مقابله با حملات DDoS با استفاده از mikrotik
موجودی به نام میکروتیک که امروزه توی سازمان های ایران همه گیر شده و خیلی از مشکلات زیادی رو حل میکنه امیدوارم این تجربه به دردتون بخوره؟!!!!!!!!!!!!
چندي قبل گرفتار يه حمله عجيب و غريب شده بودم كه ظاهري شبيه DDoS داشت - البته نفهميدم دقيقا كدوم روشش - خلاصه به هر سختي بود جلوشو گرفتم . و دنيا نجات پيدا كرد . بعد از اون سعي كردم در مورد اين نوع حمله يه مقدار مطالعه كنم . - مشكل عمده ما ايرانيها ! اول مي زاريم مشكل پيش بياد بعد ماست مالي اش مي كنيم بعد اگر حوصله مون شد مي ريم دنبال دليل و راه حل !!!- به نتايج جالبي رسيدم و اتفاقي به پست جالبي برخوردم ، كه جلوگيري از حملات دي داس براي اي پي تيبلز لينوكس بود . از اونجا كه فايروال ميكروتيك بر پايه همين اي پي تيبلز هست سعي كردم اينو ترجمه كنم به دستورات ميكروتيك . اما خوب ترجمه صرف ارزش خاصي نداره . و بايد نوع حمله دقيقا كالبد شكافي و در نهايت راه حل نسبي رو ارائه بديم . پس سعي ميكنم اول يه توضيح در مورد هر نوع حمله بدم بعد دستور مورد نظر رو با هم ببينيم . چون يه آشنايي خيلي كمي با اي پي تيبلز دارم ممنون ميشم دوستان با دقت دستورات رو بخونند و اگر وقتشو داشتن مقايسه كنند ، كه اگر جايي رو اشتباه رفتم تذكر بدند .

کد:
!/bin/bash#
####
Load Madule##
modprobe ipt_recent
Rule##
"(echo "Block TCP-CONNECT scan attempts (SYN bit packets
iptables -A INPUT -p tcp --syn -j DROP
"(echo "Block TCP-SYN scan attempts (only SYN bit packets
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH SYN -j DROP
"(echo "Block TCP-FIN scan attempts (only FIN bit packets
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN -j DROP
"(echo "Block TCP-ACK scan attempts (only ACK bit packets
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH ACK -j DROP
"(echo "Block TCP-NULL scan attempts (packets without flag
iptables -A INPUT -m conntrack --ctstate INVALID -p tcp --tcp-flags ! SYN,RST,ACK,FIN,URG,PSH SYN,RST,ACK,FIN,URG,PSH -j DROP
"(echo "Block "Christmas Tree" TCP-XMAS scan attempts (packets with FIN, URG, PSH bits
iptables -A INPUT -m conntrack --ctstate NEW -p tcp --tcp-flags SYN,RST,ACK,FIN,URG,PSH FIN,URG,PSH -j DROP
"echo "Block DOS - Ping of Death
iptables -A INPUT -p ICMP --icmp-type echo-request -m length --length 60:65535 -j ACCEPT
"echo "Block DOS - Teardrop
iptables -A INPUT -p UDP -f -j DROP
"echo "Block DDOS - SYN-flood
iptables -A INPUT -p TCP --syn -m iplimit --iplimit-above 9 -j DROP
"echo "Block DDOS - Smurf
iptables -A INPUT -m pkttype --pkt-type broadcast -j DROP
iptables -A INPUT -p ICMP --icmp-type echo-request -m pkttype --pkttype broadcast -j DROP
iptables -A INPUT -p ICMP --icmp-type echo-request -m limit --limit 3/s -j ACCEPT
"echo "Block DDOS - UDP-flood
iptables -A INPUT -p UDP --dport 7 -j DROP
iptables -A INPUT -p UDP --dport 19 -j DROP
"echo "Block DDOS - SMBnuke
iptables -A INPUT -p UDP --dport 135:139 -j DROP
iptables -A INPUT -p TCP --dport 135:139 -j DROP
"echo "Block DDOS - Connection-flood
iptables -A INPUT -p TCP --syn -m iplimit --iplimit-above 3 -j DROP
"echo "Block DDOS - Fraggle
iptables -A INPUT -p UDP -m pkttype --pkt-type broadcast -j DROP
iptables -A INPUT -p UDP -m limit --limit 3/s -j ACCEPT
"echo "Block DDOS
iptables -A INPUT -p ICMP -f -j DROP
Firewall Anti DDos - Judynet - Network&Programing
- - - Updated - - -
حملات دي داس چيست ؟
* تذكر ، دوستان عزيز توجه كنند قصد اين قسمت آموزش نحوه حمله نيست ! و توضيح روش ها بسيار مختصر خواهد بود پس لطفا سوالي مبني بر حمله يا ابزار هاي مربوطه مطرح نشه . با تشكر
حمله محرومسازی از سرویس (به انگلیسی: Denial of Service attack) (یا به اختصار DoS) نوعی از حملهاست که هدف آن از کار انداختن سرویس یا سرویسهای خاصی روی سرور مورد نظر است که معمولاً برای از کار انداختن سرویس http به کار میرود که باعث میشود سایتهای روی سرور از دسترس خارج شوند. انجام این حمله (برخلاف بسیاری از انواع دیگر حملهها) تحت هر شرایطی جرم محسوب میشود و پیگرد قانونی دارد.
