تنويه من رتب

[صبي غامد]

اليوم توقف هجوم الدوس اتاك لفترة ومن ثم عاد مجدداً للاسف،لازلنا نعمل جاهدين لحل المشكلة

وربي يهدي المتسبب ولاحول ولاقوة الابالله.

سيتم التوضيح ومراسلة المشتركين الكرام بعد التاكد من انتهاء المشكلة الحالية.

نشكركم على صبركم وجزاكم الله جنات عرضها السموات والارض

ارق تحيه

[الوافي]

هلا فيك اخوي .. ابو عبدالعزيز ..

واحنا معكم قلباً وقالباً وهذي بعض المعلومات لما يواجهكم في هذه الأيام :

هجمات الحرمان من الخدمات

ماذا يقصد بهجمات الحرمان من الخدمات ( DOS Attacks )

هي هجمات تتم عن طريق إغراق المواقع بسيل من البيانات غير اللازمة يتم إرسالها عن طريق أجهزة مصابة ببرامج(في هذه الحالة تسمى DDOS Attacks) تعمل نشر هذ الهجمات بحيث يتحكم فيها القراصنة والعابثين الإلكترونيين لمهاجمة المواقع الإنترنت عن بعد لإرسال تلك البيانات إلى المواقع بشكل كثيف مما يسبب بطء الخدمات او زحامًا مروريًا بهذه المواقع ويسبب صعوبة وصول المستخدمين لها نظرًا لهذا الزحام. ، خصوصا وأنه يبدو، وباعتراف الكثير من خبراء الأمن على إنترنت، وكأنه لا يوجد علاج في الوقت الحالي لهذا الأسلوب في الهجوم على مواقع إنترنت، وعلى هذا الأساس فإن هذا النوع من الهجمات يُدعى في بعض الأوساط " بإيدز الإنترنت".ويتم هذا الهجوم بدون كسر ملفات كلمات السر أو سرقة البيانات السرية، هجمات حجب الخدمة تتم ببساطه بان يقوم المهاجم بإطلاق أحد البرامج التي تزحم المرور للموقع الخاص بك و بالتالي تمنع أي مستخدم آخر من الوصول إليه. وبشكل عام تتواجد مثل هذه الهجمات منذ أعوام إلا أن قوتها الآن أصبحت أكبر من أي فترة مضت، كما أنها وصلت إلى مرحلة من النضج بحيث تستهدف أهدافًا محددة ومقصودة لأغراض تجارية. هذا وتذكر شركة سمانتك المتخصصة في الأمن الإلكتروني أن متوسط عدد هجمات الحرمان من الخدمة وصل إلى 927 هجمة في النصف الأول من عام 2004 بزيادة قدرها 679% عنها في النصف الثاني من عام 2004.



