معرفی حمله TCP SYN ACK Flood

ddos-force-attack

در ادامه معرفی حملات قصد داریم متود جدیدی از حملات DDoS با عنوان TCP SYN ACK Flood را مورد بررسی قرار دهیم؛ این نوع حملات همانطور که مشخص است مبتنی بر یک ارتباط TCP به همراه SYN ACK فعال است؛ قبل از شروع معرفی باید با مراحل سه گانه اتصال TCP آشنا شوید:

اول کلاینت یک بسته SYN به سرور می فرستد.
دوم سرور یک بسته SYN ACK به کلاینت  می فرستد.
سوم کلاینت یک بسته ACK به سرور می فرستد.

هنگامی که این سه مرحله به اتمام برسد یک ارتباط مشروع و قانونی بین سرور و کلاینت برقرار می شود که می توانند به تبادل اطلاعات بپردازند. حمله TCP SYN ACK flood پکت های زیادی به صورت TCP ارسال می کند که شامل SYN و ACK فعال است؛ این نوع حمله بسیار شبیه به SYN flood است.

به خواندن ادامه دهید

کلودفلر از توپ جنگی چین محافظت خواهد کرد

به تازگی نیویورک تایمز اعلام کرد که CloudFlare قصد همکاری با غول جستجوی اینترنتی بایدو در چین برای ارائه Yunjia که یک سرویس مانند CloudFlare در چین است را دارد.

این سرویس برای بالا بردن سرعت اتصال به اینترنت و ارائه برخی سرویس های امنیتی برای مشتریان خود از جمله سرویس DDoS mitigation است؛ احتمال میرود از نظرات دیگر نیز این سرویس شبیه کلودفلر باشد.

baidu-china1نیویورک تایمز این را به عنوان مدل جدید برای شرکت های فناوری آمریکایی دانست که با توجه به انجام کسب و کار در زمینه های حساس و ظریف از صنعت فن آوری در چین وارد خواهند شد”

چین و اینترنت آن

بسیاری از کشور ها سطوح مختلفی از سانسور را در سطح اینترنت جهت کنترل بر جامعه ایجاد می کنند ؛ اما چین را واقعا می توان یک اسطوره در این زمینه شناخت! چرا که با وجود جمعیت ۱ میلیارد و ۴۰۰ میلیونی خود توانسته کل کشور را از چیزی که به آن محتوا نامناسب ( که بخش عمده آن محتوای خلاف نظر رژیم سیاسی کنونی چین است) محافظت نماید.

این واقعا یک چیز منحصر به فرد است؛ حجم داده هایی که از خارج و داخل چین در حال انتقال است بسیار بالا است؛ آنها موفق به کنترل این جریان با یک فایروال جامع شناخته شده به عنوان فایروال بزرگ شده اند که گاها از آن به عنوان سپر طلایی چین نام برده می شود. این یک سیستم دفاعی قدرتمند است.

به خواندن ادامه دهید

مشکل جدید کلودفلر برای کاربران ایرانی

در طی چند روز اخیر سرویس دهنده خارجی کلودفلر ( http://cloudflare.com ) اقدام به مسدود نمودن رنج برخی از آی پی های ایران در این سرویس نموده است ؛ به همین دلیل برخی از سایت های معروف خارجی که از سرویس کلودفلر استفاده می کنند ممکن است برای همه ایرانیان در دسترسی نباشند؛

سایت های معروفی مثل:

statcounter.com
whmcs.com
و بسیاری دیگر از وب سایت هایی که از سرویس کلودفلر استفاده می کنند دارای این مشکل هستند.

بازگشت جوخه مارمولک (Lizard Squad)

توییتهای جدید نشان می دهد که جوخه مارمولک بر گشته است

توییتهای جدید نشان می دهد که جوخه مارمولک بر گشته است

جوخه مارمولک (Lizard Squad) نام گروه هکر کلاه سیاهی است که بخاطر حملات محروم‌سازی از سرویس (DDoS) به انواع بازی های مشهور و وب‌سایت های بزرگ مشهور هستند.

