

این روش حمله دیداس شیوه ای برای ایجاد یک ترافیک معنی دار و آزار دهنده بر روی شبکه کامپیوتری قربانی است. در حمله Smurf حمله کننده سیستم قربانی را با ارسال پیام های Ping قلابی غرق می کند.

پیشنهاد ایران هاست برای وب سایت های لینوکس، استفاده از سرورهای ابری با سرعت و Uptime بالاست.

همین امروز سفارش دهید

در این روش، حمله کننده تعداد بسیار زیادی ترافیک ICMP echo یا همان پینگ تولید می کند و آنها را از منابع ناشناس و قلابی به سمت هاست قربانی ارسال می کند. نتیجه هم تعداد فراوانی پاسخ پینگ است که  باعث کند شدن و هنگ کردن سیستم قربانی می شود.

حملات Tear Drop

این حمله شامل ارسال قطعات پاکت های اطلاعاتی روی هم افتاده ای است که بزرگ تر از اندازه معمول هستند اما کاملا انباشته نشده اند. این بسته ها در سیستم عامل های مختلف به دلیل باگ های موجود در کدهای دوباره سازی بسته های اطلاعاتی مرتبط با پروتکل TCP/IP، باعث کرش کردن سیستم می شوند.

حملات SYN Attack

در این روش حمله کننده درخواست های TCP SYN جعلی برای قربانی ارسال می کند. سرور تمامی منابع را به کار می گیرد تا درخواست های دریافتی پاسخ دهد. اما مشکل اینجا است که درخواست دهنده‌ها واقعی نیستند، هر پاسخ تا تایید توسط درخواست دهنده به صورت یک اتصال نیمه باز بر روی سرور باقی می ماند.
سرور در پاسخ یک بسته TCP/SYN-ACK برای درخواست دهنده ارسال می کند و منتظر پاسخ از آدرس فرستنده می ماند. به هر حال به دلیل عدم وجود فرستنده واقعی، هیچ گاه پاسخی برنمی گردد. و کم کم اتصالات نیمه باز تمام اتصالات ممکن سرور را می مکند و اشباع می کنند.
پس سرور از پاسخ گویی به دیگر کاربران معمول خود باز می ماند.

همینطور بخوانید  حمله DDoS (دیداس) چیست و راه های مقابله با آن

روش مقابله به DDOS در لینوکس

 حملات بالا  بر روی  سرورها انجام می شود که با استفاده از سیستم های آلوده از کشور های مختلف در حال انجام می  گیرد. حملات دیداس باعث اختلال در سرویس apache شده و از آنجای که سرویس آپاچی در جلوی حملات DDOS ضعیف عمل می کند سایت های سرور با سرعت خیلی کمی بارگزاری می شوند.

مقابله با DDoS

در این مواقع شما می توانید در سرور های لینوکس با استفاده از دستور زیر لیست IP های متصل به سرور و تعداد کانکشن های آنهارا مشاهده کنید :

netstat -atun | awk ‘{print $5}’ | cut -d: -f1 | sed -e ‘/^$/d’ |sort | uniq -c | sort –n


کارهای که شما باید انجام بدید در صورت امکان وارد کانفیگ CSF خود شوید و PORT 80 را از لیست TCP_IN و TCP_OUT پاک کنید

با اینکار شما پورت ۸۰ را بر روی سرور خود مسدود میکنید و با خیال راحت میتوانید به مرحله بعد بروید . در صورتی که نمیخواهید سایت ها از دسترس خارج شوند میتوانید این کار را انجام ندهید .

پس از بستن PORT 80 ابتدا وارد ConfigServer Firewal شوید و تغیرات زیر را انجام دهید .