ما هي هجمات الحرمان من الخدمات؟

هجمات الحرمان من الخدمات كأسلوب ليست حديثة، ولكن إنترنت جعلتها فتاكة. ومبدأ هذا الأسلوب بسيط ويتلخص في أن المهاجم يقوم بإغراق الأجهزة المزودة بسيل من الطلبات والأوامر التي تفوق قدرة الجهاز المزود على المعالجة. ومن الأمثلة الظريفة والبسيطة على هذا الأسلوب هو مواصلة الضغط على زر الإدخال ENTER على محطة طرفية لم تقم بعد بتسجيل الدخول إلى الشبكة Log In ولكنها مرتبطة بنوع معين من الأجهزة الإيوانية أو محطات العمل. والسبب في أن هذا الأسلوب يمكن أن يُصنف ضمن أساليب هجمات الحرمان من الخدمات هو أن زر الإدخال يقوم في معظم الأحيان ببدء روتين للتعرف على الأداة ضمن نظام التشغيل، وهو روتين ذا أولوية تنفيذ عالية عادة. وبمواصلة الضغط على هذا الزر يتولد طلب مرتفع على عملية المعالجة اللازمة للتعرف على الأداة (لوحة المفاتيح في هذه الحال)، مما يؤدي إلى استهلاك 100% من طاقة المعالج وجعله غير قادر على تلقي طلبات معالجة إضافية. ويؤدي ذلك إلى إحداث شلل في نظام التشغيل والذي لا يمتلك عادة الذكاء ليميز بين طلبات الدخول الشرعية، وطلبات الدخول المؤذية. وفي هذه الحالة لا توجد ميكانيكية يمكن بها الاستجابة لهذا الهجوم. ومن الأساليب الأخرى لهذا النوع من الهجوم هو استهداف الموارد الثابتة الأخرى في البنية التحتية، ومن الأمثلة على ذلك هجمات الإغراق SYN . فضمن جلسات إنترنت الاعتيادية تتم عملية أشبه بالمصافحة بين النظم، حيث يقوم أحد النظم بإصدار طلب للارتباط بنظام آخر باستخدام حزمة SYN (المزامنة). ويقوم النظام المضيف في هذه الحالة بإصدار حزمة SYN-ACK، والتي يستجيب فيها للطلب الوارد من عنوان IP معين، ويقوم بتسجيل هذا العنوان في جدول معين، وتحديد فترة معينة لقطع الاتصال إذا لم تحدث الاستجابة لهذه الحزمة، والتي يجب أن تكون على شكل حزمة ACK يصدرها النظام الأول. وفي هجمات الإغراق، يقوم المهاجم بإرسال أكبر كمية ممكنة من حزم SYN باستخدام عناوين IP مزيفة، ويقوم النظام المضيف بتسجيل ردود حزم SYN-ACK في الجدول، والتي تبقى هناك لأن المهاجم لا يقوم بإرسال حزم ACK المطلوبة، مما يؤدي إلى امتلاء الجدول بالطلبات وعدم قدرته على تلقي أية طلبات اتصال جديدة. ورغم الأذى الذي قد يلحقه هذا النوع من الهجمات فإن العلاج يكمن في خطوتين؛ الأولى هي زيادة حجم الجدول الذي يتلقى طلبات الاتصال، والثانية-وهي خطوة ملازمة للأولى-التقليل من الوقت المطلوب للاستجابة لطلبات الاتصال وذلك لحذف المدخلات غير المستخدمة بشكل أسرع. وهنالك نوع آخر من هجمات الحرمان من الخدمات، حيث يستخدم المهاجم برنامجا يقوم بتجربة الدخول إلى حسابات المستخدمين ضمن خدمة معينة من خلال تجربة كافة أسماء المستخدمين، واستعمال كلمات سر خاطئة، عمدا. وعند استخدام هذه البرمجيات فإن بعض المزودات، إذا لم يكن هنالك تأخير معين بين محاولات الدخول، تقوم بمنع المستخدمين الشرعيين من النفاذ إلى النظام. وهنالك أيضا أسلوب آخر من الهجمات يدعى "الحزم الدامعة Teardrop" حيث يرسل المهاجم حزما مشوهة بحيث يؤدي إلى انهيار عمليات معالجة عناوين IP على الجهاز المزود. وبالمثل، فهنالك أسلوب إغراق عملية المعالجة نفسها في نظام التشغيل من خلال إرسال أوامر معالجة أو إدخال طويلة (أكثر طولا مما يسمح به نظام التشغيل أو التطبيق) Buffer Overflow، لا تقوم عمليات معالجة المدخلات ضمن نظام التشغيل بصدّها (وهي الثغرة التي استغلها واضعو فيروس الشيفرة الحمراء Code Red في مزودات مايكروسوفت ونظم تشغيلها) مما يؤدي إلى انهيار النظام.

أنواع (طرق) هجمات الحرمان من الخدمة


هجمات Ping Of Death و Teardrop

هناك ثلاثة أنواع من هجمات حجب الخدمة ( denial-of-service attack) :

الهجمات التي تستغل خطأ برمجي Bug في بناء TCP/IP
الهجمات التي تستغل تقصير في مواصفات TCP/IP
الهجمات التي تعيق المرور في شبكتك حتى لا تستطيع أي بيانات ان تصل اليها أو تغادرها .

و الهجمتين المميتتين المشهورين بينج الموت Ping Of Death و الهجمه الدمعة Teardrop ، يصنفا مع النوع الأول .فهجمه Ping Of Death تستخدم أي برنامج Ping لتخلق حزمه IP تتعدى الحد الأقصي (65536 بايت) من البانات المسموح بها لحزمة IP .و تلك الحزمة بإرسالها إلى اي نظام من الممكن لهذا النظام ان ينهار او يتوقف عن العمل او يعيد التشغيل من تلقاء نفسه. و تلك الهجمة ليست بجديده و كل منتجي انظمة التشغيل قاموا بعلاجها . أما عن الهجمه Teardrop فهي تستغل ضعف في إعادة تجميع اجزاء حزمة ال IP .خلال رحلتها في الأنترنت ،تقسم حزمة ال IP إلى اجزاء اصغر .و كل جزء يبدوا مثل الحزمه الأصلية ما عدا أنه يحتوي على حقل يقول -كمثال- "هذا الجزء يحمل البايتات من 600 إلى 800 من الحزمة الأصلية غير المجزئه" . هجمة Teardrop تخلق حزمة IP مجزئة و لكنها متداخلة Overlapped في محتويات حقل تعريف هذا الجزء . و عندما يتم تجميع تلك الحزمه من جديد بعض الأنظمة قد تنهار و بعضها يتوقف عن العمل و بعضها قد يعيد تشغيلة من تلقاء نفسه .


هجمات SYN

كود:

الضعف في مواصفات ال TCP/IP تجعله عرضة لهجمات SYN التي تنفذ اثناء

المصافحة الثلاثية( Three way handshake ) و التي تتم بين تطبيقين لبدء الإتصال بينهما .في الظروف العادية التطبيق الذي يبدأ الإتصال (المرسل) يرسل حزمة TCP-SYN إلى التطبيق المستقبل. و المستقبل يرد بإرسال حزمة TCP-SYN-ACK بعلم و صول الحزمة الأولى و عندئذ يرسل التطبيق (المرسل) حزمة ACK بعلم الوصول و عندئذ يبدأ التطبيقان في تبادل البيانات فيما بينهما .