در سوم سپتامبر ۲۰۱۴ بود که این گروه خبر انحلال خود را منتشر کرد،اما سپس برای بازگشت مجدد، مسئولیت حمله به وب‌سایت های بزرگی را بر عهده گرفت.

از دسترس خارج کردن شبکه پلی‌استیشن؛ ایکس‌باکس؛قطع اینترنت کره شمالی؛ فیسبوک و اینستاگرام فقط بخشی از فعالیت های این گروه هکر ها هست.

جوخه مارمولک (Lizard Squad) ظاهرا زمستان گذشته به خواب زمستانی فرور فته بود ولی مثل اینکه در حال بیدار شدن است.

پس از دستگیری ۶ مظنون همدست در این گروه ؛ظاهرا مارمولک ها اسلحه بدست گرفته اند به آژانس جرایم ملی (NCA) انگلستان حمله کرده اند که موجب از دسترس خارج شدن این سایت شد.

گاردین در این زمینه نوشته است:

آژانس جرایم ملی (NCA) توسط حملات توزیع شده انکار سرویس (DDoS) مورد هدف قرار گرفته که منجر به قطع دسترسی کاربران به سایت شده است . آژانس جرایم ملی به خجالت اعلام کرده است که حمله به سایت ما “یک واقعیت زندگی” است. که نشان از ناتوانی آنها در مهار این حمله را دارد.

تنظیمات Memcache در وردپرس

ممکش یا Memcache یک سیستم کش بسیار قوی و پیشرفته است که اشیاء و کوئری های دیتابیس را در حافظه و رم سرور کش و ذخیره کرده و کمک فراوانی به لود سرور و سریع تر شدن لود وب سایت شما میکند.

در سایت های وردپرس سنگین که حجم دیتابیس بالا یا بازدید بالایی دارند می تواند سرعت لود سایت را افزایش دهد و میزان مصرف منابع را کاهش دهد؛ جهت استفاده از Memcache در وردپرس نیاز به پلاگین دارید؛

بهترین گزینه  W3 Total Cache  است.

در W3 Total Cache در قسمت General Settings طبق عکس زیر Page cache method های موجود از جمله Database را بر روی Memcached قرار دهید و ذخیره memcached01.

 

بهینه سازی مصرف منابع سرور در ویبولتین

انجمن ساز ویبولتین وقتی به صورت نال شده استفاده می شود یکی از پر دردسر ترین انجمن ساز های موجود در اینترنت است؛ پس همیشه جهت امنیت بیشتر سعی کنید از نسخه های اصلی استفاده کنید و یا از یک اسکریپت دیگر استفاده کنید اما یکی از مشکلاتی که مدیران سایت ها با این اسکریپت دارند میزان استفاده بیش از حد از CPU  و Ram سرور است.

زمانی که حجم دیتابیس ( به دلیل افزایش تعداد پست ها و تگ ها و …) و همچنین بازدید سایت بالا می رود؛ به طبع میزان استفاده از منابع سرور نیز افزایش می یابد؛برای همین اگر به دنبال داشتن یک انجمن با پست های زیاد و بازدید خوب و مناسب هستید باید کم کم به فکر یک سرور باشید؛ چرا که هاست های اشتراکی شاید برای شما دیگر مناسب نباشند.

اما گاهی اوقات می توان با استفاده از روش هایی میزان استفاده از منابع را تا حد استانداردی کاهش داد، در این پست به روش های کاهش مصرف منابع توسط اسکریپت انجمن ساز ویبولتین می پردازیم.

با VBseo خداحافظی کنید

VBseo – وی بی سئو یکی از پلاگین های کاربردی برای افزایش سئو یک انجمن وی بولتین محسوب می شد ولی امروزه استفاده از آن دردسرهای زیادی خواهد داشت؛ عمده مشکلات vbseo  قطع خدمات و عدم به روز رسانی و پشتیبانی از آن توسط سایت اصلی می باشد که مشکلات زیادی را به همراه دارد؛ چنانچه در ماه های اخیر کشف باگ های امنیتی در این پلاگین منجر به هک شدن سایت های معروفی شد که از این پلاگین استفاده میکردند.
استفاده غیر طبیعی از منابع سرور نیز یکی دیگر از دلایل مهم جهت کنار گذاشتن این پلاگین است؛

