جلوگیری از حملات ddos و نحوه امن کردن سرور

جلوگیری از حملات ddosدر این مقاله راهکارهای قدرتمندی را برای شما به عنوان یک مدیر سرور برای جلوگیری از حملات ddos به سمت سرور خواهیم گفت ولی برای شروع شما ابتدا باید بدانید حمله ddos چیست.

 ddos چیست؟

یکی از مرسوم‌ترین حملات سمت سرور از نوع ddos می‌باشد، در این نوع از نفوذ، هکرها به دلیل داشتن دسترسی مستقیم به سرور جهت نفوذ و دیفیس وب‌سایت‌های روی سرور از حملات distributed denial of service استفاده می‌کنند.

در این روش هکر با ارسال پکت های بسیار زیاد در زمان بسیار کوتاه سعی در اشغال منابع سرور و درگیری کامل آن کرده، به طوری که وب‌سایت‌های میزبانی شده تماماً از دسترس خارج خواهند شد.

 

انواع حملات ddos

حملات دداس دارای انواع مختلفی است که می‌توان به SYN flood, Smurf attack, Ping Flood و یا Teardrop attacks نام برد که هر کدام دارای قدرت‌های متفاوت و روش‌های مختلفی برای اجرا هستند.

این روش از حمله با تکنیکهای متفاوتی پیاده‌سازی می‌شود، برای مثال هکر با نوشتن قطعه کد مخربی و پخش کردن آن در بستر اینترنت سیستم‌های بسیاری را آلوده کرده و با هماهنگ‌سازی تمامی زامبی‌ها در یک زمان مشخص دستور حمله به سرور و یا سایت را صادر می‌کند و شدت گستردگی این حملات با توجه به تعداد زامبی‌ها متفاوت خواهد بود و حتی به چندین گیگ خواهد رسید، به طوری که در یک حمله گسترده سرور مذکور با داشتن تمامی تدابیر امنیتی و پهنای باند زیاد و سخت‌افزارهای قدرتمند باز قادر به پاسخگویی به این سطح از درخواست ها نبوده و به طور حتم از دسترس خارج شده و یا اصطلاحاً Down می‌شود.

 

حمله ddos چه زمانی به پایان خواهد رسید؟

جواب این سؤال در یک جمله کوتاه خواهد بود  و آن هم تا زمانی که حمله پایان یابد و یا هکر دستور پایان را صادر کند و یا شما به عنوان مدیر سرور بتوانید اوضاع را کاملاً در اختیار گرفته و حملات را توسط راه‌حل‌هایی که در ادامه برای شما توضیح خواهم داد دفع کنید.

 

شناسایی و جلوگیری از حملات ddos

علائمی که باعث می‌شوند شما به زیر بار بودن سرور، تحت حملات ddos مشکوک شوید کند شدن شدید سرور و دریافت ارورهای عدم اتصال به پایگاه داده و یا too many connection و حتی Internal Server Error اشاره کرد.

در اولین لحظات شروع حمله یک مدیر سرور حرفه‌ای باید تعداد کانکشن های متصل به سرور و همچنین آی‌پی‌های متصل را پیدا کرده و با توجه به درخواست‌های زیاد هر Ip آن‌ها را یافته و آی پی مذکور را توسط فایروال مسدود کند.

البته این روش فقط برای جلوگیری از حملات ddos بر روی لایه‌ی 7 یا همان لایه نرم‌افزاری کاربرد دارد و برای حملات لایه‌های 3 و 4 شما دیگر به عنوان یک مدیر سرور کاری نمی‌توانید بکنید و باید قبل از خرید سرور اقدام به تهیه سرور از دیتاسنترهایی کنید که به فایروال‌های سخت‌افزاری بر روی لایه‌های 3 و 4 مجهز باشند تا بدین صورت و با انجام تمهیدات امنیتی در لایه نرم‌افزاری توسط شما تا حد زیادی از بروز این حملات بر روی سرور جلوگیری شود.

