کاهش حملات DoS و DDoS با تنظیمات در فایروال CSF

2 new

معرفی حملات DoS / DDoS

حملات Denial of Service) DoS) و Distributed Denial of Service) DDoS) تهدیدهای رایجی هستند که هر وب سرور قابل دسترسی عمومی با آنها روبرو است.

هدف از چنین حملاتی ، به ساده ترین اصطلاح ، پر کردن سرور با اتصالات ، بارگیری بیش از حد آن و جلوگیری از پذیرش ترافیک قانونی است. حملات بطور فزاینده ای بجایی هدف گذاری مستقیم می کنند. این حملات به صورت خودکار خودکار عمل می کنند. بات نت ها (شبکه های رایانه های آلوده که می توانند از راه دور کنترل شوند) با سرعت بالایی به رشد خود ادامه می دهند و حملات DoS و DDoS را بسیار رایج تر می کنند.

 

مختصری از فایروال CSF

(CSF (ConfigServer Security and Firewall چیست؟
فایروال ConfigServer ، که به عنوان CSF شناخته می شود ، یک اسکریپت پیکربندی فایروال است که برای ایجاد امنیت بهتر سرور شما ایجاد می شود. در حالی که به شما یک رابط کاربری پیشرفته و آسان برای مدیریت تنظیمات فایروال می دهد. CSF , فایروال سرور شما را به گونه ای پیکربندی می کند که دسترسی عمومی به سرویسها را قفل کرده و فقط به برخی از اتصالات از جمله ورود به سیستم FTP ، بررسی ایمیل یا بارگیری وب سایتها اجازه دسترسی می دهد.

با استفاده از این سرویس فایروال می توانید ,ترافیکی را که به فضای سرور شما جریان دارد کنترل کنید. ترافیک از طریق اتصالات مختلف درون سرور میزبان شما به داخل و خارج می شود. دیوار آتش تمام اتصالات را می بندد و به شما امکان می دهد اتصالی را که می خواهید از آن ترافیک دریافت کنید به طور انتخابی باز کنید.

فایروال ConfigServer همچنین دارای سرویسی به نام Login Failure Daemon یا LFD است. LFD فعالیت کاربر شما را از نظر خرابی بیش از حد ورود به سیستم که معمولاً در هنگام حملات اجباری مشاهده می شود ، بررسی می کند. اگر تعداد زیادی از خرابی های ورود به سیستم از همان آدرس IP مشاهده شود ، بلافاصله آن IP از طریق تمام سرویس های سرور شما مسدود می کند.

این بلوک های IP به طور خودکار منقضی می شوند ، با این وجود می توانند از طریق رابط ConfigServer در WebHost Manager به صورت دستی حذف شوند. CSF علاوه بر حذف IP ها ، به شما امکان می دهد IP های موجود در فایروال خود را به صورت دستی در لیست سفید یا لیست سیاه قرار دهید.

CSF از حملات DDoS جلوگیری کنید

CSF پورت های خروجی را می بندد

CSF اتصالات شبکه را ردیابی کنید

CSF فعالیت کاربران را بررسی و گزارش می کند

 

راهکار فایروال CSF در کنترل حملات DoS / DDoS

خوشبختانه از CSF می توان برای کاهش حملات کوچک استفاده کرد.

قبل از اقدام و تنظیمات در فایروال ، درک نکات زیر مهم است:

هیچ راهی برای جلوگیری از حمله DoS / DDoS علیه هر سرور متصل به اینترنت وجود ندارد. پس از پیشرفت ، تنها کاری که می توان انجام داد تلاش برای کاهش اثرات آن است. هیچ راهی برای ایجاد پاسخ طبیعی سرور در هنگام حمله وجود ندارد. بیشترین کاری که می توان انجام داد این است که سعی کنید سرور را در حین حمله با کاهش تأثیر ترافیک ورودی به صورت آنلاین حفظ کنید. در بعضی موارد ، بهترین راه برای مقابله با حمله با حجم زیاد ، مسیریابی آدرس IP سرور است.

اقدامی موثر ، این است که موقتاً سرور را آفلاین کنید, تا زمانی که ترافیک ورودی کاهش یابد. هرگونه اقداماتی که در CSF به کار گرفته می شود فقط در برابر حملات کوچک موثر خواهد بود. اقدامات باید در CSF فقط در زمان حمله سرور انجام شود.

تنظیمات فایروال همیشه باید پس از حمله بازیابی شود تا اختلال در ترافیک قانونی به حداقل برسد

CSF تنها راه برای کاهش حملات در مقیاس کوچک نیست. سرویس هایی مانند سرویس های Cloudflare نیز ممکن است در این راه اقدام موثر دیگری باشد.

حمله ی Denial-of-Service) DoS) حمله ای است که به منظور خاموش کردن ماشین یا شبکه انجام می شود و باعث می شود سرور برای کاربران مورد نظر غیرقابل دسترسی باشد. حملات DoS  از طریق ارسال ترافیک یا ارسال اطلاعاتی که باعث سقوط می شود ، سرور را مورد هدف قرار می دهد در هر دو مورد ، حمله DoS کاربران قانونی (یعنی کارمندان ، اعضا یا دارندگان حساب) را از سرویس یا منابعی که انتظار داشتند محروم می کند.

