آمار حملات DDoS در سال 1394

با توجه به پایان سال 1394 تصمیم بر این گرفتیم که گزارش آمار حملات DDoS به شبکه های سنترال هاستینگ را طی سال گذشته منتشر کنیم.
طبق مقالات سایت های معتبر امنیتی بین المللی پیش بینی می شد که در شروع سال میلادی 2016 ( زمستان 1394) شاهد افزایش حملات DDoS خواهیم بود ؛ اما این سیر صعودی حملات بر روی وب سایت های فارسی زبان برای ما نیز کمی عجیب بود.

مطالب گذشته:
سال جدید با دنیای جدید هکر و انتظار افزایش جنگ های مجازی
افزایش حملات DDoS در ماه آخر میلادی
بازگشت جوخه مارمولک (Lizard Squad)
انجام حملات DDoS با سرویس های ابری

در زمستان 94 رکورد بزرگترین حملات به سرور های سنترال هاستینگ از زمان فعالیت ثبت شد؛ بزرگترین حمله به حجم 114گیگابیت بر ثانیه و حدود 9.800.000 پکت در ثانیه رخ داد و حدود یک ساعت به طول انجامید.
این حمله به قدری بزرگ محسوب می شود که واقعا می توان آن را به عنوان یک رکود در بین سایت های ایرانی ثبت کرد. این حجم حمله حدود 1/3 پهنای باند کل کشور است!

log2016-1

علاوه بر حمله فوق؛ حملات زیادی نیز با حجم ها و pps های بالا رخ داد که ما مجبور به ارتقا DDoS Protection شبکه برای جلوگیری از این حملات شده ایم.

همچنین علاوه بر افزایش فدرت حملات؛ شاهد افزایش کمی حملات نیز بوده ایم؛ ما در سال 1394 بالغ بر 10000 حمله DDoS را شناسایی کرده ایم. تصویر زیر نشان دهنده تعداد حملات DDoS در سال 1394 بر روی سرویس های سنترال هاستینگ است.

Book1

 

نکته: آمار حملات لایه 7 – HTTP در نمودار فوق حدودی می باشد و امکان ارائه آمار دقیق به دلیل مسایل فنی وجود نداشته ؛ این رقم یک حداقل است که بر اساس لاگ ها و شواهد به دست آمده است.

این حملات با شروع سال جدید میلادی در زمستان 94 به اوج خود رسید که گمان می رود به دلیل در دسترس قرار گرفتن ابزار های جدید و بوتر های کارامد تر است؛ همچنین با توجه به افزایش قدرت حملات UDP  پیشبینی می شود یک باگ جدید در سرویس دهندگان اینترنت توسط هکر ها کشف شده باشد که هنوز پتچ نشده است.
در سال 2012 وجود باگ در DNS سرور های شرکت ها و ISP های بزرگ منجر به استفاده ابزاری از آن سرور ها برای حملات بزرگ DDoS  می شد؛ به طوری که رکود بزرگترین حملات در آن سال شکست و تقریبا هیچ راه حلی برای این حملات وجود نداشت اما گروهی تصمیم به ایجاد پروژه ای عظیم گرفتند و نام آن را Open Resolver Project گذاشتند که در قالب تاسیس سایتی شروع به فعالیت کرد؛( جهت نمایش سایت اینجا کلیک کنید).همانطور که مشخص است وظیفه این سایت شناسایی و معرفی  DNS resolvers های باز بود که مورد سو استفاده قرار می گرفتند؛به مرور زمان این سایت به هدف نهایی خود رسید؛ افراد و شرکت هایی که مسئول این سرور ها بودند توسط این سایت و گزارش های کاربران متوجه وجود باگ های خود شدند آنها را برطرف نمودند و بعد از مدتی به صورت چشم گیری این حملات کاهش یافت اما آیا امکان دارد یک باگ جدید دوباره امنیت اینترنت را به خطر بی اندازد؟ احتمال اینکه یک باگ جدید دوباره شبکه ها و سرور ها را تهدید کند همیشه وجود دارد.