ما فرض را بر این می‌گیریم که سرور شما زیر حملات دداس قرار گرفته و به شدت کند شده و ممکن است در ساعات آتی از دسترس خارج گردد برای شروع شناسایی و جلوگیری از حملات ddos توسط دستورات زیر تعداد connection های متصل شده و آی پی ها را پیدا می‌کنیم

ابتدا توسط دسترسی روت به ssh سرور خود لاگین کنید و دستور بالا را در محیط command line وارد نمایید تا تعداد کانکشن های متصل شده به سرور برای شما نمایش داده شود.

خوب اگر در خروجی بالا عدد زیادی را مشاهده کردید باید مطمئن شوید که آیا این تعداد از رکوئست ها حقیقی هستند یا خیر برای این منظور دستور زیر را جهت نمایش تعداد کانکشن های هر آی پی وارد می‌کنیم.

اگر خروجی نمایش داده شده توسط دستور بالا برای شما عددی غیرمنطقی برای هر آی پی مثلاً عددی در حدود 300 تا 500 کانکشن را نمایش داد باید آی پی مذکور را یادداشت کرده و توسط فایروال سرور خود آن را مسدود نمایید.

توصیه می‌کنیم از فایروال csf جهت مدیریت امنیت سرور خود استفاده نمایید.

 

جلوگیری از حملات ddos توسط فایروال csf

چنانچه می‌خواهید آی پی موردنظر خود را توسط فایروال csf مسدود کنید توسط دستور زیر فایل مربوط به قطع دسترسی فایروال csf را باز کرده و در انتهای فایل آی پی فرد مهاجم را قرار دهید تا دسترسی آن برای همیشه به سرور مسدود گردد.

توصیه می‌کنیم که حتماً توسط وب‌سایت زیر آی پی فرد مهاجم را بررسی کرده و کشور مبدأ را کلاً توسط سرور مسدود نمایید.

همان‌طور که در بالا برای شما شرح دادیم شما به عنوان مدیر سایت و یا مدیر سرور نمی‌توانید حملات لایه‌های 3 و 4 را کنترل کنید پس راه‌کارهایی که در ادامه برای شما شرح خواهیم داد بر اساس لایه‌ی 7 یا لایه‌ی نرم‌افزاری می‌باشد.

یکی از بهترین روش‌های موجود برای کانفیگ سرور و جلوگیری از حملات ddos کانفیگ منحصراً lمربوط به وب سرور می‌باشد.

برای این کار چنانچه وب سرور شما از نوع Apache است استفاده از ماژول mod_evasive به هنگام کامپایل وب سرور راه حل مناسبی خواهد بود به طوری که می‌توانید تعریف کنید که اگر تعداد اتصال هر آی پی بیشتر از یک تعداد مشخصی شد ای پی فرد مهاجم را اتوماتیک مسدود کند تا شما نیاز نداشته باشید که به صورت دستی سرور خود را مدیریت کنید.

و یا می‌توانید به عنوان یک مدیر سرور خبره با نوشتن Rule های امنیتی پیشرفته برای ماژول mod_security تا حد بسیار زیادی جلوی این حملات را بگیرید.

یکی دیگر از راه‌کارهای قدرتمند و بلامنازع برای جلوگیری از حملات ddos به سمت سرور استفاده از cdn ها می‌باشد، در این روش سرور شما با استفاده از آدرس Dns های سرورهای cdn به درخواست‌ها پاسخ داده و آی پی سرور شما نیز از دسترس و مشاهده شدن توسط هکرها به دور خواهد ماند به طوری که اگر هکر در نظر داشته باشد به سرور شما حمله کند ابتدا باید به دنبال آدرس Ip سرور شما باشد و به دلیل آن که آی پی نمایش داده شده آی پی سرورهای cdn است حملات هکر به در بسته خورده و هیچ‌گونه آسیبی به سایت‌های میزبانی شما نخواهد رسید.

 

1 ستاره2 ستاره3 ستاره4 ستاره5 ستاره (1 رای)
Loading...