قربانیان حملات DoS غالباً سرورهای وب سازمانهای مطرح مانند بانکداری ، بازرگانی و شرکتهای رسانه ای یا سازمانهای دولتی و تجاری را هدف قرار می دهند. اگرچه حملات DoS به طور معمول منجر به سرقت یا از دست دادن اطلاعات قابل توجه یا دارایی های دیگر نشود ، اما جلوگیری از آنها می تواند باعث صرف هزینه و زمان زیادی برای قربانی شود.

 

چند راهکار ساده

با فرض اینکه که شما CSF را بر روی سرور cPanel خود نصب کرده اید و به پنل آن دسترسی دارید, می توانید تنظیمات ساده ای را در آن در مواقع حملات بروی سرور بررسی بفرمایید.

چنانچه فایروال CSF را بروی سرور خود نصب نکرده اید ,می توانید از این لینک این مورد را پیگیری کنید.

 

1. در فایروال وارد بخش Firewall Configuration شوید.

1 1

 

2 2

 

2. میزان بازدیدکننده را محدود کنید.

اولین کاری که می توان برای کاهش اثرات حمله ورودی انجام داد ، محدود کردن تعداد اتصالات در هر آدرس IP است.

  • در صورت پیکربندی صحیح ، CSF تعداد اتصالات را از آدرس IP که به سرور برخورد می کند ردیابی می کند و در صورت بیش از حد تعیین شده آدرس های IP را در سطح دیوار آتش مسدود می کند. مهم نیست که حد را خیلی کم تعیین کنید ، زیرا پروتکل هایی مانند FTP ، IMAP و حتی HTTP به طور قانونی چندین اتصال را برقرار می کنند. همچنین ، به یاد داشته باشید که اکثر شرکت ها و همچنین خانه ها و مراکز عمومی ممکن است رایانه های مختلفی در شبکه داخلی خود داشته باشند که همه از یک آدرس IP عمومی مشترک برخوردار هستند.
    برای تعیین حد مجاز اتصال به ازای هر آدرس IP ، به قسمت پیگیری اتصال در صفحه پیکربندی فایروال بروید و CT_LIMIT را روی مقدار دلخواه تنظیم کنید. در این آموزش ما از عدد 200 اتصال به ازای هر آدرس IP به عنوان حد مجاز استفاده کردیم. ممکن است شما تشخیص دهید که باید این عدد را کم یا زیاد کنید ، اما به طور کلی ، هرگز نباید این عدد را کمتر از 100 قرار دهید.

 

3 1

 

  • با فرض اینکه سرور مورد حمله قرار گرفته باشد ، شما همچنین می خواهید با تنظیم CT_EMAIL_ALERT روی “OFF” هشدارهای ایمیل را غیرفعال کنید. در غیر این صورت ، سرور هر بار که آدرس IP را مسدود کند ، یک ایمیل ارسال می کند که فقط برای بارگیری در سرور اضافه می شود.

4 2

 

  • یکی دیگر از اقدامات ایجاد محدودیت جهت دسترسی به سرور, محدود کردن پورت ها می باشد. این کار با استفاده از تنظیم CT_PORTS انجام می شود. چند پورت را می توان در قالب جدا شده با ویرگول (بدون فاصله در این بین) اضافه کرد. در این مثال ، ما محدودیت نرخ را فقط به پورت های HTTP اعمال می کنیم:

 

5 1

 

 

 

با استفاده از تنظیماتی در این بخش ست کردیم ، هر آدرس IP که بیش از 200 اتصال به وب سایت از طریق درگاه های استاندارد و یا امن ایجاد کند ، در فایروال مسدود می شود.

به طور پیش فرض ، تنظیمات ست شده در یک دوره 30 دقیقه اجرا می شود.  تنظیمات در بخش  CT_BLOCK_TIME می تواند زمان این دوره را افزایش دهد. و با تغییر دادن تنظیم CT_PERMANENT می توانید ترتیب مسدود شدن آدرسهای IP را برای همیشه فراهم کنید.

پس از انجام تغییرات , به پایین صفحه پیکربندی فایروال بروید و بر روی دکمه change کلیک کنید.
در صفحه بعدی ، روی دکمه Restart csf + lfd کلیک کنید تا فایروال با تنظیمات جدید مجدداً راه اندازی شود.

 

 

 

آخرین بروزرسانی 1399-11-20  

1399-11-20 71 زهرا شیاسی  سرور لینوکس, مقالات عمومی سرور لینوکس  
مجموع 0 امتیاز:
0

Tell us how can we improve this post?

+ = ربات هستید یا انسان؟

مقاله ای اضافه کنید

پاسخ به این سوال توسط ایمیل به شما اطلاع رسانی خواهدشد.

+ = ربات هستید یا انسان؟