بازگشت به بالا

ارسال پیام در واتس اپ

ارسال تیکت پشتیبانی

SabaHost Small Loding

در حال بررسی ...

اطلاعات دامنه

کپی کردن اطلاعات در حافظه

https://saba.host/license
https://saba.host/blog/how-to-defend-against-ddos-attacks

نحوه جلوگیری از حملات DDoS

جلوگیری از حملات DDoS که بسیار مخرب نیز می باشند، و می توانند سرور ها یا شبکه های اینترنتی را از کار بیاندازند، کار بسیار دشواری است. در واقع می توان گفت، راه حل قطعی برای جلوگیری از وقوع این حملات وجود ندارد، چرا که روش اجرای آن به صورت استاندارد می باشد، به این معنی که درخواست های قانونی به سمت سرور هدف ارسال می شود، اما با تکنیک و با حجم بسیار گسترده ای که سرور ها معمولاً توانایی پاسخگویی در مقابل حملات را ندارند. در این مقاله آموزشی نحوه جلوگیری از حملات DDoS را توضیح خواهیم داد.


تشخیص نوع حملات DDoS

همانطور که در مقاله حملات DDOS چه نوع حملاتی هستند؟ با ساختار و نحوه اجرای این گونه حملات آشنا شدیم، باید بتوانیم درک واضحی از نحوه اجرای حمله های دی داس داشته باشیم. در این صورت می توانیم بهترین روش برای جلوگیری از بروز حمله را انتخاب کنیم. 

البته لازم است بدانید هیچ روشی به صورت صد در صد نمی تواند جلوی این حملات را بگیرد.

زمانی که قصد جلوگیری از حملات DDoS را داریم، باید ابتدا بدانیم این حمله در کدام لایه از مدل OSI شبکه رخ داده است. 

جلوگیری از حملاتی که در لایه 3 و 4 به وقوع پیوسته باشند، کار ساده ای نمی باشد و در حالتی که حمله دی داس گسترده و با حجم بالایی رخ داده باشد، تنها با استفاده از فایروال های سخت افزاری امکان جلوگیری از آن را خواهیم داشت، و به صورت کلی در حالت عادی راه کاری بجز فایروال سخت افزاری نخواهیم داشت.

و اما در خصوص حملاتی که در لایه 7 مدل OSI رخ می دهند، تا حدی می توان با استفاده از فایروال نرم افزاری مانع وقوع آن شد. با توجه به ساختار این حملات که به صورت GET و POST انجام می شوند، اگر حمله با گستردگی زیادی انجام شده باشد، جلوگیری از آن نیز دشوار خواهد بود.

در مقاله آموزشی انواع حملات DDOS توضیحاتی در خصوص رایج ترین روش های اجرای حملات دی داس ارائه گردیده است. با توجه به نوع حمله، تکنیک مناسب برای جلوگیری از آن را باید بکار بست.

موارد امنیتی و مهم در جلوگیری از حملات DDoS

روش هایی که نسبتاً برای جلوگیری از وقوع حملات DDoS موثر می باشند، به شرح ذیل است:

  1. بهره گیری از سرویس های DDoS Protection مانند کلودفلر
  2. بهره گیری از سیستم های حفاظتی IDS
  3. حفظ امنیت کرنل یا هسته سیستم عامل
  4. حفظ امنیت سرویس PHP سرور
  5. حفظ امنیت اسکریپت های تحت Perl 
  6. حفظ امنیت اسکریپت‌های تحت python
  7. تامین امنیت سرور با آنتی شل به لحاظ عدم اجرای Shell های مخرب
  8. بهره گیری از آنتی ویروس مناسب با کانفیگ صحیح به منظور بررسی سرور
  9. کانفیگ امنیتی symlink به منظور جلوگیری از دسترسی های غیر مجاز
  10. بستن پورت های قابل نفوذ بر روی سرور
  11. حذف کردن سرویس های بلا استفاده یا غیر ضروری از روی سرور
  12. بهره گیری از موارد حفظ امنیت وب سرور نصب شده بر روی سرور مثل لایت اسپید یا آپاچی
  13. تأمین امنیت پورت های بازی که امکان بستن آن ها وجود ندارد، مثل پورت 80
  14. بروز بودن هسته وردپرس در سایت های وردپرسی و استفاده از افزونه های امنیتی وردپرس

بهترین ابزار ها برای جلوگیری از حملات DDoS

علاوه بر مواردی که در فوق اشاره گردید، با استفاده از ابزار هایی می توان از حملات DDoS جلوگیری نمود. در این بخش از مقاله، به معرفی این ابزار های کاربردی می پردازیم.