معرفی حمله TCP ACK Flood

در راستای معرفی و واشکافی حملات DDoS ؛ امروز قصد داریم به بررسی حمله TCP ACK Flood بپردازیم؛ این حمله بخشی از یک اتصال TCP به حساب می آید.
معمولا در یک اتصال TCP سه مرحله داریم در معرفی حملات HTTP Flood آنها را توضیح داده ایم :

اول کلاینت یک بسته SYN به سرور می فرستد.
دوم سرور یک بسته SYN ACK به کلاینت  می فرستد.
سوم کلاینت یک بسته ACK به سرور می فرستد.

این مراحل با اصطلاح three-way handshake نیز شناخته می شود.

یک حمله ACK Flood شامل یک دسته کامل از بسته های TCP به همراه بیت ACK  فعال بر روی آن است. این نوع از حمله دارای  تفاوت هایی در مقایسه با SYN flood است.

اول به شما نشان می دهیم که لاگ یک حمله ACK Flood به چه صورت است ؛ در لاگ زیر یک حمله بر روی آی پی فرضی 10.100.101.102  و پورت 80 بر روی انجام است.

[.] در اینجا به معنی یک پکت TCP است.

به خواندن ادامه دهید

WAF چیست؟

در حال حاضر بیش از ۷۰ درصد حملات اینترنتی از طریق بستر وب صورت می‌گیرد، برنامه‌های کاربردی تحت وب به عنوان بزرگترین هدف مهاجمین جهت نفوذ به زیرساختهای اطلاعاتی سازمان‌ها تبدیل شده‌اند. با توجه به رشد روزافزون حملات تحت وب و عدم کارایی سیستم‌های تشخیص و جلوگیری از نفوذ محصول جدیدی در عرصه امنیت اطلاعات و ارتباطات با عنوان «فایروال برنامه‌های کاربردی تحت وب» (Web Application Firewall)  به منظور مقابله با این حملات توسعه یافته است.

web application firewall(WAF)یک نرم افزار؛سخت افزار و یا مجموعه ای از قوانین پیاده سازی شده بر روی پروتکل ارتباطی HTTP می باشد. به طور کلی این قوانین جهت جلوگیری از حملات معمول هکر ها به وب سایت ها مثل cross-site scripting (XSS)و یا SQL injection و … می باشد.

با ایجاد چنین قوانینی بر ارتباطات HTTP می توان بسیاری از حملات هکرها را تشخص و مهار کرد و ترافیک را اعتبارسنجی کرد؛ نقش WAF در جلوگیری از حملات Zero Day ( ناشناخته و پتچ نشده) بر روی اسکریپت های تحت وب غیر قابل انکار است!

WAF را به شکلهای مختلف میتوان به اجرا درآورد؛ نوع اول به صورت یک ماژول قابل اضافه شدن به برنامه های موجود در Application Server است، نوع دوم به عنوان یک برنامة مجزا بر روی Application Server اجرا میشود و در نوع سوم به عنوان یک سیستم مستقل بر روی سخت افزار مجزا از سامانة اینترنتی نصب و راه اندازی میشود.

به خواندن ادامه دهید

وارش ؛ اسکنر آنلاین کد های مخرب php

وارش یک اسکریپت امنیتی می باشد که کلیه فایل های سایت شما را جهت شناسایی کد های مخرب احتمالی اسکن می نماید.
وارش یه معنی باران و ابزاری در دستان شما جهت شناسایی کد های مخرب سایتتان است.

