Site icon إرور هات

كيف تحمي موقعك من ddos attack

كيف تحمي موقعك من ddos attack

يمكن أن تؤدي هجمات رفض الخدمات الموزعة (DDoS) إلى جعل أي موقع ويب غير متصل بالإنترنت. حتى Google و GitHub ، بمواردهما الهائلة ، يكافحان للبقاء على الإنترنت أثناء هجوم كبير. والأسوأ من ذلك ، يمكن لأي شخص لديه القليل من الدولارات إطلاق واحدة.

إذا كنت تستضيف مواقع ويب ، فقد تتعرض أنت ومستخدميك لهجوم رفض الخدمة كبير بما يكفي لتعطيل المواقع لساعات أو حتى أيام. ومع ذلك ، يمكن تجنب أسوأ آثار هجمات DDoS باستخدام الأدوات المناسبة ، ولهذا السبب تتضمن cPanel & WHM العديد من ميزات تخفيف DDoS.

في هذه المقالة ، نوضح ماهية هجمات رفض الخدمة وكيف تعمل وما يمكنك فعله للنجاة منها.

ما هو هجوم DDoS وكيف يعمل؟

قبل أن نصل إلى هجمات رفض الخدمة الموزعة ، دعنا نلقي نظرة على كيفية عمل هجوم قديم عادي لرفض الخدمة (DoS).

هجمات رفض الخدمة

هجوم رفض الخدمة (DoS) هو محاولة لإغراق الخوادم بطلبات واتصالات ضارة. الغرض الأساسي للخادم هو قبول اتصالات الشبكة ومعالجتها. كل واحد يستهلك جزءًا كبيرًا من النطاق الترددي والذاكرة وقوة المعالجة ، ويمكن للكثير جدًا استخدام جميع الموارد المتاحة ، مما يمنع الاتصالات الجديدة. عندما يحدث ذلك ، لا يمكن الوصول إلى مواقع الويب ؛ هم ، في الواقع ، خرجوا من الإنترنت.

يستغل المهاجمون هذه الثغرة الأمنية من خلال إنشاء العديد من الاتصالات وإرسال الكثير من البيانات بحيث لا تستطيع واجهة الخادم أو الشبكة التعامل معها. قد تتساءل لماذا لا يحظر المشرفون الاتصالات المعادية ببساطة. هذا ما هو مخادع بشأن هجمات DoS: كيف يمكننا تمييز الاتصالات الجيدة من الاتصالات السيئة عندما تبدو جميعها متشابهة؟

طريقة واحدة هي عنوان IP المصدر. إذا كان عنوان IP يهدد بإرباك الخادم ، فيمكننا حظره والمضي قدمًا في يومنا هذا. يعرف المهاجمون هذا ، وهو أحد الدوافع وراء هجمات رفض الخدمة الموزعة.

هجمات رفض الخدمة الموزعة

في هجوم DDoS ، يستخدم المهاجم شبكة بوت نت من الأجهزة المخترقة ، والتي يمكن أن تكون أي شيء من الخوادم الأخرى إلى أجهزة الكمبيوتر المحمولة للمستهلكين إلى الكاميرات الأمنية المتصلة بالشبكة. تحتوي شبكة الروبوتات على آلاف العقد التي يمكن للمهاجم أن يوجهها عن بعد لإغراق الهدف. نظرًا لوجود العديد من برامج التتبع ، من الصعب حظرها جميعًا.

هجمات التضخيم

يمكن أن تصبح هجمات DDoS أكثر انحرافًا. يكافح المهاجمون لبناء شبكات الروبوت التي تولد بيانات كافية لإسقاط مزود استضافة جيد الإعداد. بدلاً من مهاجمة الهدف مباشرةً ، يبحثون عن خدمة عبر الإنترنت لتضخيم طلباتهم.

عندما تطلب صفحة ويب ، فإنك ترسل كمية صغيرة من البيانات ، ويرسل الخادم استجابة أكبر بكثير. وينطبق الشيء نفسه على بعض خوادم DNS وخوادم بروتوكول وقت الشبكة (NTP) وقواعد البيانات وذاكرة التخزين المؤقت وغيرها.

