برای جلوگیری از حملات DDos که مخفف Distributed Denial Of Service Attack میباشد روشهای گوناگونی موجود است، ولی یکی از بهترین روشهای نرم افزاری موجود نصب DDos Deflate می باشد که کمک شایانی جهت دفع اینگونه حملات میکند.
طریقه نصب:
ابتدا بوسیله برنامه Putty وارد SSH سرور مجازی یا اختصاصی خود شوید و دستورات زیر را به ترتیب اجرا نمایید:
برای اجرا دستور زیر استفاده میکنیم:
تنظیم DOS_Deflate : فایل پیکربندی را با یک ویرایشگر باز میکنیم:
مقدار زیر را قرار پیدا و به صورت زیر ویرایش کرده:
بجای your_email@domain.com ایمیل خود را بنویسید، در این موقع، هر IP که Banned بشود به شما اخطار میدهد.هر IP چه مقداردر دقیقه کانکشن داشته باشد:
3 تا ۵ بهترین مقدار برای این پارامتر هست.بیشترین connection که هر IP میتواند داشته باشد را مشخص کنید:
مقدار بین ۱۰۰ تا ۲۰۰ میتواند بهترین مقدار باشد.در Dos_Deflate توسط APF بن کنید:اگر فایروال APF نصب دارید میتوانید این مقدار را برابر با یک قرار دهید. اگر نه توسط CSF یا … عملیات Ban کردن را انجام میدهید برابر با صفر قرار دهید.
اگر میخواهید IP مورد نظر توسط DOS_Deflate بن شود مقدار زیر را برابر با یک قرار دهید در غیر این صورت صفر بگذارید.
IP Address های متخلف چه مقدار در حالت معلق باقی بمانند؟
بهترین مقدار ۳۰۰ تا ۱۱۰۰ است.۲- بهینه سازی وب سرور Apache :البته پیشنهاد ما این است که شما از وب سرور های قدرتمند دیگری همچون Litespeed یا nginx استفاده کنید. ابتدا با دستور زیر فایل پیکربندی آپاچی وب سرور را پیدا کنید:
مقدار Timeout را کمتر کنید:
مقدار KeepAliveTime را کمتر کنید:KeepAliveTime به معنای حداکثر انتظار وب سرور برای پاسخ به کاربر میباشد.
قابلیت KeepAlive را خاموش کنید:KeepAlive Off اگریک Connection بیشتر از یک درخواست دارد به طور مدام به آن اجازه ندهد. در واقع KeepAlive وظیفه اش زنده نگه داشتن Connection است.
مقدار MaxClients را کمتر کنید:MaxClients به معنای : بیشترین تعداد پروسس هایی که هر Client میتواند داشته باشد.
نصب و پیکربندی mod_evasive
یکی از راه های مقابله با حملات Dos استفاده از mod_evasive است. این ابزار یک ماژول تحت Apache و برای سرورهای لینوکس است که درخواست ها را کنترل می کند و از جاری شدن سیل عظیم آن (Flood) جلوگیری می کند. این کار بر اساس تعداد درخواست های مجاز تعیین شده در بخش تنظیمات صورت می گیرد. این ماژول آدرس IP که بیش از حد مجاز درخواست می فرستد را بصورت پیش فرض برای ۱۰ دقیقه مسدود (Block) می کند که این مقدار نیز قابل تغییر است. mod_evasive نسخه به روز شده همان ماژول mod_dosevasive است که در تاریخ Feb 1 2005 بصورت استفاده عمومی ارائه شده است.
نکته: این ماژول مشکلاتی را با Frontpage Server Extensions دارد و احتمال از کار انداختن آن را ایجاد می کند.در ضمن پیشنهاد میشود Frontpage بر روی سرور خود پاک و یا غیر فعال کنید.
در فایل پیرکبرندی وب سرور آپاچی httpd.conf مقادیر زیر را قرار دهید:اگر نسخه آپاچی شما ۲٫۰٫x هست :
اگر نسخه آپاچی وب سرور شما ۱٫۰x هست:
سپس وب سرور خود را restart دهید.
3- دیواره آتشین نصب کنید.اگر از CSF استفاده میکنید ، میتوانید تنظیمات زیر را اعمال نمایید:وارد تنظیمات فایروال شوید،
تعداد کانکشن هایی که هر کلاینت با هر IP میتواند داشته باشد را تعیین میکند.
هر چه مدت، چه مدت دیواره آتشین شما کانکشن ها و وضعیت را بررسی کند.