تنظیمات مربوط به فایل csf.conf را بصورت زیر تنظیم نمایید:

حفاظت از سیل حملات DOS وSYN

CT_LIMIT = “80” 

CT_INTERVAL = “50”

CT_PERMANENT = “1”

CT_BLOCK_TIME = “1800”

CT_INTERVAL = “60”

CT_SKIP_TIME_WAIT = “1”

SYNFLOOD = “1”

در حال حاضر سرور شما از DOS و حملات SYN محافظت می شود، و از طریق ایمیل زمانی که یک IP مسدود شده است، مطلع خواهید شد. همچنین:

CONNLIMIT = “22;5,80;20”

تعداد کانکشن های همزمان مجاز برای پورت ۲۲ مقدار ۵ وبرای پورت ۸۰ مقدار ۲۰ کانکشن

PORTFLOOD = “80;tcp;20;300”

این تنظیم به این معنا می باشد که تمام درخواست به پورت ۸۰ از نوع TCP از ۲۰ درخواست درثانیه را
در بازه زمانی ۳۰۰ ثانیه را قبل از آزاد شدن کانکشن محدود میکند.

حفاظت از SPAM هرزنامه

LF_DSHIELD = “86400”

LF_SPAMHAUS = “86400”

LF_BOGON = “86400”

 

این تنظیم اختیاری است و پیشنهاد نمی شود زیرا سرور شما از یک لیست بزرگ از IP های بد شناخته شده محافظت می شود،

که همیشه در حال رشد است. سایر تنظیمات مفید شما می توانید دسترسی IP کشورهای مخصوصی را ببندید

 

CC_DENY = “GB,CN”

شما می توانید lfd را برای تشخیص دایرکتوری های مشکوک تنظیم نمایید:

LF_DIRWATCH = “300”

نکته مهم

شما وقتی دستور :

netstat -atun | awk ‘{print $5}’ | cut -d: -f1 | sed -e ‘/^$/d’ |sort | uniq -c | sort -n

را در سرور خود وارد میکنید لیست IP های متصل به سرور شما + تعداد کانکشن نمایش داده میشود ، IP های نمایش داده شده را در سایت زیر وارد کنید 

http://geoip.flagfox.net/?ip=

و بعد از نمایش مشخصات در قسمت Country Code مخفف نام کشور ( برای مثال Iran = IR ) را برای شما نمایش میدهد .

بجز IP کشور های مهم مثل : آلمان ، آمریکا ، ایران و … تمامی IP های نمایش داده شده را ابتدا Country Code آنهارا به دست بیاورید و سپس مثل آموزش بالا وارد ConfigServer Firewall شوید و آن ها را در لیست CC_DENY قرار داده و ذخیره کنید ، سرویس CSF و LFD را ریستارت دهید و سپس سرور خود را reboot دهید . و بعد PORT 80 را در سرور خود باز کنید . 

 

لطفا توجه داشته باشید که این آموزش برای حملات بر روی سطح ۷ شبکه میباشد ( سطح نرم افزار) که سرویس APache را مورد حمله قرار داده اند. در حملات بر روی شبکه و یا …. شما از هیچ نرم افزاری بجز firewall سخت افزاری و یا استفاده از میکروتیک نمیتوانید جلویه حملات را بگیرید . دلیل هم عدم دسترسی و مدیریت نرم افزار ها به سایر لایه های شبکه میباشد .

 

برای استفاده از سرور اختصاصی ایران هاست  و سرور مجازی به همراه firewall  از سرویس های این شرکت دیدن نمایید.

[ratings]

با کارت بانکی باشگاه ایران هاست پولتان به حسابتان باز می گردد.

همین حالا رایگان عضو شوید

برچسب ها

امیر بیژنی

مدیر سرور در ایران هاست | کارشناس ارشد مدیریت فناری اطلاعات | کارشناس مهندسی فناوری اطلاعات | برنامه نویس php، پایتون | تسلط بر مفاهیم سرور، شبکه | علاقه مند به امنیت، IOT، مطالعه، ورزش، گیتار و نقاشی

نوشته های مشابه

یک نظر

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا
بستن
بستن