  1. Firewalls

    با استفاده از تنظیمات قابل اجرا در فایروال ها می توانیم تعیین کنیم که، پروتکل هایی پذیرفته یا رد بشوند. بنابراین در صورت بروز حمله از چندین آی پی، می توانیم رولی برای مسدود کردن پکت های ارسالی از ip مذکور تعریف و تنظیم نمود.
  2. Switches

    باید بدانید اکثر سوئیچ ها دارای امکانات Rate-Limiting و ACL هستند، که به صورت اتوماتیک یا System Wide قابلیت های زیر را برای کشف و جلوگیری از حملات DDoS ارائه می کنند:
    rate limiting، traffic shaping، delayed binding(TCP splicing)، deep packet inspection و Bogon filtering
  3. Routers

    روتر ها نیز، مانند سوئیچ ها دارای قابلیت های Rate-Limiting و ACL به صورت خودکار یا دستی می باشند، اما کانفیگ آن ها بسیار مهم است. اگر روتر به نحوی تنظیم شده باشد که گزارشات حملات را ارائه کند، به شدت کند شده و خود مشکل ساز خواهد شد.
    به طور کلی، روترها در حملات سنگین دی داس امکان انجام کاری برای مقاله با حملات را ندارند، اما در صورت تنظیم صحیح توانایی مقابله با حملات پینگ را دارا می باشند.
  4. Application Front End Hardware

    نوعی سخت افزار است که در مسیر ترافیک ورودی به سرور قرار می گیرد. این سخت افزار را بین روتر ها و سوئیچ ها می توان قرار داد، بدین صورت پکت های ارسالی ابتدا بررسی و آنالیز می شوند و الویت بندی می شوند.
  5. IPS Based Prevention

    پیش گیری بر اساس IPS در حملات Signature Associated کاربرد دارند. بنابراین حملاتی که دارای محتویات استاندارد هستند، اما هدفی نادرست دارند، شناسایی می شوند. البته IPS های محتوایی نمی توانند حملات رفتاری را تشخیص دهند.
  6. DDS Based Defense

    برخلاف IPS ها، DDS ها حملات رفتاری و Connection based را به خوبی تشخیص می دهند. بنابراین DDS ها می توانند مانع اجرای حملات protocol base و rate-based بشوند.
  7. Blackholing and Sinkholing

    روشی که معمولاً توسط ISP ها مورد استفاده قرار می گیرد، و ترافیک ورودی به سمت DNS یا IP خاصی را به black hole ارسال می کنند. این روش که سیاه چاله نیز گفته می شود، یک اشکال بزرگ دارد که تمامی ترافیک خوب و بد را به Black Hole منتقل می کند و دسترسی کاربران واقعی نیز قطع می شود.
  8. Clean Pipes

    تمامی ترافیک ورودی به تونل ها، پروکسی ها و ... از cleaning center عبور می کنند، و ترافیک بد از ترافیک واقعی جدا می شود. اجرای این روش به ارتباط مرکزی به اینترنت نیاز دارد.
  9. Intrusion detection systems

    سیستم های کشف نفوذ که به همراه فایروال ها قابل استفاده می باشند. این سیستم ها می توانند استفاده از پروتکل ها بعنوان ابزار حملات DDoS را تشخیص دهند. البته کانفیگ این سیستم ها بسیار مهم بوده و می بایست توسط افراد متخصص در این زمینه انجام شود.
  10. Servers

    کانفیگ امنیتی سرور ها نیز بسیار حائز اهمیت می باشد. مدیر سرور می بایست نحوه برخود اپلیکیشن ها با درخواست های ورودی را در شرایط مختلف به وضوح مشخص کند. 
  11. Bandwidth

اگر به خوبی با موضوع حملات DDoS آشنا شده باشید، در اکثر روش های اجرایی این حملات، اولین مشکلی که برای سرور تحت حمله پیش می آید، اتمام پهنای باند سرور است.

بنابراین در صورت امکان می توانیم با فراهم کردن میزان زیادی پهنای باند اضافه، توانایی مقابله سرور با حملات را تا حدی افزایش دهیم. البته این روش برای حملات بسیار سنگین ممکن است جوابگو نباشد.

