ডিডিওএস আক্রমণের অধীনে সার্ভার - আইপিগুলি কীভাবে সন্ধান করবেন?


20

আমার সার্ভারটি ডিডিওএস আক্রমণে রয়েছে এবং আমি যে আইপি এটি করছে তা ব্লক করতে চাই, আক্রমণকারীর আইপি নির্ধারণ করার জন্য আমার কোন লগগুলি সন্ধান করা উচিত?


2
এটি কীভাবে আপনি নির্ধারণ করেছেন যে সার্ভারের আক্রমণ চলছে? আমার কাছে মনে হচ্ছে যে এই সংকল্পটি করার জন্য আপনাকে কোনও ধরণের টিসিপি সেশন টেবিল (উইন্ডোজ নেটস্যাট) দেখতে হবে এবং এটি করার মাধ্যমে হোস্টের আইপি ঠিকানাগুলি আপনার সার্ভারের সাথে সংযোগ স্থাপন করবে, যা আপনার প্রশ্ন তৈরি করবে তর্ক করা।
joeqwerty

উত্তর:


43
tail -n 10000 yourweblog.log|cut -f 1 -d ' '|sort|uniq -c|sort -nr|more

শীর্ষস্থানীয় আইপি ঠিকানাগুলি একবার দেখুন। অন্যদের থেকে যদি কেউ দাঁড়ায় তবে সেগুলি ফায়ারওয়াল করবে।

netstat -n|grep :80|cut -c 45-|cut -f 1 -d ':'|sort|uniq -c|sort -nr|more

এটি বর্তমানে সক্রিয় সংযোগগুলির দিকে নজর দেবে যে 80 টি পোর্টের সাথে সংযুক্ত কোন আইপি রয়েছে কিনা। আপনার আইপি ঠিকানাটি কলাম 45-এ শুরু না হতে পারে বলে কাট-সি 45- পরিবর্তন করতে হবে। যদি কেউ ইউডিপি বন্যা করছেন আপনার ওয়েবসার্ভার, এটি এটিও বেছে নেবে।

এইগুলির মধ্যে কোনওটিই কোনও আইপি না দেখায় যেগুলি প্রচলিত আদর্শের বাইরে চলে গেছে, আপনাকে ধরে নিতে হবে যে আপনার উপর বোটনেট আক্রমণ করছে এবং তারা কী করছে তা দেখার জন্য লগগুলিতে বিশেষ নিদর্শনগুলির সন্ধান করতে হবে। ওয়ার্ডপ্রেস সাইটগুলির বিরুদ্ধে একটি সাধারণ আক্রমণ হ'ল:

GET /index.php? HTTP/1.0

আপনি যদি নিজের ওয়েবসাইটের অ্যাক্সেস লগগুলি সন্ধান করেন তবে আপনি এর মতো কিছু করতে সক্ষম হবেন:

cut -f 2 -d '"' yourweblog.log|cut -f 2 -d ' '|sort|uniq -c|sort -nr|more

যা আপনাকে সবচেয়ে হিট ইউআরএল দেখায়। আপনি দেখতে পাবেন যে তারা পুরো সাইটটি লোড না করে কোনও নির্দিষ্ট স্ক্রিপ্টে হিট করছে।

cut -f 4 -d '"' yourweblog.log|sort|uniq -c|sort -nr|more

আপনাকে সাধারণ ইউজার এজেন্টস দেখতে দেবে। সম্ভবত তারা তাদের আক্রমণে একটি একক ইউজার এজেন্ট ব্যবহার করছে।

কৌশলটি হ'ল আক্রমণ ট্র্যাফিকের সাথে অভিন্ন কিছু সন্ধান করা যা আপনার সাধারণ ট্র্যাফিকের মধ্যে নেই এবং তারপরে iptables, mod_rewrite বা আপনার ওয়েবহোস্টের মাধ্যমে আপস্ট্রিমের মাধ্যমে ফিল্টার করুন। আপনি যদি স্লোলোরিসের সাথে আঘাত হানতে থাকেন তবে অ্যাপাচি ২.২.১৫-এ এখন রেকটাইমআউট মডিউল রয়েছে যা আপনাকে স্লোলোরিসের বিরুদ্ধে আরও সুরক্ষার জন্য কিছু সেটিংস কনফিগার করতে দেয়।