على سبيل المثال ، يمكن للمهاجم استخدام شبكة الروبوت الخاصة به لإرسال طلبات إلى خادم NTP مفتوح. الطلب الأولي صغير للغاية ، بضع بايت. ومع ذلك ، قد تكون الاستجابة أكبر بما يصل إلى 200 مرة. يمكن للمهاجم الذي يرسل ميغا بايت أن يولد 200 ميغا بايت من الردود. إذا قاموا بانتحال عنوان IP الخاص بالطلب الأولي ، فلن تنتقل البيانات إلى شبكة الروبوتات ، ولكن إلى الهدف.

هذا النوع من التضخيم وراء بعض أهم هجمات DDoS في التاريخ ، بما في ذلك هجوم 1.35 تيرابايت في الثانية العام الماضي ضد GitHub.

ما هي أنواع هجمات DDoS؟

الطريقة الأكثر شيوعًا لتصنيف هجمات DDoS هي وفقًا لجزء اتصال الشبكة الذي تستهدفه. يمكنك التفكير في الاتصالات على أنها طبقات من البروتوكولات وتنسيقات البيانات ، حيث تعتمد كل طبقة على الطبقة الموجودة تحتها. على سبيل المثال ، يعتمد HTTP للويب على بروتوكول TCP ذي المستوى الأدنى.

لماذا هذا مهم؟ لأن التقنيات المستخدمة للتخفيف من هجمات DDoS تعتمد على طبقة الشبكة التي تستهدفها.

يقسم نموذج ربط الأنظمة المفتوحة الشهير (OSI) الاتصالات إلى سبع طبقات.

1 – الطبقة المادية التي تنقل البيانات الأولية عبر أجهزة الشبكة

2 – طبقة ارتباط البيانات التي تحدد تنسيق البيانات.

3 – طبقة الشبكة التي تحدد مسار البيانات.

4 – طبقة النقل ، وهي مستوى بروتوكولات الإرسال TCP و UDP.

5- طبقة الجلسة التي تدير الوصلات والجلسات.

6 – طبقة العرض التي تعالج تنسيقات البيانات وتشفيرها.

7- طبقة التطبيق ، وهي الطبقة التي نتفاعل معها عندما نضغط على الروابط أو نتواصل مع تطبيقات الويب

تُنسب هجمات DDoS عادةً إلى إحدى هذه الطبقات. يستهدف هجوم الطبقة 7 طبقة التطبيق ، والتي تتضمن تطبيقات الويب وخوادم الويب وهجوم تضخيم NTP الذي نظرنا إليه سابقًا. غالبًا ما تركز هجمات الطبقة السادسة على اتصالات SSL. يستهدف هجوم SYN الغامر الشهير الطبقة 4 ، طبقة النقل ، مستغلاً نقطة ضعف في بروتوكول TCP.

كيف تحمي موقعك من ddos attack

كيفية التحقق من هجمات DDoS؟

قبل البدأ في طرح الحلول لابد اولا من عرض كيفيه التحقق من وجود هجمات DDoS وسوف يتم عرض ذلك عن طريق بعض الاوامر لذلك لابد ان تكون معك البيانات الخاص بمستخدم root علي السيرفر.

كيفية التحقق من DDoS

إذا كنت قلقًا من تعرض خادمك لهجوم DDoS ، فإن أول شيء عليك القيام به هو إلقاء نظرة على الحمل على خادمك. شيء بسيط مثل الجهوزية أو الأوامر العليا سيمنحك فكرة جيدة عن الحمل الحالي للخادم.

لتحديد التحميل الحالي لخادمك ، يمكنك استخدام الامر بالاسفل ، والذي سيعيد عدد المعالجات المنطقية (الخيوط). أثناء هجوم DDoS ، قد ترى حملاً مزدوجًا أو ثلاثيًا أو أعلى من الحد الأقصى للحمل الذي يجب أن يكون لديك.

للبدء ، استخدم الأمرين أدناه لإعادة وقت التشغيل وتحميل الخادم.

# grep processor /proc/cpuinfo | wc -l
# uptime

يعرض متوسط الحمل في الفترات التالية: متوسط دقيقة واحدة ، ومتوسط 5 دقائق ، ومتوسط 15 دقيقة. في هذا السيناريو ، قد يكون متوسط الحمل أكبر من 7 مصدر قلق.

