موجودی به نام میکروتیک که امروزه توی سازمان های ایران همه گیر شده و خیلی از مشکلات زیادی رو حل میکنه  امیدوارم این تجربه به دردتون بخوره؟!!!!!!!!!!!! 

چندي قبل گرفتار يه حمله عجيب و غريب شده بودم كه ظاهري شبيه DDoS داشت - البته نفهميدم دقيقا كدوم روشش - خلاصه به هر سختي بود جلوشو گرفتم . و دنيا نجات پيدا كرد  . بعد از اون سعي كردم در مورد اين نوع حمله يه مقدار مطالعه كنم . - مشكل عمده ما ايرانيها ! اول مي زاريم مشكل پيش بياد بعد ماست مالي اش مي كنيم بعد اگر حوصله مون شد مي ريم دنبال دليل و راه حل !!!- به نتايج جالبي رسيدم و اتفاقي به پست جالبي برخوردم ، كه جلوگيري از حملات دي داس براي اي پي تيبلز لينوكس بود . از اونجا كه فايروال ميكروتيك بر پايه همين اي پي تيبلز هست سعي كردم اينو ترجمه كنم به دستورات ميكروتيك . اما خوب ترجمه صرف ارزش خاصي نداره . و بايد نوع حمله دقيقا كالبد شكافي و در نهايت راه حل نسبي رو ارائه بديم . پس سعي ميكنم اول يه توضيح در مورد هر نوع حمله بدم بعد دستور مورد نظر رو با هم ببينيم . چون يه آشنايي خيلي كمي با اي پي تيبلز دارم ممنون ميشم دوستان با دقت دستورات رو بخونند و اگر وقتشو داشتن مقايسه كنند ، كه اگر جايي رو اشتباه رفتم تذكر بدند .



کد:

!/bin/bash#

####

 Load Madule##

modprobe ipt_recent

 Rule##

"(echo "Block TCP-CONNECT scan attempts (SYN bit packets

iptables -A INPUT -p tcp --syn -j DROP


"(echo "Block TCP-SYN scan attempts (only SYN bit packets

iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH SYN -j DROP


"(echo "Block TCP-FIN scan attempts (only FIN bit packets

iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -j DROP


"(echo "Block TCP-ACK scan attempts (only ACK bit packets

iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -j DROP


"(echo "Block TCP-NULL scan attempts (packets without flag

iptables -A INPUT -m conntrack --ctstate INVALID -p tcp --tcp-flags ! SYN,RST,ACK,FIN,URG,PSH SYN,RST,ACK,FIN,URG,PSH -j DROP


"(echo "Block "Christmas Tree" TCP-XMAS scan attempts (packets with FIN, URG, PSH bits

iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH -j DROP


"echo "Block DOS - Ping of Death

iptables -A INPUT -p ICMP --icmp-type echo-request -m length --length 60:65535 -j ACCEPT


"echo "Block DOS - Teardrop

iptables -A INPUT -p UDP -f -j DROP


"echo "Block DDOS - SYN-flood

iptables -A INPUT -p TCP --syn -m iplimit --iplimit-above 9 -j DROP


"echo "Block DDOS - Smurf

iptables -A INPUT -m pkttype --pkt-type broadcast -j DROP

iptables -A INPUT -p ICMP --icmp-type echo-request -m pkttype --pkttype broadcast -j DROP

iptables -A INPUT -p ICMP --icmp-type echo-request -m limit --limit 3/s -j ACCEPT


"echo "Block DDOS - UDP-flood

iptables -A INPUT -p UDP --dport 7 -j DROP

iptables -A INPUT -p UDP --dport 19 -j DROP


"echo "Block DDOS - SMBnuke

iptables -A INPUT -p UDP --dport 135:139 -j DROP

iptables -A INPUT -p TCP --dport 135:139 -j DROP


"echo "Block DDOS - Connection-flood

iptables -A INPUT -p TCP --syn -m iplimit --iplimit-above 3 -j DROP


"echo "Block DDOS - Fraggle

iptables -A INPUT -p UDP -m pkttype --pkt-type broadcast -j DROP

iptables -A INPUT -p UDP -m limit --limit 3/s -j ACCEPT


"echo "Block DDOS

iptables -A INPUT -p ICMP -f -j DROP


Firewall Anti DDos - Judynet - Network&Programing


- - - Updated - - -


حملات دي داس چيست ؟ 


* تذكر ، دوستان عزيز توجه كنند قصد اين قسمت آموزش نحوه حمله نيست ! و توضيح روش ها بسيار مختصر خواهد بود پس لطفا سوالي مبني بر حمله يا ابزار هاي مربوطه مطرح نشه . با تشكر 


حمله محروم‌سازی از سرویس (به انگلیسی: Denial of Service attack) (یا به اختصار DoS) نوعی از حمله‌است که هدف آن از کار انداختن سرویس یا سرویس‌های خاصی روی سرور مورد نظر است که معمولاً برای از کار انداختن سرویس http به کار می‌رود که باعث می‌شود سایت‌های روی سرور از دسترس خارج شوند. انجام این حمله (برخلاف بسیاری از انواع دیگر حمله‌ها) تحت هر شرایطی جرم محسوب می‌شود و پیگرد قانونی دارد.