 اسکنر امنیتی وارش


اسکنر امنیتی وارش

وارش به دنبال چه می گردد؟

وارش فایل های شما را جهت یافتن PHP Shell, Malware,IFrame و توابع خطرناک و همچنین کد های انکدینگ شده جستجو می نماید.
توجه:این برنامه به هیچ وجه تغییری در فایل های شما به وجود نمی آورد و فقط کد های شما را اسکن می کند و هیچ فایل یا کدی حذف یا ویریش نمی شوند.
این برنامه تمام تلاش خود را جهت شناسایی موارد مشکوک می کند اما به معنی امنیت و تست صد در صد نیست.
زمان اسکن به مواردی همچون حجم و تعداد فایل های PHP دارد؛ برای سایت های بزرگ تر نیاز به مدت زمان اجرای PHP بیشتری است تا با خطا مواجه نشود

توجه: فرمز شدن یک فایل دلیل بر صد در صد مورد داشتن یا مخرب بودن یک فایل نیست؛ بلکه شما پیشنهاد می کند آن را بازبینی کنید تا مشکلی نداشته باشد ؛ پس در صورتی که هیچ آشنایی با کد نویسی و توابع PHP ندارید استفاده از این برنامه برای شما توصیه نمی شود.

دانلود Varesh

این اسکریپت توسط سنترال هاستینگ نوشته شده است و هر گونه استفاده غیر قانونی از آن برای شما عذاب وجدان به همراه خواهد داشت.

کلودفلر (CloudFlare) واقعا یک آنتی دیداس است؟

قبل از شروع مطلب شاید بپرسید که کلا سرویس کلودفلر چیست؟ با کلیک بر روی لینک می توانید به مطلب قبلی که در خصوص کلودفلر نوشته ایم دسترسی پیدا کنید. همانطور که در این مطلب اشاره شده کلودفلر یکی از سرویس های خوب و محبوب  CDN به حساب می آید ( CDN چیست؟ ) .

اما همانطور که در سایت کلودفلر هم می بینید و یا احتمالا شنیده اید؛ کلودفلر (CloudFlare) به عنوان یک سرویس آنتی دیداس نیز شناخته شده است و جالب تر این است که این سرویس به صورت رایگان نیز ارائه می شود! اما چگونه ممکن است در زمانی که شرکت های بزرگی همچون incapsula, blacklotus, prolexic, arbornetworks, staminus و …. سرویس های دیداس پروتکشن (آنتی دیداس)  خود را با قیمت های چند هزار دلاری ارائه می دهند؛ کلودفلر (CloudFlare)  این سرویس را به صورت رایگان ارائه دهد؟

در مرحله اول باید بدانیم یک حمله DDoS دقیقا چیست؟

حقیقت ماجرا این است که کلودفلر (CloudFlare) ممکن است در بعضی مواقع جلوی حملات DDoS – دیداس را بگیرد اما در واقع نحوه عملکرد آن را شبیه هیچ یکی از سرویس های آنتی دیداس شرکت های بالا نیست و اگر قرار باشد یک تعریف کلی از یک سرویس آنتی دیداس با توجه به مجموعه سرویس های شرکت های بزرگ در این زمینه داشته باشیم کلودفلر در پلن های رایگان و حتی ۲۰۰دلاری خود هیچ سرویس آنتی دیداسی ارائه نمی دهد!

کلود فلر یک سرویس برای میزبانی شما نیست؛یعنی شما نمی توانید یک سرور از کلودفلر بخرید و سرویس خود را راه اندازی کنید! شما فقط این امکان را دارید تا از نیم سرور های کلودفلر برای تغییرIP  رکورد A به سرور های آنها استفاده نمایید و این سرویس به نوعی یک رابط بین سرور شما و کاربرانتان فقط بر روی پورت ۸۰ و ۴۴۳ خواهد بود.

در حقیقت IP سرور شما مخفی می شود( که با محافظت شدن تفاوت دارد) در این روش اگر هکر (شخصی که قصد انجام حملات دیداس بر روی سرور شما را دارد) اگر بتواند به هر دلیلی IP سرور اصلی شما را به دست بیاورد می تواند به حملات خود بدون مشکل ادامه دهد چون مخفی کردن یک آی پی به این راحتی هم نیست!