على عكس المثال أعلاه ، في بعض الأحيان يستجيب الخادم الخاص بك بشكل جيد عبر اتصال الواجهة الخلفية مثل IPMI ، ولكنه سيظل بطيئًا عند الاتصال عبر واجهة عامة. لتحديد ما إذا كانت هذه هي الحالة ، ستحتاج إلى التحقق من حركة مرور الشبكة. يمكن القيام بذلك باستخدام واحدة من عدة أدوات بما في ذلك nload و bmon و iftop و vnstat و ifstat. سيعتمد اختيارك على نظام التشغيل الخاص بك ، ولكن يمكن تثبيت كل هذه الأدوات عبر مدير الحزم (apt ، yum ، إلخ).

كيفية التحقق من عناوين IP التي تتصل بخادمك

كيف تحمي موقعك من ddos attack

نظرًا لأن معظم هجمات DDoS تتطلب اتصالات بالخادم الخاص بك ، يمكنك التحقق من عدد عناوين IP التي تتصل بخادمك ومعرفة أي منها في وقت واحد. يمكن تحديد ذلك باستخدام الأمر netstat ، وهو أمر يستخدم لتوفير كل أنواع التفاصيل. ومع ذلك ، في هذه الحالة ، نحن مهتمون فقط بعناوين IP المحددة التي تقوم بإجراء الاتصالات ، وعدد عناوين IP ، وربما الشبكات الفرعية التي هم جزء منها. للبدء ، أدخل الأمر التالي:

# netstat -ntu|awk '{print $5}'|cut -d: -f1 -s|sort|uniq -c|sort -nk1 -r

عند إدخاله بشكل صحيح ، سيعيد هذا الأمر قائمة تنازلية لعناوين IP المتصلة بالخادم وعدد الاتصالات التي يمتلكها كل واحد. قد تتضمن النتائج أيضًا بيانات مصطنعة ، والتي ستظهر كمعلومات غير متعلقة بـ IP ، ويمكن تجاهلها.

بالنظر إلى نتائجك ، سترى اتصالات مدرجة تتراوح في أي مكان من 1 إلى حوالي 50 اتصالًا لكل IP. يمكن أن يكون هذا شائعًا جدًا لحركة المرور العادية. ومع ذلك ، إذا رأيت بعض عناوين IP مع أكثر من 100 اتصال ، فهذا شيء يجب فحصه.

وقد ترى عناوين IP معروفة ، أو واحدًا أو أكثر من عناوين IP الخاصة بالخادم ، أو حتى عنوان IP الشخصي الخاص بك مع العديد من الاتصالات. بالنسبة للجزء الأكبر ، يمكن تجاهلها ، لأنها موجودة بشكل طبيعي. يجب أن تشعر بالقلق عندما ترى عناوين IP فردية غير معروفة مع مئات أو آلاف الاتصالات ، لأن هذا يمكن أن يكون علامة على هجوم.

DDoS باستخدام عناوين IP متعددة

في حين أن هجوم رفض الخدمة من عنوان IP واحد يؤدي إلى العديد من الاتصالات يمكن أن يكون سهل التشخيص والإصلاح ، فإن منع DDoS يصبح أكثر تعقيدًا حيث يستخدم المهاجمون عددًا أقل من الاتصالات المنتشرة عبر عدد أكبر من عناوين IP المهاجمة. في هذه الحالات ، ستلاحظ عددًا أقل من الاتصالات الفردية حتى عندما يكون الخادم الخاص بك تحت DDoS. مع ظهور إنترنت الأشياء، أصبحت هذه الأنواع من الهجمات أكثر شيوعًا. من خلال اختراق واستخدام الأجهزة والأجهزة والأدوات “الذكية” التي تتميز بالاتصال بالإنترنت ، قامت الجهات الخبيثة ببناء شبكات من عناوين IP المتاحة ، والتي يشار إليها باسم شبكات الروبوت ، والتي يمكن نشرها في هجمات DDoS المنسقة ضد أهداف محددة.

إذن ماذا يمكنك أن تفعل إذا وجدت عددًا كبيرًا من عناوين IP غير المعروفة تقوم باتصالات فردية فقط؟ في هذه الحالة ، قد يكون من الصعب تحديد ما إذا كانت هذه حركة مرور طبيعية أم هجوم منسق.