. و لكن هجمة SYN تغرق flood الهدف بسلسلة من حزم TCP-SYN .كل حزمة تؤدي بالهدف إلى تجهيز استجابة SYN-ACK . و بينما الهدف ينتظر المصافحة الثالثة ACK ،يقوم بوضع كل حزم SYN-ACK المنتظرة دورها في الإرسال في طابور queue يسمى طابور المتراكمات backlog queue .و هذا الطابور له سعة محددة و التى هي غالبا صغيرة إلى حد ما .و بمجرد أن يمتلئ هذا الطابور ،سيتجاهل النظام كل طلبات SYN الواردة . SYN-ACK تغادر الطابور فقط عندما يتم الرد ب ACK او ينهي العداد الداخلي (والذي يجهز للعد لفتره طويلة نسبيا) المصافحة الثلاثية . و هجمة SYN تخلق كل حزمة SYN بعنوان IP مزيف للمرسل .و كل الإستجابات من الهدف ترسل إلى ذلك العنوان المزيف و الذي يكون إما غير موجود في الأساس او لنظام لا يعمل حاليا و بالتالي فان جزمة ACK التي تلى حزمة SYN-ACK لن تصل إلى الهدف ابدا .و هذا يؤدي إلى امتلاء طابور المتراكمات على الدوام فيجعل من المستحيل تقريبا على أي مستخدم الوصول إلى هذا النظام . منتجي حوائط النيران Firewalls مثل Checkpoint و Cisco و Raptor قاموا يإضافة ميزات في منتجاتهم لتزودك بدورع ضد هجمات SYN .و بالإضافة إلى ذلك يجب على حائط النيران الخاص بك التأكد من أن الحزم الصادرة من شبكتك تحتوي على عنوان IP مصدره سليم، و الذي هو أحد عناوين شبكتك الداخلية، وبالتالي لن يتم تزيف عنوان IP المصدر من داخل شبكتك .

هجمة إغراق UDP

أغراق UDP أو User Datagram Protocol flood أيضا تتم بربط نظامين ببعض . بالخداع Spoofing ،هجمة إغراق UDP تتم بالسيطرة على خدمة charger لأحد النظامين ،و تلك الخدمة لأغراض اختبارية تقوم بتوليد سلسلة من الحروف Characters لكل حزمة تستقبلها ،مع خدمة الصدى UDP echo للنظام الاخر ، والتي تردد كالصدى كل حرف تستقبله كمحاولة لإختبار برامج الشبكه .و نتيجة لهذا الربط يتم تبادل سيل لا يتوقف من البيانات العقيمة بين النظامين . و لكي تمنع هجمة إغراق UDP ،يمكنك اما ان توقف عمل كل خدمات UDP لكل جهاز على شبكتك ،أو من الأسهل أن تعد حائط النيران Firewall الخاص بك لتنقية كل طلبات UDP . و بما أن UDP صمم لعمل التشخيصات الداخلية ،يمكنك غالبا الإستمرار بتجاهل طلبات UDP من مجتمع الإنترنت .و لكنك لو حجبت كل خدمات UDP ،ستصد بالتالي بعض التطبيقات الجيدة و المعتمده على UDP مثل RealAudio .


الهجمات الموزعة

ومع ظهور الإنترنت، أصبحت هجمات الحرمان من الخدمات أكثر إثارة بالنسبة للهكرة، حيث أصبح بالإمكان استغلال أكثر من جهاز على الشبكة (بشكل شرعي أو غير شرعي) للهجوم على موقع معين أو مزوّد معين، باستخدام ما أصبح يدعى بهجوم السنافر Smurf Attack (نسبة للمسلسل الكرتوني الشهير). وفي هذا النوع من الهجمات، يقوم المعتدون باستغلال ميزة خطيرة في الشبكات التي تعتمد بروتوكول IP-وهي عنوان البث broadcast address؛ ففي الأحوال الاعتيادية يتم إرسال طلب إلى الشبكة (مثلا باستخدام أمر ping) من خلال عنوان البث، مما يؤدي إلى إعادة إنتاج وإرسال هذا الطلب إلى كل عنوان IP على تلك الشبكة، وعندئذ يمكن لجميع النظم الموجودة على الشبكة أن تقوم بإرسال المعلومات المناسبة إلى مصدر أمر ping . وفي حالة هجمات السنافر يحدث الحرمان من الخدمات باستخدام عناوين رأسية IP مزيفة وجعلها تقوم بإرسال أمر ping إلى عنوان البث لشبكة كبيرة، ومن ثم إعادة توجيه الإجابات إلى نظام ثالث، وهو نظام الضحية. وفي هذه الحالة يتعرض الضحية بسهولة إلى الإغراق من قبل بيانات مزيفة تعترض سبيل بياناته الحقيقية. وفي عالم إنترنت اليوم تحدث هجمات الحرمان من الخدمات باستخدام أدوات وأساليب أكثر قدرة على التدمير من الأساليب القديمة، حيث يقوم الهكرة باستخدام أدوات تقوم بفحص النظم غير المحمية، ومن ثم تثبيت برامج (تُدعى بالزومبي-أو الأموات الأحياء، إشارة إلى جهل المستخدم بأنه قد تم اختراق نظامه)، وهذه الزومبي تقوم بالإنصات إلى أوامر معينة ومُشفرة من برامج رئيسة MASTER يسيطر عليها الهكرة الذين يخططون لبدء الهجوم. وفي مرحلة معينة يقوم البرنامج الرئيس بإرسال الأوامر إلى الزومبي، والتي تتكون من عنوان IP الذي سيتم الهجوم عليه، وتحديد أسلوب الهجوم الذي يجب أن يتم استخدامه. وبما أن البرنامج الرئيس يمكنه أن يسيطر بسهولة على مئات أو ألوف الزومبي، فإن النظام المستهدف لا يجدا مخرجا من الركوع في النهاية، حيث أن مثل هذه الهجمات يمكن لها بسهولة أن تستنزف كافة المصادر المتاحة للأجهزة المزودة التي تتعرض للهجمات. ومن أدوات هجمات الحرمان المستخدمة اليوم هناك trin00، و tfn ، وبرنامج Stacheldart، و TFN2K، و Shaft، و Trinity ، والكثير غيرها. ولمعرفة المزيد عن هذه البرمجيات يمكن الرجوع إلى مصدر ممتاز على إنترنت موجود على العنوان (Distributed Denial of Service (DDoS) Attacks/tools).