جمع بندی

در این مقاله با موارد امنیتی و ابزار هایی که می توانیم قبل از بروز یا حین انجام حملات DDoS از آن ها استفاده کنیم، به خوبی آشنا شدیم. موارد گفته شده در این مقاله، کاملاً تخصصی می باشد و توسط مدیران سرور متبحر قابل انجام می باشد. بنابراین اگر تخصص کافی در اجرای کانفیگ های گفته شده ندارید، حتماً با افراد متخصص در حیطه مدیریت سرور در ارتباط باشید. 

لازم به ذکر است که هیچ روش دائمی برای جلوگیری از حملات DDoS وجود ندارد، و همواره هکر ها از روش ها و تکنیک های جدید تر برای اجرای حملات سنگین استفاده می کنند. پیگیری و تشخیص به موقع و داشتن مدیران سرور متخصص برای شرکت های هاستینگ بسیار مهم است، به نحوی که توانایی مقابله و رفع سریع حملات را داشته باشیم.

امیدواریم این مقاله برایتان مفید واقع شده باشد. اگر سوالی دارید که در این مقاله پاسخش را پیدا نکردید، در قسمت کامنت ها سوال خود را مطرح کنید، کارشناسان ما در کمتر از چند دقیقه به سوالات پاسخ خواهند داد.
این مقاله را با دوستان خود به اشتراک بگذارید.


مطالب مرتبط

انواع حملات DDoS
صباهاست

کاربر: صباهاست

12856

انواع حملات DDoS

حملات DDoS نوعی حمله هکری در سطح شبکه به منظور از کار انداختن سرور یا وب سایتی می باشند، که توسط تعدادی کامپیوتر متصل به شبکه که در اختیار هکر قرار گرفته اند، ب...

راهکارهایی برای افزایش امنیت وب سایت
صباهاست

کاربر: صباهاست

12856

راهکارهایی برای افزایش امنیت وب سایت

در سال های اخیر، ایجاد وب سایت ها از طریق سیستم های مدیریت محتوا (CMS) مانند وردپرس و جوملا بسیار آسان است. همین امر باعث شده است که بسیاری از صاحبان مشاغل اقدا...

چطور امنیت سایتمان را تقویت کنیم؟
صباهاست

کاربر: صباهاست

12856

چطور امنیت سایتمان را تقویت کنیم؟

داده یا Data یکی از ارزشمند ترین محتوا ها برای مجرمان سایبری و هکر ها می باشد، که برای دستیابی به آن تلاش زیادی می کنند. وقتی به داده های یک وب سایتی دسترسی پید...

پروکسی سرور چیست؟
صباهاست

کاربر: صباهاست

12856

پروکسی سرور چیست؟

پروکسی سرور یک دروازه بین کاربران و اینترنت فراهم می کند. درواقع پروکسی سرور یک سرور است که از آن به عنوان "واسطه" یاد می شود.پروکسی سرور یک سیستم رای...

تفاوت SSL پولی با SSL رایگان
صباهاست

کاربر: صباهاست

12856

تفاوت SSL پولی با SSL رایگان

آیا می دانستید، که هکر ها در هر 39 ثانیه و به طور متوسط 22244 بار در روز به رایانه های متصل به شبکه حمله می کنند؟امنیت موضوعی است، که همیشه مهم بوده است. بنابرا...

راهنمای انتخاب و خرید گواهی SSL
صباهاست

کاربر: صباهاست

12856

راهنمای انتخاب و خرید گواهی SSL

یکی از بهترین روش های امنیت سایبری برای وب سایت ها، افزودن گواهینامه امنیتی SSL یا Secure Sockets Layer می باشد. با این حال، انتخاب بین گواهی SSL رایگان و پولی...

افزایش امنیت وب سایت های وردپرسی
صباهاست

کاربر: صباهاست

12856

افزایش امنیت وب سایت های وردپرسی

در حالی که نرم افزار وردپرس بسیار ایمن است و به طور منظم توسط صدها توسعه دهنده بررسی می شود، کارهای زیادی را می توان برای حفظ امنیت سایت انجام داد.یک سایت وردپر...

انواع بدافزار و راههای جلوگیری از آنها
صباهاست

کاربر: صباهاست

12856

انواع بدافزار و راههای جلوگیری از آنها

Malware یا نرم افزار مخرب، مخفف "malicious software" است. Malware هر نرمافزار ناخواسته ای در رایانه ما است که اغلب برای ایجاد آسیب طراحی شده است. از گ...