للبدء ، ستحتاج إلى تحديد ما إذا كانت هذه الاتصالات تأتي من شبكات فرعية مشتركة: يكون الشائع هو نفسه / 16 أو / 24. يمكنك استخدام الأمرين التاليين لسرد الشبكات الفرعية التي تحتوي على عناوين IP المتصلة وعدد عناوين IP الموجودة في كل شبكة فرعية.

للعثور على عناوين IP من نفس الشبكة الفرعية /16 (xxx.xxx.0.0) ، استخدم:

# netstat -ntu|awk '{print $5}'|cut -d: -f1 -s |cut -f1,2 -d'.'|sed 's/$/.0.0/'|sort|uniq -c|sort -nk1 -r

عند إدخاله ، سيعرض هذا الأمر أي عنوان IP يبدأ بنفس الثماني بتات: ie. 192.168.xxx.xxx.

بمجرد تحديد ما إذا كنت بالفعل تحت هجوم DDoS متعدد IP ، فإن خطوات التخفيف منه هي نفسها التي سوف يتم استخدامها اسفل في المقالة.

هذه التقنيات ليست سوى عدد قليل من الأدوات المتاحة للتحقق من الهجمات المحتملة. على الرغم من توفر المزيد من الأدوات المتقدمة ، يمكن أن توفر هذه الأساليب نتائج سريعة وسهلة لتحديد ما إذا كنت تواجه هجوم DDoS. المعلومات التي توفرها هذه الأوامر مفيدة حتى في حالة عدم التعرض للهجوم ، ويمكن أن يساعد التعرف عليها بنفسك في تقوية أدوات أي مسؤول.

netstat -n: يعرض هذا الأمر جميع اتصالات TCP النشطة بنظامك. يتضمن عناوين IP وتفاصيل رقم المنفذ.

netstat -o: يعرض هذا الأمر جميع اتصالات TCP النشطة ، بما في ذلك معرفه العملية لجميع الاتصالات بنظامك. بمجرد حصولك على PID ، يمكنك العثور على التطبيق الذي يقوم بتشغيل نفس معرف العملية في مدير مهام.

netstat -a: يعرض هذا الأمر جميع اتصالات TCP النشطة. كما يعرض أيضًا جميع منافذ TCP / UPD التي يستمع إليها النظام.

كيف تحمي موقعك من ddos attack

بصفتك مشرفًا على الخادم ، لا يمكنك فعل أي شيء لمنع المهاجمين من إرسال طلبات شبكة ضارة. ومع ذلك ، يمكنك تكوين كل من جدار الحماية وخادم الويب لخادمك لإسقاط الطلبات من عناوين IP التي تسيء التصرف.

لمساعدتك في حماية المستخدمين من هجمات رفض الخدمة ، تتضمن cPanel & WHM العديد من أدوات تخفيف DDoS.

إعداد الخادم وجدار الحماية

يدعم cPanel & WHM جدار حماية Config Server Security (CSF) ، والذي يوفر ملحق WHM بواجهة تكوين شاملة. أولاً ، ستحتاج إلى اتباع هذه التعليمات لتثبيت المكون الإضافي.

بعد ذلك ، انتقل إلى صفحة ConfigServer Security & Firewall في قسم Plugins بقائمة الشريط الجانبي WHM. قم بالتمرير لأسفل وانقر فوق Firewall Configuration.

هدفنا هو تشغيل “تتبع الاتصال” “Tracking“وتكوين قيمة “CT_LIMIT” ، التي تتحكم في عدد الاتصالات التي يسمح بها جدار الحماية من عنوان IP. أثناء هجوم DDoS ، يمكن إجراء عدد كبير من الاتصالات من نفس عنوان IP ، ويمكن أن تساعد الاتصالات المحدودة في التخلص من حركة المرور غير المرغوب فيها.

تعتمد القيمة الصحيحة على طبيعة الهجوم وأنماط حركة المرور النموذجية ، وقد ترغب في التجربة ، لكن 300 قيمة أولية معقولة. قد يؤدي تعيين هذه القيمة على قيمة منخفضة جدًا إلى قطع الاتصالات المشروعة.