[الوافي]

الحماية من هجمات الحرمان من الخدمة
يتم الحماية من هذه الهجمات بعدة طرق ولكنها تختلف في جدواها ومن هذه الطرق ما يعرف بنظام Dos.deny


نظام ( DoS.deny )


ما هو نظام ( Dos.deny ) ؟

نظام الحماية Dos.deny هو نظام مخصص لإكتشاف هجمات الحرمان من الخدمة DOS و التصدي لها و منعها من التأثير على أداء السيرفرات أو المواقع التي تسعمل هذا النظام ، و لمن لا يعرف ما هي عمليات الحرمان من الخدمة ، فهي قيام شخص بإستهداف موقع ما و ذلك بإرسال كم هائل من طلبات التصفح HTTP Request بغرض منع الموقع من العمل بشكل سليم أو إبطاء عمل الموقع ، أو حتى الإطاحة بشكل كامل بسيرفر الموقع بحيث يقف نظام السيرفر ( Apache / IIS... ) عن العمل نهائيا جراء الكم الهائل من أوامر التصفح .


يعمل نظام Dos.deny ؟

عن طريق إضافة سطر واحد إلى ملفات موقعك ، سيكون بإمكان النظام قراءة رقم الأي بي (IP) لكل زائر ، و عن طريق تخزين هذه الأرقام و تتبعها وفقاً لخوارزمية معينه سيكون بمقدور النظام إكتشاف عمليات الحرمان من الخدمة و ذلك بضوابط يمكن لمدير الموقع التحكم بها من خلال لوحة التحكم ، بمعنى أنه يمكنك تحديد كم عدد المحاولات و الفترة التي تقع فيها هذه المحاولات ، و التي على أساسها يمكن الحكم ان هذا الأي بيIP) ) يقوم بهجمة للحرمان من الخدمة ! عندها سيقوم النظام بالكتابة في ملفات من نوع .htaccess و ذلك لمنع ذلك IP من الوصول إلى موقعك ( أو أجزاء من موقعك تستطيع تحديدها أيضا(


هل يدعم هذا النظام هجمات الحرمان من الخدمة الموزعة ( DDOS) ؟

ليس بشكل كامل .. لن يستطيع هذا النظام الحماية من هجمات الحرمان من الخدمة الموزعه DDOS اذا كانت الهجمات تتم عن طريق عدد كبير جدا من أرقام الأي بي ، اما اذا كانت الهجمه تتم عن طريق عدد محدود من أرقام الأي بي ، فمن خلال ضبط الإعدادات بشكل أكثر صرامة سيكون بمقدورك إيقاف أو الحد من هذه العمليات بشكل كبير.


ما الحلول المناسبة لتفادي هجمات الحرمان من الخدمة ؟!

الطريقة المثلى لجعل شبكتك آمنه من هجمات حجب الخدمة المستقبلية هي الإشتراك في القائمة البريدية "لفريق الإستجابة لطوارئ الحاسب" CERT أو Computer Emergency Response Team من موقعهم الخاص Welcome to CERT





وصلات مفيدة
http://www.w3.org/security/faq/wwwsf9.html CERT/CC Denial of Service ZDNet Reviews: Business Technology Commentary and Evaluations - ZDNet: Reviews http://www.infosyssec.net/infosyssec/secdos1.html




أيضا توجد معلومات تقنية مهمة، للتصدي لهجمات حجب الخدمة إذا كنت تعمل مديراً لشبكة ويب، أو كنت مسؤولاً عن أحد مواقع ويب، فمن المؤكد أن تكون عمليات التشويه وحجب الخدمة الأخيرة، التي تمت خلال شهر فبراير ، والتي طالت أكبرمواقع إنترنت في الدول العربية والعالم، سببت لك قلقاً كبيراً على وظيفتك، وربما بعضاً من الكوابيس ليلاً! وننصحك لذلك، بالاطلاع على الدراسات التقنية في المواقع التالية، التي تشرح بتوسع طرق عمل عمليات حجب الخدمة، مع عرض أفضل الوسائل التقنية للوقاية منها، وتحري مصادرها: خلاصة ورشة عمل، أجرتها منظمة CERT، للتعامل مع هجمات حجب الخدمة http://www.cert.org/reports/dsit_workshop.pdf