অনেক অনেক ধন্যবাদ, আমি অবশ্যই এই সপ্তাহান্তে এটি সন্ধান করব।
ওয়েবনেট

চমৎকার। খুব দরকারী এবং সহজভাবে দুর্দান্ত .... এটি চালিয়ে যান এবং blessশ্বর আপনাকে মঙ্গল করুন bless Allinonescript.com ( allinonescript.com ) সারা বিশ্বজুড়ে বিকাশকারীদের জ্ঞান জ্ঞান অর্জন করে।
ভাদেভেল এস

যতক্ষণ আপনি আপনার অ্যাক্সেস_লগটি সঠিকভাবে সেট আপ করবেন: যতক্ষণ না টেইল -n 10000 / var / লগ / httpd / অ্যাক্সেস_লোগুলি আমার জন্য কাজ করেছেন
ডাস্টবাস্টার

7

এফওয়াইআই - আপনার আইএসপি দিয়ে এটি আপনার প্রবাহকে অবরুদ্ধ করতে পারে কিনা তা দেখার জন্য আপনার চেষ্টা করা উচিত to


4

কিছু ভাল টিপস এখানে। আমি এটি যোগ করতে চাই:

netstat -an | grep ESTABLISHED | awk '\''{print $5}'\'' | awk -F: '\''{print $1}'\'' | sort | uniq -c | awk '\''{ printf("%s\t%s\t",$2,$1); for (i = 0; i < $1; i++) {printf("*")}; print ""}'\''

এটি একটি উপনামের নীচে রাখুন (উদাহরণস্বরূপ) এটি আপনাকে আরও প্রতিষ্ঠিত সংযোগের সাথে আইপিসের একটি "গ্রাফিকাল" দৃষ্টিভঙ্গি দেবে।

আশাকরি এটা সাহায্য করবে.

যারা এই কাজ করতে পারেন না তাদের জন্য আমি সিনট্যাক্সটি ঠিক করে রেখেছি তাই এটি আমার জন্য উবুন্টুর অধীনে চলে:

netstat -an|grep ESTABLISHED|awk '{print $5}'|awk -F: '{print $1}'|sort|uniq -c|awk '{ printf("%s\t%s\t",$2,$1); for (i = 0; i < $1; i++) {printf("*")}; print ""}'

3

ডস আক্রমণগুলি পরীক্ষা করার জন্য আমার প্রিয় লগ ফাইলগুলি হ'ল / ভার / লগ / সুরক্ষিত (রেডহাট / সেন্টোস / ফেডোরার অধীনে ....) এবং /var/log/auth.log (উবুন্টু, ডিবিয়ান এর অধীনে ...)। আপনি আক্রমণকারীর উত্স আইপি থেকে ব্যর্থ লগইন প্রচেষ্টা দেখতে পাবেন, প্রায়শই অভিধান ভিত্তিক আক্রমণ।


1

আমার সার্ভারটি সুরক্ষিত করার জন্য আমি একটি সাধারণ স্ক্রিপ্ট Fail2Ban ব্যবহার করি

/ var / log / pwdfail বা / var / লগ / অ্যাপাচি / ত্রুটি_লগের মতো লগ ফাইলগুলি স্ক্যান করে এবং আইপি নিষিদ্ধ করে যা অনেক বেশি পাসওয়ার্ড ব্যর্থ করে দেয়। এটি আইপি ঠিকানা প্রত্যাখ্যান করার জন্য ফায়ারওয়াল বিধি আপডেট করে।

http://www.fail2ban.org/wiki/index.php/Main_Page


0

কোন ডিস্ট্রো?

