| | |||||||||||
| |||||||||||
 |  | |||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||
شرح تركيب mod_evasive للحمايه من الفلود 
06-25-2007, 08:35 AM
| رقم المشاركة : 2 (permalink) | ||||||||||||
 |  إعادة : شرح تركيب mod_evasive للحمايه من الفلود السلام عليكم ورحمة الله دليلاً مبسطاً لكيفية الحماية من أنواع هجوم الأول بعض المصطلحات الهامه KeepAlive : هو المسؤول عن أنه يكون فى إتصال أو أكثر لمدة ثانية مثلاً من نفس المستخدم MaxKeepAliveRequest : هو أكبر عدد يمكن تحديده للإتصال على السرفر من إتصال ثابت بمعنى أوضح نفس الأيّ بي KeepAliveTimeout : هو مقدار عدد الثواني بين اللى هيسمح بيها البوكس بين كل إتصال وإتصال من نفس الأيّ بيي Timeout : هو مقدار الوقت المسموح بيه قبل عملية الكونكشن نفسها هى اللى الريسيف والسينت قبل ما يدي تايم أوت أو ميسمحش بعرض الصفحة MinSpareServers : المسؤول عن عملية فحص دورية ويعرف عدد المنتظرين عملية الطلب , اللي هي السيند والريسيف أو الإتصال مع البوكس عموماً MaxSpareServers: مرتبط باللى قبله ولو هو أكتر منو هيلغى عمليات إتصال كتيرة ندخل في الشغل.. دلوقت حسيت التصفح تقيل , أو لاقيت الأباتشى فيلد أو الحاجات المعروفة اللى بنشوفها فى السرفرات والشكاوى اللى بتيجي أول خطوة أيه؟ كود: Uptime الآمر دا عبارة عن بيعرفك اللود كام على سرفرك ودا اللى محتاجينه أحنا عموما عشان مش يحصل لخبطة أعلى شيء على اللود في كل الانواع سواء كان معالج واحد أو أتنين او تلاتة أو أي حاجة مش يزيد عن 5 أكتر من كدا يبقى فى حاجة من 3 Attack بشتى أنواعه Spam localdos والإسبام معروف طبعاً حلوله ولو حد عايز يسأل عن حلوله يتفضل يطلبها نرجع لموضوعنا... الأتاك هيكون دانيال أوف سيرفس بداية نعرف الترافيك المستخدم على السرفر في الوقت الحالى عادي ولالا؟ فى طريقتين ..... الأولى أني أكلم الداتا سنتر وأطلب منهم القياس من الرواتر بالظبت؟ والطريقة دى بطيئة لانه مش كل الـداتا سنترس سريعة في العمليات دى الطريقة التانية وهي تركيب برنامج رائع BWM – NG طريقة التركيب.. كود: cd /usr/local/src كود: wget http://www.gropp.org/bwm-ng/bwm-ng-0.5.tar.gz كود: tar -zxf bwm-ng-0.5.tar.gz كود: cd bwm-ng-0.5 كود: ./configure; make; make install ومن ثم أنتهي التنصيب ندخل في القياس البرنامج وظيفته بيقيس الترافيك ** ملاحظة مهمة , لا تعتمد على لوحة التحكم لديك لأنها تقيس الترافيك على الأباتشى فقط , لكن يوجد موارد أخرى تستهلك الترافيك الميلات .. الأف تي بي .. POP3 إلخ... لذلك عليك بالبرامج الخاصة بذلك نعود لموضوعنا.. ونكتب الآمر التالى كود: bwm-ng هيطلع لنا الترافيك على اليمين , المعدل الأقصى لأيّ سرفر عادي لا يتجاوز نسبة معينة مثال , الباندويث عندك 1500 جيجا شهريّاً يبقى التصفح العادى بالنسبة لك لازم يكون فى البرنامج مش أكتر من 550 كيلو بايت حد أقصي أو 600 أكثر من كدا يبقى في Attack وبكدا المشكلة فى الترافيك وحلها هنعرفه تحت طبعاً نروح نشوف حالة الأباتشى أيه بالأمر التالى كود: Httpd status **ملاحظة , بعض السرفرات الأمر دا مبيديش ناتج ليهم للاسف وبيطلع الرسالة دى Not Found The requested URL /server-status was not found on this server. Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request. والحل كالتالى التعديل فى ملف الكونفنج للاباتشى كود: pico -w /etc/httpd/conf/httpd.conf **البحث بيتم عن Ctrl + W والبحث عن التالى كود: #<Location /server-status> SetHandler server-status# Order deny,allow# Deny from all# Allow from example.com # #< /Location> شيل كل العلامات اللى من النوع دا # وغير كلمة إيكسامبل بـ كلمة localhost ومن ثم أعد تشغيل الأباتشى كود: httpd restart وأكتب الآمر مرة أخرى سيعمل وعلى ضمانتى هيديلك حاجة بالشكل دا Server Version: Secured By : S-eLNeT Server Built: Sep 6 2005 11:46:00 __________________________________________________ _______________ Current Time: Wednesday, 05-Oct-2005 18:16:02 EDT Restart Time: Wednesday, 05-Oct-2005 18:15:55 EDT Parent Server Generation: 18 Server uptime: 7 seconds Total accesses: 24 - Total Traffic: 117 kB CPU Usage: u0 s0 cu0 cs0 3.43 requests/sec - 16.7 kB/second - 4992 B/request 9 requests currently being processed, 4 idle servers دا لو السرفر شغال عادي جداً مش هتلاقى طبعاً كلمة سرفر ستيتس سيكيوريد باى مي , هيطلع كلام تانى تماماً وهتكون هى إصدارة الأباتشى إلخ.. نبدأ الملاحظات هنا... يجب أن السرفر الريكوست اللى فوق مش يزيد عن 30 أو 40 , لو زاد هتبقى بكدا فى فعلاً هجوم عليك.. وعشان نتأكد أكتر وأكتر نشوف الكونكشن كام كود: netstat -n | grep :80 |wc –l كود: netstat -n | grep :80 | grep SYN |wc –l الأمر الأول يجب أن لا يزيد الكونكشن عن 450 والآمر الثاني لا يزيد عن 120 " ومن الممكن أنه ميديش ناتج لانك هتكون مفعل الساين كوكس" طيب نبدأ الحلول , فى مود رائع بيتركب للأباتشى وشايف أنه كلمة رائع لا توفي حقه خاصة أنه مجاني mod_dosevasive طريقة التركيب فى السريع.. لانى مشفتش ليها شرح كامل بالعربى مش عارف الإحتكار هيفضل لأمتي؟!! كود: cd /usr/local/src كود: wget http://www.nuclearelephant.com/proj...ive_1.10.tar.gz tar -zxf mod_dosevasive_1.10.tar.gz كود: cd mod_dosevasive كود: /etc/httpd/bin/apxs -cia mod_dosevasive.c ومن ثم وكالعادة هنعدل على ملف كونفنج الأباتشى .. ودور على كود: <IfModule mod_dosevasive.c> واكتب تحتها كود: DOSHashTableSize 3097 DOSPageCount 5 DOSSiteCount 100 DOSPageInterval 2 DOSSiteInterval 2 DOSBlockingPeriod 600 </IfModule> ** ملاحظة , أحيانا مش بتلاقيه فى ملف الكونفنج , الحل أكتب التالى كود: <IfModule mod_dosevasive.c> DOSHashTableSize 3097 DOSPageCount 5 DOSSiteCount 100 DOSPageInterval 2 DOSSiteInterval 2 DOSBlockingPeriod 600 </IfModule> في أيّ مكان فى الملف , ولكن قبل ما تقوم بالعملية دى تاخد باك أب من الملف وأيضاً يجب عمل بعض التعديلات فى ملف الكونفنج للأباتشى .. كود: pico -w /etc/httpd/conf/httpd.conf البحث عن الدوال الأتية كلها وتغيير قيمتها Timeout 15 KeepAlive Off KeepAliveTimeout 5 MinSpareServers 15 MaxSpareServers 20 وايضاً تفعيل الساين كوكيس " مع إنى لا أحب تلك الخطوة لانه في بعض الفايروولات تتسم بالغباء تفلتر الساين باكتس على أنه هجوم !!" المهم الأمر كالتالي.. كود: echo 1 > /proc/sys/net/ipv4/tcp_syncookies ------------ إنتهى.. منقوول للإفاده "من يتوكل على الله فهو حسبه إن الله بلغ آمره"
| ||||||||||||
 |
العرض العادي