دراسة لاستراتيجيات الوقاية من هجمات حجب الخدمة الموزعة، تقدمها شركة Cisco CCO Redirect

شرح تقني مهم، لطرق التقليل من مخاطر هجمات Smurf، وfraggle http://users.quadrunner.com/chuegen/smurf.cgi

ماذا تفعل عند إصابة نظامك ببرامج حصان طروادة، الخاص بهجمات DDoS؟ http://www.sans.org/y2k/DDoS.htm

أساليب الوقاية التي يجب أن يتبعها مقدمو خدمة إنترنت (ISPs) http://www.cs.washington.edu/homes/.../traceback.html

التعامل مع هجمات DDoS الناتجة عن برنامجي TRINOO، وTFN http://xforce.iss.net/alerts/advise40.php3





تحذيرات هامة

أذا كنت من مستخدمي أنظمة يونكس، ولينكس ( Linux and Unix Systems) فأحذر ؟!! حيث أنه ثبت وجواد برامج جديدة لشن هجمات حجب الخدمة الموزعة استخدمت جميع هجمات حجب الخدمة التي تمت في الماضي، برامج من نوع حصان طروادة، لا تعمل إلا على أنظمة يونكس، ولينكس ( Linux and Unix Systems) فقط، ما يعني أن مستخدمي أنظمة ويندوز Windows System كانوا في أمان نسبي، من أن ُتستخدم أجهزتهم، بدون علمهم، لشن هجمات على مواقع إنترنت معينة. لكن شركة TrendMicro، التي تعمل في مجال الحماية من الفيروسات ، كشفت أواخر الشهر ذاته، عن انتشار برنامج (TROJ_TRINOO)الجديد من نوع حصان طروادة، تمت برمجته لشن هجمات حجب الخدمة هذه المرة، من أنظمة ويندوز! وهذا البرنامج هو زبون لبرنامج Trinoo، الذي يعمل كمركز القيادة، لشن هذه الهجمات.. فإذا تمكن أحد المخترقين، وضع هذا البرنامج في نظامك، بدون علمك، عن طريق إرساله بالبريد الإلكتروني، مثلاً، فإنه سيتمكن من استخدام جهازك لشن الهجمات على أي مزود متصل بإنترنت. ولا يحتاج في هذه الحالة، إلا إلى معرفة عنوان IP لجهازك، خلال اتصالك بإنترنت!





التأكد من خلو نظامك من برنامج Trinoo
ويمكنك التأكد من خلو نظامك من هذا البرنامج، كما يلي:

افصل اتصال جهازك بإنترنت، ثم شغّل برنامج محرر سجل النظام (Regedit.exe)، واذهب إلى المفتاح HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Ru ) n)، وابحث عن الملف SERVICE.EXE (وليس الملف SERVICES.EXE، الموجود أصلاً في أنظمة, NT ) 2000 (واحذفه من النظام، إن وجد، ثم أعد تشغيل الجهاز. ويمكنك التأكد من أن الملف الذي تحذفه هو هذا البرنامج الخبيث، بالتأكد من حجمه، الذي يعادل 23145 بايت. وجدير بالذكر أن معظم برامج الحماية من الفيروسات ستطرح تحديثات تحمي من هذا البرنامج، في أحدث إصداراتها.

[الوافي]

درس منقول عن كيفية ايقاف الهجوم :




السلام عليكم


كنت قد كتبت درس من فترة وكان عن كيفية تحديد أي بى ثابت وكنا مسمين السلسلة لو تفتكرو لا للإحتكار والفلوس الكتار


النهاردة إن شاء الله هنكمل اللى بدأناه , وهو الحماية من هجمات

DDos Or Distributed Denial of Service


خلونا الاول نعرف أيه الهجوم دا بيضر إزاى و وظيفته أيه


الهجوم من النوع دا للأسف بيشكل رعب لأصحاب السرفرات , والناس اللى قرأت عنه بتوسع




بدأت تفهم أنه شيء تافه نوعاً ما لو الأدمن صاحى حبتين


العروض بالنسبة فى شركات الحماية تلاقيه يكتب أرقام فلكية للحماية من الهجمات دى , وطبعاً



هو مبيعملش حاجة ودا اللى هتعرفوه دلوقت :d


ندخل في الموضوووووووع




Here we go.........



الأول خلونا نعرف حبة مصطلحات يمكن تنفعنا لو فهمنا معناها ..