مورد بعدی محدودیتی است که برای شما پیش می آید؛ اگر قصد داشته باشید به هر دلیلی از پورت های دیگر سرور برای سرویس های خود استفاده نمایید کلودفلر هیچ کنترلی بر روی آن نخواهد داشت و به راحتی می تواند باعث لو رفتن IP و انجام حملات شود یعنی در حقیقت سرویس هایتان مبتنی بر دامین است و هیچ سرویس مبتنی بر IP نخواهید توانست ارائه دهید.
این موارد در خصوص حملات لایه ۴ و ۳ شبکه می باشد ؛ اما در خصوص حملات لایه۷ که ترافیک شما بر خلاف سرویس های مبتنی بر IP ؛ از طریق دامین انجام می شود و به عبارتی از سرویس رابطه ای کلودفلر (CloudFlare) استفاده می کند به چه صورت است؟ ترافیک به صورت Real Time آنالیز و بررسی می شوند و حملات مهار می شوند؟ خیر !

حقیقت این است در سرویس های رایگان که هیچ، حتی در سرویس ۲۰۰ دلاری ماهیانه کلودفلر نیز حملات لایه ۷ بلاک و مهار نمی شوند و مستقیم بدون هیچ پروسس و هیچ فایروالی به سرورتان می رسند و می توانند برایتان به راحتی مشکل ساز شوند!

اما در عوض کلودفلر سیستم Under Attack را در اختیار کاربران می گذارد که در این روش در هنگام باز شدن سایت یک لودینگ ۵ ثانیه ای به نمایش در می آید و سپس کاربر به سایت اصلی شما هدایت می شود!  ممکن است افرادی مایل نباشند در اول سایتشان چنین لودینگی ظاهر شود یا به دلایل تکنیکی و سئو و…. وجود یک لودینگ اجباری در اول سایت جالب نباشد. اما اگر این روش یک راه حل صد در صد برای جلوگیری از حملات باشد شاید نتوان از آن چشم پوشی کرد! بیایید ببینیم در این لودینگ چه اتفاقی می افتد؟

اگر در سورس این لودینگ دقت کنید  یک form جهت پاس کردن یکسری مقادیر مشاهده می کنید:

مقادیر این فرم توسط یک پروسس جاوا اسکریپتی تکمیل می گردند:

CloudFlare solver script

و زمان پست می توانید مقادیر ارسالی را در هیدر ببینید:

CloudFlare DDoS challenge-response

اگر مقادیر ارسال شده توسط پست با سشن ذخیره شده در سرور کلود فلر یکسان بود یک کوکی منحصر به فرد ایجاد می شود. این کوکی تا زمانی که فعال باشد دیگر این لودینگ برای کاربر نمایش داده نخواهد شد؛ یعنی با استفاده از این کوکی کاربران مستقیم وارد سایت می شوند.

پس در این پروسس ساده باید دو عامل جاوا اسکریپت و کوکی فعال باشد که در همه مرورگر ها فعال است اما بات نت ها این امکان را نداشتند( البته در زمان قدیم تر) یعنی اکثر بات نت ها با ارسال دستورات GET یا POST  سعی در حملات لایه ۷ داشتند که امکان پاس کردن این لودینگ و رفتن به سایت هدف را نداشتند و در حقیقت هیچ پروسس پیشرفته ای برای شناسایی حملات در کار نیست! هر کس جاوا را پاس کرد به راحتی وارد سایت می شود و پاس نکرد در پشت لودینگ می ماند.

اما در حال حاضر به راحتی امکان پاس کردن این مرحله و ورود به سایت توسط روبات ها و بات نت ها امکان پذیر است.ویروس in32/DoS.OutFlare.A یکی از مدرن ترین برنامه هایی است که برای بایپس کردن این پروسس کلود فلر استفاده شده است.

cloudflare-scrape نیز  برنامه ای است که به زبان Python نشوته شده است که با استفاده از Node.js می تواند به راحتی کلود فلر را بایپس کند ( دور بزند ).

