ما هو DDOS؟
قبل مناقشة كيفية التحكم في هجوم DDoS باستخدام CSF ، اسمحوا لي أن أشرح ما هو هجوم DDOS وكيف يؤثر على الأداء السلس للخادم. DDoS تعني رفض الخدمة الموزع. إنها محاولة لجعل خدمة عبر الإنترنت غير متاحة من خلال تدفق حركة المرور من مصادر متعددة. هذا يجعل من المستحيل إيقاف الهجوم عن طريق حظر عنوان IP واحد ، كما أنه من الصعب معرفة المستخدم الشرعي من حركة المرور.
السيطرة على هجوم DDoS باستخدام CSF
ستستخدم معظم خوادم cPanel إعدادات Config Server Firewall (CSF) لمنع الخوادم الخاصة بهم. هنا ، سأقدم بعض الخطوات لإدارة هجوم DDoS عن طريق تعديل الميزات في إعدادات CSF.
للتحقق من تعرض الخادم لهجوم DDoS:
يمكنك تشغيل الأوامر أدناه للتحقق مما إذا كان الخادم يتعرض للهجوم أم لا.
لإظهار عدد الاتصالات وعنوان IP ،
netstat -alpn | grep :80 | awk '{print $4}' |awk -F: '{print $(NF-1)}' |sort | uniq -c | sort -n
إذا كان الخادم يحتوي على المزيد من عناوين IP التي تم تكوينها فيه ، فستساعدك النتيجة أعلاه في العثور على عنوان IP الخاص بالخادم الذي يتعرض للهجوم.
على سبيل المثال ، إذا كانت النتيجة ضخمة مثل 1000 ، فيمكنك افتراض أن الخادم يتعرض لهجوم DDoS
التغيير والتبديل في إعدادات CSF:
1) افتح ملف تهيئة CSF.
vi /etc/csf/csf.conf
2) سيكون تقييد عدد الاتصالات المتزامنة من عنوان IP واحد فعالاً للغاية في إدارة هجمات DDOS. لذلك قم بتقليل قيمة CT_Limit إلى نطاق معقول. ها أنا أقوم بتغييره إلى 50
CT_LIMIT=50
هذا يعني أن الحد الأقصى لعدد الاتصالات من IP هو 50. ومع ذلك ، فإن القيمة ليست عشوائية ، يجب عليك تغيير القيمة وفقًا لإعداداتك.
3) تغيير الفاصل الزمني لتتبع الاتصال CT_INTERVAL
CT_INTERVEAL=30
هنا ، يتم تعيين قيمة تتبع الاتصال على 30 ثانية وهو أمر موصى به. إذا قمت بتقليل الفاصل الزمني إلى قيمة أقل ، فستكون هناك فرصة لتوليد إيجابيات خاطئة وستحظر الاتصالات الشرعية.
4) لتمكين الحماية لمنفذ معين ، يمكنك تحديدها في متغير التكوين “CT_PORTS”. على سبيل المثال. في معظم الحالات ، سيتم استهداف DDOS إلى خادم الويب وخادم DNS. لذا فإن أرقام المنافذ التي سيتم تحديدها في مثل هذه الحالات للتثبيت الافتراضي هي 80 و 53.
في المثال أدناه ، أقوم بتعديل الحماية لخادم الويب لكل من الاتصالات العادية واتصالات SSL
CT_PORTS=80,443
5) افتراضيًا ، يتم تعطيل SYNFLOOD (SYNFLOOD = “0”) في CSF. إذا كان الخادم يتعرض لهجوم SYNFLOOD ، فأنت تقوم بتمكينه مؤقتًا على النحو التالي.
SYNFLOOD = “1" SYNFLOOD_RATE = “30/s” SYNFLOOD_BURST = “30"
إذا تم تلقي 30 اتصالًا من IP / ثانية لمدة 30 مرة ، فسيؤدي ذلك إلى حظر عنوان IP المعني. يمكنك ضبط معدل SYNFLOOD_BURST حسب الخادم الخاص بك.
6. يمكنك تعيين حد لعدد الاتصالات بمنفذ معين عن طريق تغيير القيمة “CONLIMIT”.
CONNLIMIT = 80;20,443;15
ستقيد القيمة أعلاه 20 اتصالاً فقط بالمنفذ 80 و 15 اتصالاً بالمنفذ 443 من IP واحد
7) الآن اكتملت التعديلات. لجعلها فعالة ، نحتاج إلى إعادة تشغيل خدمة CSF بمعلمات التكوين الجديدة.
/etc/init.d/csf restart
or
csf -r
آمل أن يساعدك الإجراء أعلاه في منع الخادم من DDoS.