KeepAlive : هو المسؤول عن أنه يكون فى إتصال أو أكثر لمدة ثانية مثلاً من نفس المستخدم



MaxKeepAliveRequest : هو أكبر عدد يمكن تحديده للإتصال على السرفر من إتصال ثابت بمعنى أوضح نفس الأيّ بي



KeepAliveTimeout : هو مقدار عدد الثواني بين اللى هيسمح بيها البوكس بين كل إتصال وإتصال من نفس الأيّ بيي


Timeout : هو مقدار الوقت المسموح بيه قبل عملية الكونكشن نفسها هى اللى الريسيف والسينت قبل ما يدي تايم أوت أو ميسمحش بعرض الصفحة


MinSpareServers : المسؤول عن عملية فحص دورية ويعرف عدد المنتظرين عملية الطلب , اللي هي السيند والريسيف أو الإتصال مع البوكس عموماً



MaxSpareServers: مرتبط باللى قبله ولو هو أكتر منو هيلغى عمليات إتصال كتيرة


دول اللى هنعوزهم النهاردة فى شرحنا ..

ندخل في الشغل..


دلوقت حسيت التصفح تقيل , أو لاقيت الأباتشى فيلد أو الحاجات المعروفة اللى بنشوفها فى السرفرات والشكاوى اللى بتيجي أول خطوة أيه؟

كود:

Uptime

الآمر دا عبارة عن بيعرفك اللود كام على سرفرك ودا اللى محتاجينه أحنا


عموما عشان مش يحصل لخبطة أعلى شيء على اللود في كل الانواع سواء كان معالج واحد أو أتنين او تلاتة أو أي حاجة مش يزيد عن 5


أكتر من كدا يبقى فى حاجة من 3

Attack بشتى أنواعه

Spam

localdos


والإسبام معروف طبعاً حلوله ولو حد عايز يسأل عن حلوله يتفضل يطلبها


نرجع لموضوعنا... الأتاك هيكون دانيال أوف سيرفس


بداية نعرف الترافيك المستخدم على السرفر في الوقت الحالى عادي ولالا؟


فى طريقتين ..... الأولى أني أكلم الداتا سنتر وأطلب منهم القياس من الرواتر بالظبت؟

والطريقة دى بطيئة لانه مش كل الـداتا سنترس سريعة في العمليات دى
الطريقة التانية وهي تركيب برنامج رائع

BWM – NG


طريقة التركيب..

كود:

cd /usr/local/src

كود:

wget http://www.gropp.org/bwm-ng/bwm-ng-0.5.tar.gz

كود:

tar -zxf bwm-ng-0.5.tar.gz

كود:

cd bwm-ng-0.5

كود:

./configure; make; make install

ومن ثم أنتهي التنصيب ندخل في القياس البرنامج وظيفته بيقيس الترافيك


** ملاحظة مهمة , لا تعتمد على لوحة التحكم لديك لأنها تقيس الترافيك على الأباتشى فقط , لكن يوجد موارد أخرى تستهلك الترافيك الميلات .. الأف تي بي .. POP3 إلخ... لذلك عليك بالبرامج الخاصة بذلك


نعود لموضوعنا.. ونكتب الآمر التالى

كود:

bwm-ng

هيطلع لنا الترافيك على اليمين , المعدل الأقصى لأيّ سرفر عادي لا يتجاوز نسبة معينة

مثال , الباندويث عندك 1500 جيجا شهريّاً يبقى التصفح العادى بالنسبة لك لازم يكون فى البرنامج مش أكتر من 550 كيلو بايت حد أقصي أو 600

أكثر من كدا يبقى في Attack وبكدا المشكلة فى الترافيك وحلها هنعرفه تحت طبعاً


نروح نشوف حالة الأباتشى أيه بالأمر التالى

كود:

Httpd status

**ملاحظة , بعض السرفرات الأمر دا مبيديش ناتج ليهم للاسف

وبيطلع الرسالة دى

Not Found

The requested URL /server-status was not found on this server.

Additionally, a 404 Not Found error was encountered while trying to use an
ErrorDocument to handle the request.


والحل كالتالى

التعديل فى ملف الكونفنج للاباتشى

كود:

pico -w /etc/httpd/conf/httpd.conf

**البحث بيتم عن إتخدام Ctrl + W


والبحث عن التالى

كود:

#<Location /server-status>
SetHandler server-status#
Order deny,allow#
Deny from all#
Allow from example.com #
#< /Location>

شيل كل العلامات اللى من النوع دا #



وغير كلمة إيكسامبل بـ كلمة

localhost


ومن ثم أعد تشغيل الأباتشى

كود:

httpd restart

وأكتب الآمر مرة أخرى سيعمل وعلى ضمانتى



هيديلك حاجة بالشكل دا


Server Version: Secured By : S-eLNeT
Server Built: Sep 6 2005 11:46:00
_________________________________________________________________

Current Time: Wednesday, 05-Oct-2005 18:16:02 EDT
Restart Time: Wednesday, 05-Oct-2005 18:15:55 EDT
Parent Server Generation: 18
Server uptime: 7 seconds
Total accesses: 24 - Total Traffic: 117 kB
CPU Usage: u0 s0 cu0 cs0
3.43 requests/sec - 16.7 kB/second - 4992 B/request
9 requests currently being processed, 4 idle servers


دا لو السرفر شغال عادي جداً

مش هتلاقى طبعاً كلمة سرفر ستيتس سيكيوريد باى مي , هيطلع كلام تانى تماماً وهتكون هى إصدارة الأباتشى إلخ..