تاريخچه 


ضعف موجود در پروتکل TCP در سال ۱۹۹۴ شناسایی شد. روش انجام این حمله توسط Bellovin و Cheswick در کتاب Firewall and Internet Security معرفی گردید. شناسایی هیچ راه کار متقابلی تا دو یال پس از آن ارائه نشد. توصیف دقیق حمله SYN flood در مجله‌ای به نام Phrack منتشر شد. گذشته از خطاهای جزئی که در این روش بود، برنامه به سرعت پخش شده و مورد استفاده قرار گرفت. . به طور خاص حمله ای علیه یکی ازشرکت خدمات اینترنتی‌های سرویس دهنده MAIL باعث اطلاع همگان از قطع شدن سرویس دهی شد. SYN flood علاوه بر اینکه بر پایه روش های شناخته شده قوه قهریهبود که به سادگی منابع شبکه را تصرف می کرد، در این حمله end-host مورد هدف قرار می گرفت که برای هدر دادن منابع آن به تعداد بسته کمتری نیاز بود.


اهداف 


به طور کلی انجام این حمله برای اهداف زیر صورت می‌گیرد:


پایین آوردن سرعت و کیفیت سرویس‌دهی شبکه (دسترسی به سایت یا انتقال فایل)

از دسترس خارج کردن وب‌سایت مورد نظر

قطع دسترسی تمام وب‌سایت‌ها (با حمله به name serverها)

افزایش تعداد هرزنامه‌ها (که به بمب ایمیلی نیز معروف است)


لازم به ذکر است که این حمله فقط مختص به سرورها نیست و ممکن است یک شبکه و یا حتی روتر نیز مورد حمله قرار گیرد و ممکن است کار بخش عمده‌ای از اینترنت را مختل کند (همانطور که در طول تاریخ ۲بار اینترنت کل دنیا با این حمله مختل شده‌است).


DDoS 


حمله توزیع‌شده محروم‌سازی از سرویس (Distributed Denial of Service) روشی از حمله‌است که در آن حمله‌کننده با تعداد زیادی از کامپیوترها و شبکه‌هایی که در اختیار دارد، حمله را صورت می‌دهد. در این روش تمام رایانه‌ها یکی از روش‌های حمله را که در ذیل ذکر شده‌اند را همزمان با هم انجام می‌دهند که ممکن است در برخی موارد خسارات جبران ناپذیری را به بار آورد.

در این روش معمولاحمله‌کننده سیستم‌های زیادی را آلوده کرده و به آنها همرمان فرمان می‌دهد، به سیستم‌های آلوده شده زامبی (zombie) و به شبکه‌ای از این سیستم‌ها که تحت کنترل یک شخص هستند، botnet می‌گویند.


SYN Flood 

در این روش بسیار متداول، حمله‌کننده تعداد زیادی بسته TCP حاوی SYN ارسال می‌کند که به معنای تقاضای شروع ارتباط است، در این صورت گیرنده بسته (هدف حمله کننده) با توجه به درخواست ارتباطی را شروع کرده و در انتظار دریافت ادامه درخواست می‌ماند و چون ادامه درخواست از طریق حمله‌کننده ارسال نمی‌شود، سرور مورد نظر برای مدتی ارتباط را در خود نگه می‌دارد که تعداد زیاد این روند باعث استفاده زیاد از پهنای باند، RAM و CPU سرور مورد نظر شده و توانایی پاسخ به سایر درخواست‌ها را نخواهد داشت.

Ping Flood 


در این روش تنها با فرستادن بیش از حد بسته‌های ping از طرف تعداد زیادی از سیستم‌ها، صورت می‌گیرد. در شبکه‌هایی که به درستی تنظیم نشده‌اند با جعل‌کردن (spoofing) آدرس سیستم مورد نظر و ارسال درخواست ping به broadcast تمامی سیستم‌های موجود در شبکه به سیستم هدف پاسخ ارسال می‌کنند و ارسال تعداد زیاد این درخواست‌ها باعث شلوغ شدن شبکه و از کار افتادن سیستم مورد نظر می‌شود.

سایر روش‌ها


Smurf Attack، Ping of Death، Teardrop، Billion laughs، Christmas tree packet و صدها روش دیگر تنها روش‌های شناخته شده این حمله هستند و بسیاری روش‌های ابداعی و ابتکاری دیگر نیز موجود است.


اين قسمت از ويكي پدياي فارسي استفاده شده :‌

http://fa.wikipedia.org/wiki/%D8%AD%...88%DB%8C%D8%B3