راهکارهای مبارزه با حمله DOS بر سرورهای لینوکس
حمله DOS مخفف عبارت Denial Of Service یا عدم پذیرش سرویس است. حمله ای که موجب قطع کار یک سرویس . یا مانع دسترسی به منابعی شود را حمله DOS می گویند. به عنوان مثال حملات DOS بر روی سرویس دهنده وب یک شرکت میزبان ممکن است باعث قطع دسترسی سایت های میزبانی شده توسط آن شرکت شوند.
برای پیشگیری از این نوع حملات همواره روش های مختلف و گسترده ای وجود داشته است اما به روز بودن نرم افزارهای سرویس دهنده، استفاده از دیواره های آتش سخت افزاری، نرم افزاری و حتی برنامه های مخصوص جلوگیری از این حملات توصیه می شود. برای وب سرورهای لینوکس حتما از یک دیوار آتش مناسب و قوی همانند IPtable که به صورت پیش فرض بر روی لینوکس موجود است و یا دیوار آتش قدرتمند Apf (قابل دانلود در همین سایت bia2file.com) بهره ببرید.
نفوذگران برای حملات DOS از سرورهایی استفاده می کنند که با نفوذ به آنها بر رویشان برنامه های مورد نیاز خود را برای حمله DOS نصب می نمایند و از این طریق از آنها به عنوان طمعه و قربانی هدف خود استفاده می کنند که به این سرورها به اصطلاح Zombie گفته می شود، یکی از معروف ترین نرم افزارهای جلوگیری از حمله DOS برنامه متن باز Mod_server برای وب سرور قدرتمند آپاچی است که به صورت یک ماژول به آن اضافه میشود. که این نرم افزار بسته های ارسالی به وب سرور آپاچی را مورد بررسی قرار داده و اگر از یک حد خاصی مثلا 25 بسته در ثانیه بیشتر شد وارد عمل شده و محافظت های لازم را از وب سرور به عمل می آورد.
یکی از راه های مفید و آسان شناسایی IP ای است که تعداد اتصالاتش به سرور از حالت عادی بیشتر باشد. برای این کار می توانیم از دستور زیر در خط فرمان لینوکس استفاده کنیم تا IP های که به سرور متصل هستند را پیدا کنیم.
netstat -anp | grep 'tcp\udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
و با دستور زیر می توانیم تعداد اتصالات به سرور را مشخص کنیم:
netstat -n | grep : 80 | wc -l
اگر این تعداد بیش از حد معمول بود شما باید به حمله شک کنید و IP مورد نظر را از دستور اول پیدا کنید. توجه کنید که می بایست یک یا چندین IP تعداد اتصالاتش به وب سرور آپاچی بسیار زیاد باشد. حال که IP را پیدا کردید به راحتی می توانید آن را در IPtable یا دیوار آتش لینوکس در قسمت Deny IP قرار بدهید و از این طریق دسترسی آن IP را به سرور قطع کنید و باعث جلوگیری از حمله DOS آن فرد بشوید. فرمان های جلوگیری از دسترسی یک IP به وب سرور به وسیله IPtable در لینوکس:
iptables -A INPUT 1 -s IPADDRESS -j DROP/REJECT
service iptables restart
service iptables save
به جای IPADDRESS باید IP حمله کننده را وارد کنید. سپس با دستور زبر تمامی اتصالات به آپاچی را Kill کرده و آپاچی را از نو راه اندازی کنید
killall -KILL httpd
service httpd restart
