V
vuduu
Misafir
Yav siteyi açtığım gibi %99 oluyor system ve site kapanıyor. Nasıl önlüycez bunu ?
|
|
Ddos Saldırısı Önleyen Kod Varmı ?
Her %99 ddos saldirisi anlamina geliyor diye birsey yok.
# top
komutu ile kaynak harcayan proseslerin listesini cekebilirsin, burada en cok kaynagi harcayan hangi servis ise orada olusan bir problem veya oraya fazla yuklenim de olabilir.
# top
komutu ile kaynak harcayan proseslerin listesini cekebilirsin, burada en cok kaynagi harcayan hangi servis ise orada olusan bir problem veya oraya fazla yuklenim de olabilir.
H
hostcu
Misafir
ip ye ban koy msl bazı scriptler 5-6 dk sonra hemen banlıyo ip adresini sonuç olarak ddos etkisiz oluyo
V
vuduu
Misafir
ssh root erişimim mevcut zaten server dedicated 6 kere reset attım bugün gına geldi artık. Yöntemleri anlatabilirsen çok sevinirim.
ayrıca daha önceden host aldım 5 tane firmadan ddos yüzünden kovuldum adamın biri taktı sanırım bana gittim dedicated aldım daha facia site 30 dkdan fazla çalışmıyor cpu %1 lerde ama system diye birşey var panelde o %99 larda..
ayrıca daha önceden host aldım 5 tane firmadan ddos yüzünden kovuldum adamın biri taktı sanırım bana gittim dedicated aldım daha facia site 30 dkdan fazla çalışmıyor cpu %1 lerde ama system diye birşey var panelde o %99 larda..
Top proses nedir (top yazilarak gorunur), httpd ise mesela apache portundan gereksiz header yollayan birileri olabilir. 80. porttan bagli kisilerin listesi:
netstat -apn|grep :80 |awk '{print $5}'|sort
Yaparak cekilebilir. Burada 15-20 den fazla baglanti yapmis bir ip varsa sevmiyoruz kendisini.
iptables -A INPUT -p tcp -s 21.21.21.21 -j DROP
diyerek 21.21.21.21 yerine ip adresini yazarak paketleri kernelde drop ediyoruz.Ayni ip adresi /etc/hosts.deny icine de yazilinabilir.
Advanced Policy Firewall, Apache icin mod_dosevassive, mod_security, mod_limitipconn gibi eklentiler yuklenerek bu tarz seyler indirgenebilir.
Farkli portlardan daha yuksek dozajli floodlar biraz daha profesyonel cozumler (hardware anlaminda paket dusurme vb) gerektirebilir.
Ama dedigim gibi sisteminin kitlenmesi ddos'tan dolayi degil uzun sure oldurulmeden bekleyen veya kitlenen prosesler tarafindan da kaynaklaniyor olabilir.
netstat -apn|grep :80 |awk '{print $5}'|sort
Yaparak cekilebilir. Burada 15-20 den fazla baglanti yapmis bir ip varsa sevmiyoruz kendisini.
iptables -A INPUT -p tcp -s 21.21.21.21 -j DROP
diyerek 21.21.21.21 yerine ip adresini yazarak paketleri kernelde drop ediyoruz.Ayni ip adresi /etc/hosts.deny icine de yazilinabilir.
Advanced Policy Firewall, Apache icin mod_dosevassive, mod_security, mod_limitipconn gibi eklentiler yuklenerek bu tarz seyler indirgenebilir.
Farkli portlardan daha yuksek dozajli floodlar biraz daha profesyonel cozumler (hardware anlaminda paket dusurme vb) gerektirebilir.
Ama dedigim gibi sisteminin kitlenmesi ddos'tan dolayi degil uzun sure oldurulmeden bekleyen veya kitlenen prosesler tarafindan da kaynaklaniyor olabilir.
V
vuduu
Misafir
domaina saldırı yapıyor adamlar vuduu.com yazarak. ip saldırı yapmıyorlar. floot kodumu ne varmış sanırım ama bulamadım. anladığım kadarıyla sayfayı sürekli refresh ettiriyorlar bir programla..hostun tickketı yok çünkü support hizmeti almadım dedicated olduğu için support 150 euro istiyor adamlar çok pahalı geldi.
V
vuduu
Misafir
Angelo' Alıntı:
hoca bunları nereye yazıcaz ssh la bağlanıpmı anlamadımda?
Domaine saldiri yapmak diye birsey yok zaten, domainler iplere ad veren dns araciligiyla baglanti sagladiklari icin domaine veya ip ye saldiri yapmalari senin acindan farketmez. Orada kastedilen IP zaten saldiri yapan kisinin ip'sidir. Dagitilmis flood degilse, cok bir numara yok cok fazla request yollayip webserveri kitliyorlar, o ip'yi banlarsin kendine gelir.
Yazdigim butun komutlar ssh uzerinden elbette. cPanel'in varsa WHM-> Service -> Apache Status'den de buyuk ihtimal saldiri yapan ip'leri secebilirsin. Bir ip den farkli 15-20 talep varsa ve alakasiz sayfalara yonlenmis bos taleplerse onlar flood'u yapan kisilerdir.
Yazdigim butun komutlar ssh uzerinden elbette. cPanel'in varsa WHM-> Service -> Apache Status'den de buyuk ihtimal saldiri yapan ip'leri secebilirsin. Bir ip den farkli 15-20 talep varsa ve alakasiz sayfalara yonlenmis bos taleplerse onlar flood'u yapan kisilerdir.