نبدأ الملاحظات هنا...

يجب أن السرفر الريكوست اللى فوق مش يزيد عن 30 أو 40 , لو زاد هتبقى بكدا فى فعلاً هجوم عليك..

وعشان نتأكد أكتر وأكتر نشوف الكونكشن كام

كود:

netstat -n | grep :80 |wc –l

كود:

netstat -n | grep :80 | grep SYN |wc –l

الأمر الأول يجب أن لا يزيد الكونكشن عن 450

والآمر الثاني لا يزيد عن 120 " ومن الممكن أنه ميديش ناتج لانك هتكون مفعل الساين كوكس"



عمال تقولنا المشكلة ومفيش حلول ياعم سفاح ؟؟ :


طيب نبدأ الحلول , فى مود رائع بيتركب للأباتشى وشايف أنه كلمة رائع لا توفي حقه خاصة أنه مجاني


mod_dosevasive

طريقة التركيب فى السريع.. لانى مشفتش ليها شرح كامل بالعربى مش عارف الإحتكار هيفضل لأمتي؟!!

كود:

cd /usr/local/src

كود:

wget http://www.nuclearelephant.com/projects/mod_evasive/mod_evasive_1.10.tar.gz tar -zxf mod_dosevasive_1.10.tar.gz

كود:

cd mod_dosevasive

كود:

/etc/httpd/bin/apxs -cia mod_dosevasive.c

ومن ثم وكالعادة هنعدل على ملف كونفنج الأباتشى ..


ودور على

كود:

<IfModule mod_dosevasive.c>

واكتب تحتها

كود:

DOSHashTableSize 3097
DOSPageCount 5
DOSSiteCount 100
DOSPageInterval 2
DOSSiteInterval 2
DOSBlockingPeriod 600
</IfModule>

** ملاحظة , أحيانا مش بتلاقيه فى ملف الكونفنج , الحل أكتب التالى

كود:

<IfModule mod_dosevasive.c>
DOSHashTableSize 3097
DOSPageCount 5
DOSSiteCount 100
DOSPageInterval 2
DOSSiteInterval 2
DOSBlockingPeriod 600
</IfModule>

في أيّ مكان فى الملف , ولكن قبل ما تقوم بالعملية دى تاخد باك أب من الملف


وأيضاً يجب عمل بعض التعديلات فى ملف الكونفنج للأباتشى ..

كود:

pico -w /etc/httpd/conf/httpd.conf

البحث عن الدوال الأتية كلها وتغيير قيمتها


Timeout 15


KeepAlive Off


KeepAliveTimeout 5

MinSpareServers 15

MaxSpareServers 20


وايضاً تفعيل الساين كوكيس " مع إنى لا أحب تلك الخطوة لانه في بعض الفايروولات تتسم بالغباء تفلتر الساين باكتس على أنه هجوم !!"

المهم الأمر كالتالي..

كود:

echo 1 > /proc/sys/net/ipv4/tcp_syncookies

هذه هي الحلول المقترحة لإيقاف المشاكل الخاصة بالدانيال أوف سيرفس



ملاحظة فى النهاية


IF Y0 KNOW HOW T0 HACKING BOXS Y0 WILL KNOW HOW T0 PROTECT YOUR BOX




الدرس خلاصة حلول شخصية عن تجربة وجوجل وتجربة بعض الأدوات...




وبكدا عرفنا اللى عاملين أدمنز سرفرات وبياخدو 200 دولار لتركيب خدمات حماية بيعملو أيه؟


الموضوع منقول من المنتديات الأمنية SecurityGurus..


http://www.securitygurus.net/forum/i...t=0&#entry2955

SG Team



إلى الــــلقـــاء

[ابو نوف]

عموما يكفي ردك علي ( انه ابنت اخوي تقول هذا المحقق كونن ) وصدقني اني ندمت بالرد عليك في مواضيع سابقة وهذا طرحك!!!

بنسبة للموضوع يكفيني فخر واعتزاز ان من قام برد فية اساتذة تجهل انت من يكونوا .!!!؟؟؟

بنسبة لرد في الموضوع عليك او على صبي غامد توقف لسبب شخصي واشارة من الرجل المعني بالموضوع انه لو سمحت خلاص .

وعلم اصلحك الله وهداك ان المتسلق على اكتاف الغير تعرف من يكون او يقولك هذا انا وعملت وسويت ويستغل اي مناسبة ليطرح مايخصه من مواقع او برمجية او حتى سكربت ...........الخ ..اما انا مشترك بمعرف تخيل لاحد ابناءنا في سوالف واتوقع انه في عمرك وضع تحتها الف خط .

عموما اختمها بتالي نتمناء لرتب ان يضل موقع احصائيات ويصحح من اي خطاء ويقدم المنفعه للجميع بدون تحيز او استغلال الاخرين .