قد ترغب أيضًا في ضبط قيمة PORTFLOOD في نفس الصفحة. تقوم PORTFLOOD بتقييد الاتصالات بمنفذ معين. على سبيل المثال ، إذا تعرض الخادم لهجوم على المنفذ 80 ، منفذ HTTP ، فإن ما يلي يحد من الاتصالات الجديدة بـ 50 في غضون عشر ثوان ، مما يحظر المحاولات اللاحقة.

PORTFLOOD = “80;tcp;50;10”

ألق نظرة على ملف CSF التمهيدي لمعرفة المزيد حول صيغة PORTFLOOD.

أخيرًا ، يعد Layer 4 Syn Flood أحد أكثر هجمات رفض الخدمة شيوعًا وسهولة في التنفيذ. يشتمل CSF على حماية SYN من الفيضانات SYN flood، والتي يمكنك تشغيلها في قسم إعدادات Port Flood من صفحة التكوين.

قم بتنشيط SYN Flood Protection واضبط إعدادات SYNFLOOD_RATE و SYNFLOOD_BURST. قد يكون الإعداد الافتراضي مرتفعًا جدًا للتخفيف من هجوم مستمر. تعتمد القيم الصحيحة على تفاصيل الهجوم ، لكن 75 / s و 50 هي نقطة انطلاق جيدة. اعلم أنه إذا قمت بتعيين هذه القيم منخفضة جدًا ، فقد تواجه حركة المرور المشروعة مشكلات في الاتصال.

يجب تشغيل الحماية من الفيضانات المزامنة أثناء الهجوم فقط ، حيث يمكن أن تؤدي إلى زمن انتقال كبير للشبكة.

Mod_Evasive

Mod_evasive عبارة عن وحدة Apache مع ميزات تخفيف متطورة من الطبقة 7 DDoS. يكتشف الهجمات المحتملة ضد تطبيقات الويب ويتخذ إجراءات مراوغة من خلال تحديد معدل عناوين IP التي تقدم طلبات كثيرة جدًا في وقت قصير.

أولاً ، نحتاج إلى تثبيت الوحدة النمطية mod_evasive. انتقل إلى Easy Apache 4 في قائمة Software menu بـ WHM. حدد علامة التبويب Apache Modules ، وابحث عن “mod_evasive” ، ثم اضغط مفتاح install.

بعد ذلك ، حدد علامة التبويب “Review” ، وقم بالتمرير إلى أسفل الصفحة ، ثم انقر فوق “Provision“. قد يستغرق WHM بضع ثوانٍ لتثبيت الوحدة وتبعياتها.

تحتوي الوحدة على إعدادات افتراضية معقولة ، ولكن قد ترغب في تعديل ملف التكوين ، والذي ستجده في نظام ملفات الخادم على:

/etc/apache2/conf.d/300-mod_evasive.conf

إذا كنت ترغب في أن ترسل mod_evasive رسالة بريد إلكتروني عندما تحظر عنوان IP ، فقم بتعيين عنوان بريد إلكتروني في قسم DOSEmailNotify. قد تحتاج إلى إزالة رمز التعليق (#) من بداية السطر.

ملف التكوين موثق بتعليقات مستفيضة ، ويمكنك معرفة المزيد من وثائق mod_evasive.

كيف تحمي موقعك من ddos attack

حظر ip من cpanel

تتضمن cPanel مانع IP يمكن استخدامه لحظر كل من العناوين والنطاقات الفردية. بالنسبة للهجوم الموزع الكبير ، فإن الحظر اليدوي لعنوان IP ليس عمليًا ، ولكنه قد يكون مفيدًا للهجمات الصغيرة. ستجد IP Blocker في قائمة security .

الخاتمة

كيف تحمي موقعك من ddos attack

هجمات DDoS هي حقيقة واقعة لموفري استضافة الويب. بمرور الوقت ، أصبحت أكبر وأسهل في التنفيذ. تضاعف عدد الهجمات، ويمكننا أن نتوقع استمرار هذا الاتجاه طالما هناك أموال يمكن جنيها من تهديد سبل عيش مضيفي الويب الشرعيين ومالكي المواقع.

كما هو الحال دائمًا ، إذا كان لديك أي ملاحظات أو تعليقات ، فيرجى إخبارنا بذلك. نحن هنا للمساعدة بأفضل الطرق الممكنة.

Exit mobile version