تاريخچه
ضعف موجود در پروتکل TCP در سال ۱۹۹۴ شناسایی شد. روش انجام این حمله توسط Bellovin و Cheswick در کتاب Firewall and Internet Security معرفی گردید. شناسایی هیچ راه کار متقابلی تا دو یال پس از آن ارائه نشد. توصیف دقیق حمله SYN flood در مجلهای به نام Phrack منتشر شد. گذشته از خطاهای جزئی که در این روش بود، برنامه به سرعت پخش شده و مورد استفاده قرار گرفت. . به طور خاص حمله ای علیه یکی ازشرکت خدمات اینترنتیهای سرویس دهنده MAIL باعث اطلاع همگان از قطع شدن سرویس دهی شد. SYN flood علاوه بر اینکه بر پایه روش های شناخته شده قوه قهریهبود که به سادگی منابع شبکه را تصرف می کرد، در این حمله end-host مورد هدف قرار می گرفت که برای هدر دادن منابع آن به تعداد بسته کمتری نیاز بود.
اهداف
به طور کلی انجام این حمله برای اهداف زیر صورت میگیرد:
پایین آوردن سرعت و کیفیت سرویسدهی شبکه (دسترسی به سایت یا انتقال فایل)
از دسترس خارج کردن وبسایت مورد نظر
قطع دسترسی تمام وبسایتها (با حمله به name serverها)
افزایش تعداد هرزنامهها (که به بمب ایمیلی نیز معروف است)
لازم به ذکر است که این حمله فقط مختص به سرورها نیست و ممکن است یک شبکه و یا حتی روتر نیز مورد حمله قرار گیرد و ممکن است کار بخش عمدهای از اینترنت را مختل کند (همانطور که در طول تاریخ ۲بار اینترنت کل دنیا با این حمله مختل شدهاست).
DDoS
حمله توزیعشده محرومسازی از سرویس (Distributed Denial of Service) روشی از حملهاست که در آن حملهکننده با تعداد زیادی از کامپیوترها و شبکههایی که در اختیار دارد، حمله را صورت میدهد. در این روش تمام رایانهها یکی از روشهای حمله را که در ذیل ذکر شدهاند را همزمان با هم انجام میدهند که ممکن است در برخی موارد خسارات جبران ناپذیری را به بار آورد.
در این روش معمولاحملهکننده سیستمهای زیادی را آلوده کرده و به آنها همرمان فرمان میدهد، به سیستمهای آلوده شده زامبی (zombie) و به شبکهای از این سیستمها که تحت کنترل یک شخص هستند، botnet میگویند.
SYN Flood
در این روش بسیار متداول، حملهکننده تعداد زیادی بسته TCP حاوی SYN ارسال میکند که به معنای تقاضای شروع ارتباط است، در این صورت گیرنده بسته (هدف حمله کننده) با توجه به درخواست ارتباطی را شروع کرده و در انتظار دریافت ادامه درخواست میماند و چون ادامه درخواست از طریق حملهکننده ارسال نمیشود، سرور مورد نظر برای مدتی ارتباط را در خود نگه میدارد که تعداد زیاد این روند باعث استفاده زیاد از پهنای باند، RAM و CPU سرور مورد نظر شده و توانایی پاسخ به سایر درخواستها را نخواهد داشت.
Ping Flood
در این روش تنها با فرستادن بیش از حد بستههای ping از طرف تعداد زیادی از سیستمها، صورت میگیرد. در شبکههایی که به درستی تنظیم نشدهاند با جعلکردن (spoofing) آدرس سیستم مورد نظر و ارسال درخواست ping به broadcast تمامی سیستمهای موجود در شبکه به سیستم هدف پاسخ ارسال میکنند و ارسال تعداد زیاد این درخواستها باعث شلوغ شدن شبکه و از کار افتادن سیستم مورد نظر میشود.
سایر روشها
Smurf Attack، Ping of Death، Teardrop، Billion laughs، Christmas tree packet و صدها روش دیگر تنها روشهای شناخته شده این حمله هستند و بسیاری روشهای ابداعی و ابتکاری دیگر نیز موجود است.
اين قسمت از ويكي پدياي فارسي استفاده شده :
http://fa.wikipedia.org/wiki/%D8%AD%...88%DB%8C%D8%B3