آموزش حذف کامل وی بی سئو

اقدامات سئو بعد از حذف وی بی سئو

پلاگین های غیر ضروری را حذف کنید

یکی از راه های کاهش مصرف منابع حذف و غیر فعال کردن پلاگین های غیر ضروری است؛ سعی کنید در حد امکان از پلاگین ها؛هک ومودهای  غیر ضروری استفاده نکنید؛ چرا که موجب افزایش مصرف منابع و همچنین کندی سایت خواهند شد؛ تگ گذاری اتوماتیک ارسال ها یکی از دلایل عمده افزایش حجم دیتابیس و کندی سایت است و بهتر است به صورت دستی باشد.

انتقال فایل ها از دیتابیس به فضای هاست

ویبولتین به صورت پیشفرض تمامی فایل های ضمیمه شده؛ آواتار و تصاویر را در دیتابیس قرار می دهد که این کار با افزایش حجم دیتابیس باعث فشار بیش ازحد به سرور و کندی انتقال فایل ها بین سرور و کاربر می شود.

بهتر است فایل ها را به از دیتابیس به فضای هارد هاست منتقل نمایید.

به خواندن ادامه دهید

پلاگین وردپرس Real IP detector

banner-772x250

نمایش آی پی واقعی کاربران

پلاگین Real IP Detector که توسط تیم سنترال هاستینگ کد نویسی شده است , یک پلاگین رایگان جهت نمایش آی پی واقعی بازدید کنندگان از سایت می باشد، زمانی که شما از سرویس های آنلاین کلود پروتکشن سنترال هاستینگ یا کلودفلر و یا سرویس های لود بالانسینگ استفاده می کنید؛ به جای آی پی واقعی کاربر؛ آی پی سرور واسط را برای شما نمایش می دهد؛ اما این پلاگین آی پی واقعی افراد را در وردپرس ثبت می کند؛ از آی پی نظرات ثبت شده گرفته  تا برنامه های امنیتی و کلا پلاگین هایی که بر اساس آی پی کار می کنند مفید است.

>> هاست وردپرس

Real IP detector

Description:This plugin allow WordPress to detect visitors Real IP Address when WordPress is behind of Reverse Proxy, Load Balancer.
It will start working as soon as you activate it.

It is also compatible:

Cloudflare.com
geniusguard.com
central-hosting.com
incapsula.com
sucuri.net
barracuda.com
f5.com And Other…

دانلود از مخزن اصلی وردپرس:

WordPress Real IP Detector

هاست وردپرس

مشکل افزایش حجم هاست

یکی از ملاک های انتخاب هاست میزان فضای مورد نیاز برای آن است؛ اما گاهی اوقات حجم زیاد یک هاست باعث می شود نتوانید پلن مورد نظرتان را انتخاب کنید و یا هزینه ی بالایی برای پلن مورد نظرخود پرداخت نمایید اما آیا واقعا این هزینه نیاز است؟ گاهی اوقات ممکن است این حجم فضا در طی ماه ها به صورت ناخواسته به وجود آمده باشد؛ که در زیر سه مورد عمده را مورد بررسی قرار می دهیم:

فولدر Trash در cPanel

در برخی هاستینگ ها از جمله سنترال هاستینگ اگر شما در File Manager یک فایل را حذف کنید، آن فایل واقعا حذف نمی شود؛ بلکه به فولدر دیگری خارج از Public_html منتقل می شود تا اگر اشتباهی در حذف رخ داده باشد فایل قابل بازگشت باشد؛ برخی کاربران در خصوص پر شدن فضای هاست خود تیکت می دهند که هاست آنها بی دلیل پر شده است ! اما فایل های موجود در Trash جز فضای هاست محسوب می شود و باید حذف شود.
گزینه View Trash و Empty Trash در نوار ابزار File manager جهت مشاهده و حذف فایل های موجود در این پوشه است.