دمتم بخير

حبيبي انا ولله الحمد عشره كبيره في سوالف سنين اتوقع من قبل لاتعرف انت انو في شي اسمه نت مرو عليه كثير اشكال والوان تعلمت اني اعطي كل شخص حجمه في الردود وعلى حسب من يكون ومع احترامي لك اعتقد انه ردي لائق بشخص مثلك مستتر ورى معرف لاتعرف من هو لكن احنا واضحين, ست سنوات انا هنا في سوالف لم يصدر مني شئ معيب ولله الحمد ولي علاقه طيبه بالجميع اما عقليتي وعمري فالحمد لله لن تصل لمستواي العلمي ولا لشهادتي ولا انته بعمري ولكن اذا كنت تتعامل مع شخص فلابد انك تضرب له امثله من بيئته الي يعيشها وعلى قد تفكيره وعقليته

طبعا تتوقف او ماتتوقف هذا شي يخصك انت لكن ممكن تطلع لنا بمعرف جديد تستلفه كالعاده ووقتها ماراح ارد عليك راح اخليك تسرح وتمرح وتبحث في معرف كل شخص يرد عليك واتوقع ان المحقق كونن لقب لائق على من يقوم بهذه الامور لانه مايهمه راي من يخالفه بقدر انه يهمه مين الشخص هذا وايش هوه وايش علاقته برتب

اما بخصوص اني اجهل من يكونو فانا لاهمني من يكون الشخص بقدر ماتكون افعاله وتصرفاته
والحمد لله علاقتي طيبه بكثير من مطوري الويب كثير منهم كان في سوالف قبل لاتعرف انت الانترنت
اتمنى فعلا ان يكون انك تتمنى مصلحة المواقع العربيه وليتك قدمت لنا روشته كما فعل اخونا الوافي الي فعلا همه تطوير المواقع العربيه

عموما انا قدمت اعتذار في موضوع سابق وانا الان اقدم اعتذار للجميع لو كانت مشاركتي اساءة لاحد من قريب او من بعيد او جرحته لان ابن ادم خطاء وهذا شي مو تمسح باحد ابدا ولاضعف مني ولله الحمد ولكن ابراء ذمه وعرف تربيت عليه الانسان ينفعل احيان ويفقد اعصابه ويكتب كلام في لحظات شيطان

انا عني مسامح الجميع كل من قدح فيني واتهمني باني عميل وبوق ومن المافيا وووالخ اانا اقله مسمووح له وللجميع

وقدرك عزيز وغالي يابو عبد العزيز وعلى العين والراس

[m7bobh]

مو اي موقع انهجم ناجح !

[ArbDownLoad.CoM]

فى انتظار رجوع رتب باءذن الله

[عيال الحارة]

بكل صراحة فرحت لما دخلت رتب ووجدته مفتووح

ألف ألف مبروك والله يعينكم

[albanner]

السلام عليكم ورحمة الله وبركاته

كما لاحظ الجميع فإن موقع رتب متوقف منذ عدة ايام ، و لم يتم نشر توضيح خلال الايام السابقة لاعتقادنا ان الامر يمكن معالجته خلال ساعات .
حيث فوجئنا بتوقف الموقع رغم ان السيرفر يعمل بكفاءة والحمد لله ، فتبين تعرض الموقع لموجة مستمرة من هجمات الـ DDOS من عدة مصادر اهمها روسيا .
الجدار الناري البرمجي لم ينفع بتاتا .
فاشترينا و ركبنا جدارا ناريا حقيقيا امس و لكن لم يستطع تحمل ضغط الهجوم لذلك نقوم بترقيته بشراء جدار ناري احدث اليوم ،

كما ندرس امكانية عمل توزيع احمال load balancing بناء على نصيحة الشركة المستضيفة و ذلك عن طريق اضافة عدد من السيرفرات .

لذلك نحن لا نعرف على وجه التحديد متى يعود الموقع للعمل لكن ندعو الله ان يكون ذلك في اسرع وقت . و سوف نوضح التطورات اولا بأول ان شاء الله .

نعتذر للجميع عن هذه المشكلة الطارئة التي من الواضح ان لا دخل لنا في حدوثها اطلاقا .

دعواتكم لنا بالتمكن من ايقاف تأثير هذا التخريب من جهة
و لا تنسوا الاحتساب على المخربين من جهة اخرى .

حسبنا الله و نعم الوكيل .

ملاحظة:
مثل هذا الهجوم بالضبط حدث في فترة ماضية على احد المواقع الكبرى و أوقفه لعدة أيام .
و عرفنا من دفع للمخربين مبلغ محترم لشن الهجوم السابق،
لكن لا يمكننا ربط العملين سويا دون دليل .
لذلك نكتفي بقول حسبنا الله و نعم الوكيل .

لاتنسونا من دعواتكم
ولاتنسوا اخونا عبدالله صاحب موقع الشرقية رحمة الله عليه من دعائكم.

ولا حول ولاقوة الا بالله .

" صبي غامد " : وعليكم السلام ورحمة الله وبركاته...

اقول معك حسبي الله ونعم الوكيل على كل مخرب ..

والله يرحم موتنا وموتى المسلمين ..

واسأل الله لكم التوفيق ،،،

وصل سلامي لأخي محمد حسام .. فهو يستاهل كل خير والعاملين معه.

[A.M.J.A.D]

الوافي مشكور عالمعلومات