هاست لینوکس پرسرعت سی پنل

آموزش جلوگیری از حملات DDOS با استفاده از دیوار آتش CSF

منتشر شده توسط جمال در دستۀ آموزش سرور لینوکس در ۱۳۹۹/۰۹/۰۴ دیدگاهی ارسال کنید (۱) برو به قسمت نظرها

یکی از وحشتناک ترین حملاتی که ممکن است روی سرور شما انجام شود، حمله از نوع DDOS است. در این روش کلی از منابع سرور شما از جمله پردازنده به شدت مشغول می‌شود و حتی در شرایط بدتر حتی قادر به ورود به سرور از طریق روش‌های مختلف هم نخواهید بود. بماند اینکه سایت‌ها و سرویس‌های روی سرور تماماً از کار خواهند افتاد و کاربران معمولی قادر به استفاده از آنها نخواهند بود.

حالا اگر خواسته باشیم جلوی این قبیل حملات به سرور را بگیریم، یکی از روش‌های آن استفاده از فایروال‌های سطح بالا مثل CSF است. CSF بسیار معروف است و امکانات خوبی دارد. با گزینه‌های تنظیماتی که در این فایروال وجود دارد، تا حد بسیاری می‌توان جلوی حملات DDOS را بگیریم. در ادامه طریقهٔ انجام این کار را خدمت شما شرح خواهیم داد.

همانطور که قطعاً می‌دانید دیوار آتش CSF دارای یک سند پیکربندی است. ما برای مقاوم کردن سرور به حملات DDOS باید این سند را ویرایش کنیم. پس یا از طریق خط فرمان و یا از طریق رابط گرافیکی کنترل پنل خود وارد سند csf.conf شده و ابتدا به سراغ گروه تنظیمات Connection Tracking می‌رویم.

در این گروه تنظیمات مربوط به اتصال‌های هم زمان به سرور را می‌توانیم انجام دهیم. اولین گزینه CT_LIMIT است که حداکثر تعداد اتصال‌هایی است که یک آی پی می‌تواند به سرور ما برقرار کند. عدد اولیهٔ این گزینه ممکن است ۳۰۰ باشد. در شرایطی که به سرور حمله‌های زیادی می‌شود می‌توان این عدد را به ۱۰۰ هم کاهش داد.

فاصلهٔ بین بررسی‌های اتصال‌ها را از طریق گزینهٔ CT_INTERVAL می‌توان تعیین نمود. مقدار پیش فرض ۲۰ ثانیه است.

گزینهٔ CT_EMAIL_ALERT هم اگر روی On یا عدد ۱ تنظیم شده باشد، به این معنا است که یک هشدار ایمیل هم برای مدیر سرور ارسال می‌کند.

تنظیمات Connection Tracking در CSF

اگر مقدار گزینهٔ CT_PERMANENT عدد ۱ یا On باشد آی پی به طور همیشگی روی سرور مسدوده می‌شود. اما اگر ۰ یا Off باشد، عددی که برای گزینهٔ CT_BLOCK_TIME تنظیم شده است میزان زمان به واحد ثانیه است که آی پی موقتاً توسط فایروال مسدود است.

اگر قصد دارید این بررسی‌ها فقط روی پورت‌های خاصی انجام شود، در قسمت CT_PORTS این پورت‌ها را می‌توانید وارد کنید و عدد هر پورت را با , از هم دیگر جدا کنید. مثلا ۸۰,۲۳,۴۴۳

این تنظیمات در بیشتر مواقع برای حملات DOS می‌تواند مفید باشد. اما در CSF قابلیت جدیدی هم برای مبارزه با حملات DDOS تعبیه شده است که در گروه تنظیمات Distributed Attacks یافت می‌شوند.

اول از همه گزینهٔ LF_DISTATTACK را On کنید که محافظت در برابر DDOS فعال شود.

توسط گزینهٔ تنظیماتی LF_DISTATTACK_UNIQ حداقل تعداد آی پی‌های یکتا که LF_DISTATTACK را به جریان می‌اندازد را می‌توان تعیین کرد. عدد ۲ مقدار خوبی است.

تنظیمات Distributed Attack در CSF

اگر قصد فعال کردن حالت محافظت از حملات DDOS روی پروتکل FTP را دارید گزینهٔ LF_DISTFTP را فعال کنید و تعداد آی‌پی‌های یکتا برای محافظت از این حمله را هم توسط گزینهٔ LF_DISTFTP_UNIQ تنظیم کنید.

گزینهٔ LF_DISTFTP_PERM هم اگر ۱ یا On باشد مسدودی آی پی به صورت همیشگی است. در غیر این صورت موقتی خواهد بود و بعد از گذشت مدت زمانی آی پی آزاد خواهد شد.

همین تنظیمات هم برای پروتکل SMTP که مربوط به سرویس ایمیل می‌شود وجود دارد. LF_DISTSMTP را برابر ۱ قرار دهید و گزینهٔ LF_DISTSMTP_UNIQ و LF_DISTSMTP_PERM آن را هم طبق توضیحاتی که تا به اینجا دادیم تنظیم کنید.

گزینهٔ LF_DIST_INTERVAL مربوط به فاصله زمانی‌های بررسی حملات برای پروتکل‌های FTP و SMTP است.

با این توضیحات و انجام تنظیماتی که خدمت شما عرض شد، با استفاده از فایروال CSF جلوی خیلی از حملات از نوع DOS و DDOS را می‌توانید بگیرید. دقت داشته باشید که البته همچنان حملاتی قوی از نوع DDOS هستند که تنها از طریق فایروال سخت افزاری می‌توان جلوی آنها را گرفت. چون شدت‌شان بسیار بالا است و ممکن است کل شبکهٔ سرور شما را از کار بیاندازند!

آموزش سرور لینوکس, ,
  1. حسین ۱۳۹۹/۱۰/۱۵ at ۱۰:۰۹

    سلام وقت بخیر
    چطور میشه فهمید که کسی روی سرور شما vpn ران کرده و اون رو حذف کرد

    پاسخ

دیدگاه تان را ارسال کنید.

لطفاً از درج نظرات خارج از موضوع این صفحه خودداری کنید!