cpanel-file-trash02البته اگر بخواهید فایل هایتان را مستقیم حذف نمایید به طوری که وارد پوشه Trash نشود باید در هنگام حذف تیک گزینه زیر را فعال نمایید:

به خواندن ادامه دهید

انجام حملات DDoS با سرویس های ابری

خدمات ابری رایگان در سال های اخیر محبوب شده اند. این خدمات در اختیار توسعه دهندگان پلت فرم ها برای تست نرم افزار، و یا همکاری با دیگر افراد به راحتی در دسترس قرار می گیرند. همچنین این سرویس ها برای تلفن های موبایل یک موفقیت چشم گیر به حساب می آید ولی در عین حال سرویس های ابری اگر به درستی ایمن سازی نشوند می توانند یک معدن طلا برای مهاجمان باشند . بسیاری از سرویس های ابری تنها نیاز به یک ایمیل برای ثبت نام دارند و ساخت ایمیل های جعلی و ساخت اکانت در این سرویس ها توسط روبات ها بسیار آسان است.
چند سال پیش هکر های کلاه سیاه در لاس وگاس، محققان امنیتی اسکار سالازار و راب راگان نشان دادند که این مراحل چه قدر آسان و شدنی است.

cloud-service-delivery

آنها موفق به ساخت ۱۰۰۰ اکانت در سرویس های ابری فقط در طول تعطیلات یک آخر هفته شدند؛ با این بات نت رایگانی که توسط این سرویس های ابری به وجود آورده بودند توانستند فعالیت ماینینگ (استخراج) لیت کویین را انجام دهند و در طول هر هفته فقط ۱۷۵۰ دلار سود خالص داشته باشند! (لینک)

این کار یک فعالیت مخرب نبود اما فکر کنید یک هکر بخواهد از این قدرت و منابع به نحو دیگری استفاده کند؛وی می تواند به راحتی با ساخت هزاران اکانت به اهداف پلید خود جهت راه اندازی یک حمله DDoS بزرگ از طریق آی پی های مورد تایید سرویس های معتبر برسد! مناسفانه در اکثر سرویس های رایگان ابری دور زدن تشخیص هویت بسیار آسان و راحت است و مدیران این شرکت ها باید مراحل سخت گیرانه تری جهت تایید هویت افراد به کار ببرند چرا که با استفاده از این سرویس ها می توانند فعالیت های مخربی همچون انجام اسکن توزیع شبکه؛ حملات توزیعی کرک رمز عبور (brute force)؛ حملات DDoS ؛ کلیک های تقلبی و … دست بزنند.

حرکت های رو به جلو و تکنولوژی های جدید نیاز مند طرح های امنیتی جدید تر است و قبل از تبدیل شدن به یک بحران باید از آن جلوگیری کرد.

معرفی حمله Ping of Death

امروز قصد داریم یک متود متفاوت و البته قدیمی به نام Ping of Death از حملات DDoS را  معرفی کنیم.

در اواخر دهه ۹۰ میلادی یک آسیب پذیری در اکثر سیستم عامل ها کشف شد،اگر یک سیستم عامل مجبور به پردازش یک بسته بزرگتر از ۶۵۵۳۵ بایت بود ؛ این امر باعث به وجود آمدن مشکلاتی از قبیل buffer overruns یا هنگ کردن سیستم عامل و یا ریبوت کامل سیستم عامل می شد؛ البته این روش دیگر کارآیایی ندارد و سیستم عامل های امروزی چنین باگی ندارند اما در آن زمان این یک مشکل عمده محسوب می شد.

