دو شب پیش ( 22-11-1392) یکسری حملات DDoS بر روی پورتهای UDP و TCP سنترال هاستینگ آغاز شد,حجم این حملات کم کم زیاد شد و به 10 گیگابیت بر ثانیه رسید اما بعد از افزایش ناگهانی حجم حملات تا 40 گیگابیت , آی پی سایت اصلی سنترال از دسترس خارج شد. البته فقط سایت سنترال هاستینگ از دسترس خارج شد و برای وب سایت مشتریان هیچ مشکلی(حتی کندی سرعت ) پیش نیامد.
همانطور که در پاراگراف بالا خواندید حجم حملات به 40 گیگابیت بر ثانیه بر روی سایت سنترال هاستینگ رسیده بود,این حجم حمله برای از کار انداختن تمامی دیتاسنترها و شبکه های متصل به اینترنت در ایران کافی می باشد! دیتاسنتر hetzner آلمان میزبان بسیاری از سرورهای شرکتهای میزبانی وب ایرانی می باشد , این دیتا سنتر در تاریخ 16 نوامبر تحت یکسری حملات DDoS برنامه ریزی شده قرار گرفت, این حملات بر روی پورت UDP صورت گرفت که منجر به اشغال ترافیک شبکه و در نهایت عدم دسترسی به سرور ها به مدت 12 ساعت شد, این حمله 60 گیگابیت حجم داشت!( صرفاجهت مقایسه حجم حمله! ) منبع: Germany-based web hosting provider Hetzner have been hit by a distributed denial-of-service (DDOS) attack.
همانطور که می دانید این حجم حملات صرفا با چند ده یا حتی چند صد IP امکان پذیر نمی باشد و هکر توسط چندهزار IP این حملات را مدیریت کرده است اما سوال اصلی اینجاست چگونه به این تعداد IP دسترسی داشته است؟ جواب ساده است , بات نت ! ( بات نت چیست؟ ) با بررسی تصادفی یکسری از IP ها توسط مسئول فنی سرور مشخص شد حجم زیادی از این IP ها مربوط به GPRS (اینترنت تلفنهای همراه) از مخابرات چندین کشور می باشد ؛ احتمال می رود حمله ها از طریق یک بات گسترده در گوشیهای اندروید صورت گرفته باشد,البته شرکت کاسپراسکای چندی پیش از کشف یک شبکه بات نت اندروید خبر داده بود (لینک خبر)
چون حمله از طریق بات نت صورت گرفته . می توانستید user-agent مربوط به بات نت را بلاک کنید . دیگر لازم نیست ip را بلاک کنید . علاوه بر این می توانستید Referer را هم چک کنید . که اگر خالی بود بلاک شود . علاوه بر این کار ها می توانید دسترسی کلیه ip های خارج از کشور را بلاک کنید .
البته روش های فوق ممکنه در حجم عظیم 40 گیگ پاسخگو نباشه . چون آپاچی به قدری مشغول میشه که دیگه توانایی پردازش نخواهد داشت . چون سایت خودم مورد حمله Ddos قرار گرفته بود . من تجربیات شخصی خودمو عرض کردم خدمتتون . کاملا واضح است که کار شما بیسته . واقعا از کار با شما لذت می برم
موفق باشید
با تشکر از اهمیت شما به این مسئله ,بستن useragent یا حتی بستن آی پی و چنین اقداماتی در خصوص حملات کوچک شاید کارایی داشته باشد,
در یک دیتا سنتر خوب وقتی حمله به 1 گیگابیت برسه به دلیل اشغال ترافیک شبکه , آی پی شما توسط دیتا سنتر نال می شود,یعنی حملات به سرور نمی رسند! و عملا هیچ گونه دسترسی به سرور وجود نخواهد داشت, البته 1 گیگابیت حالت خوشبینانه آن است!
در سنترال هاستینگ حملات در سطح شبکه دیتاسنتر مهارت می شوند.
چک کردن UA و از این جور روش ها در مورد حمله هایی جواب میده که روی وب سرور باشه نه حملات روی UDP و پورت ها دیگه TCP.