بنابر مطالب گفته شده نباید از کلودفلر همانند یک سرویس آنتی دیداس واقعی انتظار داشته باشید؛ هر چند در خصوص برخی حملات لایه ۷ ممکن است کاربرد داشته باشد و یا IP شما را مخفی کند.

ویدئو

Live Visitor-نمایش آنلاین بازدید و حملات به سایت شما

Live Visitor یک ماژول اختصاصی در پنل مدیریتی سرویس های سنترال هاستینگ است که علاوه بر نمایش ‘زنده’ بازدید های یک وب سایت؛ کلیه حملاتی که از طریق هکر ها در حال انجام است نیز قابل مشاهده است.
Live Visitor  به فایروال نرم افزاری سرویس ها متصل است و کلیه حملات لایه 7 بر روی یک وب سایت که توسط فایروال بلاک می شوند را نیز در همان لحظه می توان در آن مشاهده کرد.حملاتی همچون:
» DDoS
» Brute Force
» SQL Injection-SQLi
» Local File Inclusion-LFI
» Cross-Site Scripting-XSS
» Remote File Inclusion-RFI
این ماژول برای کاربران هاستینگ و هم کاربران کلود پروتکشن در دسترس است.

سرور مجازی آنتی دیداس

در مرحله اول باید بگوییم سرور مجازی چیست؟ و آیا سرور مجازی آنتی دیداس وجود دارد و اگر دارد چگونه است؟
همانطور که می دانید سرور های مجازی یا همان VPS ها ؛ ماشین های مجازی مجزا هستند که همگی بر روی یک سرور فیزیکی راه اندازی می شوند و از نظر سطح دسترسی و محیط کاری شبیه به یک سرور فیزیکی اختصاصی هستند.
اما سرور مجازی یا VPS آنتی دیداس به چه صورت است؟ جهت پاسخ به این سوال اول باید اطلاعات دقیقی در خصوص حملات DDoS داشته باشید.

سرور مجازی آنتی دیداس

سرور مجازی آنتی دیداس

به صورت کلی ما با دو نوع حملات لایه 4 شبکه . لایه 7(نرم افزاری) روبرو هستیم؛ مسلما برای محافظت از سرور باید از فایروال های اختصاصی و قدرتمندی استفاده کرد تا سرور مجازی را از حملات DDoS امن نگه داشت؛ البته هر چند سرور مجازی به صورت آنتی دیداس فروخته می شود اما باید در نظر داشت این فایروال ها برای محافظت از حملات در لایه 4 شبکه که عمدتا به صورت TCP یا UDP  و … می باشد کاربرد دارد و اگر سرور مجازی به صورت مدیریت نشده فروخته شود ؛ یعنی به اصطلاح کانفیگ نشده باشد؛ هر چند دارای فایروال آنتی دیداس می باشد اما در برابر حملات لایه 7( نرم افزاری) ممکن است آسیب پذیر باشد؛برای جلوگیری از حملات لایه 7 باید در سرور مجازی با استفاده از فایروال و کانفیگ مناسب این نوع حملات را مهار کرد؛ حملات دیداس لایه 7 نسبت به حملات لایه 4 دارای اهمیت کمتری می باشد و هیچ وقت به صورت دراز مدت  نمی تواند مشکل ساز باشد اما  با این حال نباید دست کم گرفته شود؛

فعال کردن SSL وردپرس در سرویس های reverse

وردپرس بدون شک یکی از محبوب ترین سیستم های مدیریت و محتوا می باشد که جایگاه خاص در بین وبمستر ها پیدا کرده است. وردپرس نهایت انعطاف پذیری و سادگی و همچنین امنیت را برای کاربران مهیا می نماید.