این مشکل به عنوانping of death یا پینگ مرگ معروف شد؛دلیل آن هم این بود که راهی برای کرش کردن سیستم عامل از راه دور با استفاده از ارسال رکوئست های ICMP  به آی پی قربانی یا همان پینگ با ارسال پکت هایی با حجم خاص به وجود آمده بود. حجم استاندارد یک پکت پینگ ۶۴ بایت است.

request-time-out

مطلب زیر از ویکی پدیا برای شما بازنشر شده است :

همانطور که در RFC 791 تعریف شده‌است، بیشترین طول بسته‌ی پروتکل اینترنت نسخه ۴ که شامل سرآیند آی پی (به انگلیسی: IP header) نیز باشد، ۶۵۵۳۵ بایت است، محدوده نشان داده شده با استفاده از محدوده‌ی سرآیند آی‌پی به عرض ۱۶ بیت است که طول کل بسته را شرح می‌دهد. لایه‌ی زیرین پیوند داده‌ها محدودیت‌هایی روی بیشترین اندازه‌ی فریم می‌گذارد(MTU را ببینید). در اترنت معمولاً ۱۵۰۰ بایت است. در چنین حالتی، یک بسته‌ی آی‌پی بزرگ به چندین بسته‌ی آی‌پی تقسیم می‌شود (که با نام قطعه‌های آی‌پی شناخته می‌شود)، به طوری که هر قطعه‌ی آی‌پی با حد قرارداد شده مطابقت خواهد داشت. گیرنده‌ی قطعه‌های آی‌پی، آن‌ها را دوباره سر هم خواهد کرد تا به بسته‌ی کامل آی‌پی مبدل شود و طبق معمول به پردازش آن ادامه خواهد داد. هنگامی که قطعه‌قطعه کردن انجام شد، هر قطعه آی‌پی نیاز دارد اطلاعاتی در مورد قسمتی از بسته‌ی آی‌پی اصلی که در آن وجود دارد، حمل کند. این اطلاعات در فیلد افست قطعه در سرآیند آی‌پی نگهداری می‌شود. طول این فیلد ۱۳ بیت است و شامل افست داده‌ها در قطعه آی‌پی فعلی، در بسته‌ی آی‌پی اصلی می‌باشد. افست در واحدی از ۸ بایت داده می‌شود. این مسئله اجازه‌ی داشتن بیشترین افست یعنی ۶۵۵۲۸ را می‌دهد. یعنی هر قطعه آی‌پی با بیشترین افست، نباید داده‌های بیشتر از ۷ بایت داشته باشد، در غیر این صورت از حد مجاز تعیین شده برای بیشترین طول بسته تجاوز خواهد کرد. یک کاربر مخرب می‌تواند یک قطعه آی‌پی با بیشترین افست و با داده‌هایی خیلی بیشتر از ۸ بایت(به همان بزرگی که لایه‌ی فیزیکی اجازه می‌دهد) ارسال کند. هنگامی که گیرنده تمام قطعه‌های آی‌پی را سر هم می‌کند، با یک بسته آی‌پی بزرگتر از ۶۵۵۳۵ بایت به کار خود خاتمه می‌دهد. این احتمالاً منجر به سرریز در بافرهای حافظه‌ای می‌شود که گیرنده برای بسته در نظر گرفته‌است و می‌تواند منجر به مشکلات بسیاری شود. همانطور که از توصیف بالا مشهود است، مشکل هیچ ربطی به ICMP ندارد. این مشکلی در زمینه‌ی دوباره سر هم کردن قطعه‌های آی پی است که می‌تواند شامل هر نوع پروتکلی مانند(IGMP, UDP, TCP, …) باشد. راه حل این مشکل، اضافه کردن کنترل‌هایی در روند سر هم کردن قطعات است. این کنترل برای هر قطعه‌ی ورودی آی‌پی اطمینان حاصل می‌کند که افست قطعه و کل طول فیلدها در سرآیند آی‌پی هر قطعه آی‌پی، کوچکتر از ۶۵۵۳۵ است. اگر جمع بزرگتر شد، بنابراین بسته نامعتبر است و قطعه‌ی آی‌پی نادیده گرفته می‌شود. این کنترل توسط دیوار آتش انجام می‌شود، برای محافظت از میزبان‌هایی که این مشکل را درست نکرده‌اند. راه حل دیگر برای این مسئله، استفاده از یک میانگیر حافظه بزرگتر از ۶۵۵۳۵ بایت برای دوباره سر هم کردن بسته‌است.(این اساساً نادیده گرفتن مشخصات است، چرا که پشتیبانی از بسته‌هایی را اضافه می‌کند که بزرگتر از اندازه‌ی مجاز هستند).