CentOSdebianUbuntuراهنماهای لینوکس

مهار حملات DDoS با فایروال CSF ( سرور مجازی لینوکس )

این مقاله برای تنظیم فایروال CSF است تا از هرگونه حمله عمدی DDOS به سرور شما جلوگیری شود.
در این مقاله ما فرض میکنیم که شما یک سرور مجازی ( vps ) لینوکسی با دسترسی به SSH آن دارید . این سرور میتواند از نوع ubuntu – debian – centos باشد .

شروع : پرونده پیکربندی CSF را باز و ویرایش کنید.

برای این مورد باید با یک ویرایشگر لینوکسی نسبت به ویرایش فایل csf.conf اقدام نمایید ( من از ویرایشگر nano استفاده میکنیم )
در صورتی که بر روی سرور شما nano نصب نیست با دستور
yum install nano -y − بر روی centos
apt-get install nano -y − بر روی ubuntu – debian
نسبت به نصب این ویرایشگر اقدام نمایید

سپس فایل کانفیگ را با ویرایشگر باز میکنیم

$ nano /etc/csf/csf.conf

توجه :‌ ما در این مقاله با ایجاد محدودیت هایی در فایروال CSF سرور مجازی شما درخواست های ورودی از یک ای پی را به سمت سرور محدود میکنیم . محدودیت هایی که ما آماده کرده ایم برای وبسایت های بیشتر مورد استفاده قرار میگیرد و حملاتی که بر روی وب سرور ها میباشد . حملاتی همانند HTTP DDoS , HTTPS DDoS , Sync Flood . از این جهت قبل از انجام این محدودیت ها بر اساس نیاز سرور خود بررسی نمایید تا مشکلی در خصوص کاربران به سرویس شما انجام نشود

قبل از هر چیز connection tracking را در فایروال خود فعال کنید – این مقدار CT_LIMIT نامیده میشود و پیشفرض آن “0” میباشد به این معنی که محدودیتی اعمال نمیشود

CT_LIMIT حداکثر تعداد اتصال مجاز از یک IP است ، شما می توانید این مقدار را طبق نیاز سرور خود تنظیم کنید.

نکته : ایجاد محدودیت در CT_LIMIT نباید خیلی پایین باشد چرا که هر کاربر در زمان اتصال به یک سایت ممکن است بیش از ۱۰ کانکشن همزمان با سرور برقرار کند

CT_LIMIT =100


فاصله پیگیری اتصال را تنظیم کنید.

CT_INTERVAL =30

اگر می خواهید ایمیل حمله احتمالی ddos ​​را دریافت کنید ، آن را فعال کنید. ( در این خصوص توجه داشته باشید باید پورت ۲۵ که مربوط به ارسال پورت است در سرور مجازی شما باز باشد ) و همچنین PTR Record بر روی ای پی ادرس شما تنظیم باشد .

در صورتی که از پارس وی دی اس سرویس دارید برای فعال سازی PTR Record اختصاصی نیاز است یک تیکت به واحد پشتیبانی ارسال نمایید

CT_EMAIL_ALERT =1

اگر می خواهید بلوک های IP را دائمی کنید ، این مورد را روی 1 تنظیم کنید ، در غیر این صورت بلوک می شود
موقتی خواهد بود و پس از CT_BLOCK_TIME ثانیه پاک می شود

CT_PERMANENT = 1

اگر بلوک های IP موقت را برای CT انتخاب کنید ، در این صورت بازه زیر است در چند ثانیه که IP برای مدت مسدود باقی خواهد ماند (به عنوان مثال 1800 = 30 دقیقه)

CT_BLOCK_TIME = 36000

اگر فقط می خواهید پورت های خاص را بشمارید (به عنوان مثال 80443) ، پورت ها را اضافه کنید به عنوان لیست جدا شده با ویرگول به موارد زیر بروید. به عنوان مثال. “80،443”

CT_PORTS = 80,23,443

این تنظیمات برای حملات DDOS کافی خواهد و تا حد بسیار بالایی حملات سرویس شما را کاهش خواهد داد .
این مورد را توجه داشته باشید در صورتی که حملات به صورت بسیار گسترده(از طریق پنل های DDoS و تعداد سرور های بسیار ارسال کننده دیداس ) باشد فقط با کانفیگ فایروال نرم افزاری نمیتوانید حملات را مهار کنید و باید از سرویس هایی مانند DDoS Protection به صورت سخت افزاری و شبکه ای نیز بهره مند شوید .
سرور اختصاصی ایران و سرور مجازی ایران پارس وی پی اس به صورت رایگان به همراه “ دیداس پروتکشن ” ارایه میشوند

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.

دکمه بازگشت به بالا