هر IP که بن میشود یا .. به شما گزارش بدهد یا خیر (از طریق ایمیل)
این مقدار را اگ برابر با صفر قراردهید هر IP نمیتواند به طور همیشه بن باشد. اگر یک قرار دهید . هر IP که بن میشود واسه همیشه بن خواهد شد.
IP که بن میشود چه مدت معلق بماند؟! مقدار ۱۸۰۰ یا ۵۰۰ مقداری خوبی است.
برابر با صفر باشد.
آمار از سرور به شما ارائه میدهد. اینکه هر IP چند کانکشن دارد و …
پورت ها را با, از هم جدا کنید. مثلا: ۸۰,۴۴۳,۲۵۴- یافتن حملات و درخواست هایی از نوع sync
با دستور فوق تمام کانکشن هایی که به پورت ۸۰ وصل هستند را نمایش میدهد ، سپس دستور زیر را وارد میکنیم تا ببنیم کجا با SYN_RECV شروع شده است.
تعداد کانکشن های آپاجی و تعداد کانکشن های SYN_RECV :
و برای حذف این برنامه میتوانید از دستورات زیر بهره بگیرید :
طریقه نصب:
ابتدا بوسیله برنامه Putty وارد SSH سرور مجازی یا اختصاصی خود شوید و دستورات زیر را به ترتیب اجرا نمایید:
کد PHP:
wget http://www.inetbase.com/scripts/ddos/install.sh
chmod 0700 install.sh
install.sh/.
کد PHP:
sh /usr/local/ddos/ddos.sh
کد PHP:
nano /usr/local/ddos/ddos.conf
کد PHP:
EMAIL_TO=”your_email@domain.com”
کد PHP:
FREQ=5
کد PHP:
NO_OF_CONNECTIONS=100
کد PHP:
APF_BAN=0
کد PHP:
KILL=1
کد PHP:
BAN_PERIOD=700
کد PHP:
locate httpd.conf
کد PHP:
Timeout 200
کد PHP:
KeepAliveTime 10
کد PHP:
KeepAlive Off
کد PHP:
MaxClients 50
نصب و پیکربندی mod_evasive
یکی از راه های مقابله با حملات Dos استفاده از mod_evasive است. این ابزار یک ماژول تحت Apache و برای سرورهای لینوکس است که درخواست ها را کنترل می کند و از جاری شدن سیل عظیم آن (Flood) جلوگیری می کند. این کار بر اساس تعداد درخواست های مجاز تعیین شده در بخش تنظیمات صورت می گیرد. این ماژول آدرس IP که بیش از حد مجاز درخواست می فرستد را بصورت پیش فرض برای ۱۰ دقیقه مسدود (Block) می کند که این مقدار نیز قابل تغییر است. mod_evasive نسخه به روز شده همان ماژول mod_dosevasive است که در تاریخ Feb 1 2005 بصورت استفاده عمومی ارائه شده است.
نکته: این ماژول مشکلاتی را با Frontpage Server Extensions دارد و احتمال از کار انداختن آن را ایجاد می کند.در ضمن پیشنهاد میشود Frontpage بر روی سرور خود پاک و یا غیر فعال کنید.
کد PHP:
cd /usr/local/src
wget http://www.zdziarski.com/projects/mo..._1.10.1.tar.gz
tar -zxvf mod_evasive_1.10.1.tar.gz
cd mod_evasive
apxs -cia mod_evasive20.c
کد PHP:
<IfModule mod_evasive20.c>
DOSHashTableSize 3097
DOSPageCount 5
DOSSiteCount 100
DOSPageInterval 2
DOSSiteInterval 2
DOSBlockingPeriod 10
DOSBlockingPeriod 600
</IfModule>
کد PHP:
<IfModule mod_evasive.c>
DOSHashTableSize 3097
DOSPageCount 5
DOSSiteCount 100
DOSPageInterval 2
DOSSiteInterval 2
DOSBlockingPeriod 600
</IfModule>
کد PHP:
service httpd restart
کد PHP:
CT_LIMIT =
کد PHP:
CT_INTERVAL =
کد PHP:
CT_EMAIL_ALERT
کد PHP:
CT_PERMANENT
کد PHP:
CT_BLOCK_TIME =
کد PHP:
CT_SKIP_TIME_WAIT
کد PHP:
CT_STATES =
کد PHP:
CT_PORTS
کد PHP:
netstat -an|grep :80
کد PHP:
netstat -an|grep SYN_RECV
کد PHP:
netstat -an|grep :80|wc -l
netstat -an|grep SYN_RECV|wc -l
کد PHP:
wget http://www.inetbase.com/scripts/ddos/uninstall.ddos
chmod 0700 uninstall.ddos
uninstall.ddos/.