برخی از کاربران جهت امنیت هر چه بیشتر اطلاعات مبادله شده در وردپرس از SSL استفاده می کنند. خود وردپرس نیز برخی ویزگی های پیشفرض جهت انطباق پذیری با SSL در آن تعبیه شده که در صورت تشخیص فعال بودن SSL ؛ سایت را با آن هماهنگ می کند.

اما زمانی که از سیستم های reverse p**** xy همچون فایروال کلود پروتکشن استفاده می نمایید ممکن است وردپرس نتواند SSL را تشخیص دهد که این امر منجر به بروز مشکلاتی خواهد شد؛
دلیل این مشکل نیز این است که همچون تصویر زیر کاربرانتان با ارتباط امن SSL به سرور reverse متصل می شوند ولی ارتباط بین این سرور  و سرور شما SSL نیست؛

>> هاست وردپرس

wordpress-ssl

بنابراین وردپرس نمی تواند یک اتصال SSL را تشخیص دهد و ممکن است سایت به صورت کامل لود نشود و مرورگر ها از لود فایل هایی که با آدرس غیر https باشد خودداری می نمایند که این خود یک مشکل می باشد. همچنین در بخش ورود به مدیریت وردپرس نیز ممکن است با خطای  redirect loop مواجه شوید.

به خواندن ادامه دهید

سنترال هاستینگ در مقابل چه حملاتی مقاوم است؟

یکی از اهداف تیم ما به ارمغان آوردن امنیت هر چه بیشتر کاربران در مقابل حملات می باشد. اما شاید برایتان سوالی ایجاد شود که چه نوع حملاتی؟

تخصص عمده ما در خصوص حملات DDoS می باشد که البته DDoS دسته بندی های متفاوتی دارد که به دو دسته اصلی لایه 7 (نرم افزاری) و لایه 4 و 3 تحت شبکه می باشد.

central-ddos-cloud

برخی از حملات DDoS که سنترال هاستینگ شما را در مقابل آنها مقاوم می کند:

TCP RESET TCP FIN  TCP SYN + ACK
TCP Fragment TCP ACK + PSH TCP ACK
HTTP URL GET/POST Floods  SYN Floods Against SSL Protocols TCP, UDP & ICMP Floods
SSL Renegotiation Attacks Malformed SSL Attacks Malformed HTTP Header Attacks
IGMP SIP Request Floods SSL Exhaustion
Spoofing / Non-Spoofed Connection Flood Brute Force
DNS Cache Poisoning Attacks Ping of Death Mixed SYN + UDP or ICMP + UDP flood
Reflected ICMP and UDP Smurf DNS Amplification
Slowloris/Pyloris and Pucodex Blackenergy, Darkness, YoYoDDoS, etc… Teardrop
Zero-day DDoS attacks Voluntary Botnets Sockstress and ApacheKiller
Custom Attacks – Unique to your service Application Attacks HOIC, LOIC, etc…

 

پارامتر “COLLCC” در انتهای آدرس وب سایت

با عرض سلام و وقت بخیر؛

شاید برای شما هم پیش آمده باشد که در انتهای آدرس وب سایت خود که بر روی سرور های سنترال هاستینگ میزبانی می شود پارامتر COLLCC را دیده باشید؛ مثل:

https://www.central-hosting.com/?COLLCC=1822990740

این پارامتر نشان دهنده فعال بودن حساسیت فایروال در هنگام حملات سنگین می باشد؛ که البته شاید به ندرت در برخی موارد شاهد آن باشید. این پارامتر توسط فایروال اختصاصی دیتا سنتر به انتهای آدرس جهت مشخص کردن کاربر واقعی ار درخواست های ارسالی هکر می باشد که جهت امنیت هر چه بیشتر سرور میزبان شما مورد استفاده قرار می گیرد.

البته این پارامتر فقط در اولین بازدید از وب سایت نمایش داده می شود و در بازدید های مشابه دیگر آن را نخواهید دید.

موفق و سربلند باشید