আমি মনে করি লগটি উবুন্টুর সাথে /var/log/apache2/access.log এর অধীনে রয়েছে ... সম্ভবত ডেবিয়ানও।

আপডেটডোকে sudo হিসাবে চালান তারপর কমান্ড লাইন থেকে অ্যাক্সেস.লগ সনাক্ত করুন।

সম্পাদনা: আমি বিশ্বাস করি যদিও এটি কেবল তখনই ঘটবে যদি তারা আপনাকে পৃষ্ঠাগুলির অনুরোধ করে বা সরাসরি পোর্ট ৮০ এর মাধ্যমে মারতে থাকে they সেই বন্দরে চলছে এবং সেই প্রক্রিয়াটির জন্য সংযোগ লগগুলি একবার দেখুন।


0

আপনি যদি কোনও নির্দিষ্ট বন্দর সন্দেহ করেন তবে আপনি কোন ঠিকানাটি এটির জন্য tcpdump ব্যবহার করতে পারেন $ tcpdump -vv পোর্ট এক্স


0

আপনি যদি কোনও বিতরণের ডসের আওতায় থাকেন তবে অবশ্যই একাধিক আইপি ব্লক করতে হবে এবং আইপিগুলি নকল হতে পারে, আপনি এমএসফিনি যেমন বলেছিলেন তত আপনার আইএসপি জিজ্ঞাসা করা ভাল better এছাড়াও এটি আপনার সার্ভারের বিরুদ্ধে কোনও ডসের চেয়ে বেশি হতে পারে তবে প্রকৃত আক্রমণটি সনাক্ত হওয়া থেকে আড়াল করার জন্য একটি রায়, তাই পরীক্ষা করে দেখুন যে আপনার সমস্ত উন্মুক্ত পরিষেবাদি আপ টু ডেট সফটওয়্যার দ্বারা চালিত হয়েছে। আপনি অ্যাপাচের জন্য মোড_ডোসেভসে আগ্রহীও হতে পারেন।


2
ওয়েব আক্রমণগুলির জন্য আইপিগুলি তৈরি করা খুব কঠিন। যেহেতু একটি বৈধ ওয়েব সংযোগের জন্য একটি সিন / অ্যাক হ্যান্ডশেক দরকার, জালযুক্ত আক্রমণকারী সাইট থেকে কাজ করার জন্য আপনার পেডোলের জন্য সঠিক সিকোয়েন্স নম্বর সহ জাল আইপি অ্যাড্রেস অ্যাক পেয়ে আপনার ভাগ্যবান হতে হবে। ইউডিপি / আইসিএমপি ট্র্যাফিক সংযোগহীন এবং জাল প্যাকেটগুলির অনুমতি দেয় তবে বেশিরভাগ হোস্টগুলি এই প্যাকেটগুলিকে অবরুদ্ধ করে।
ব্যবহারকারী 6738237482

0

প্রথমে আপনাকে ডসের ধরণ নির্ধারণ করতে হবে। কিছু আক্রমণ খুব চূড়ান্ত কিন্তু কার্যকর (স্লোলোরিস), এর মধ্যে কয়েকটি এত ভারী যে কোনও আইএসপি নিচে আনতে পারে (আইসিএমপি বন্যাকে আপনার আইএসপি উত্সের চেয়ে উচ্চতর ব্যান্ডউইথ থেকে))

আপনি ডসের ধরণ নির্ধারণ করার পরে, আপনার আইএসপিতে কল করুন এবং তাদের জিজ্ঞাসা করুন যে তারা ট্র্যাফিকটি ফিল্টার করতে পারে কিনা।

আমি আইসিএমপি বন্যাকে এত বেশি ভারী দেখেছি যে বিজিপি সম্প্রদায়ের মাধ্যমে প্রবাহের আইএসপিটিকে গন্তব্য আইপি ফিল্টার করতে বলি।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.