Sunucuya yapılacak saldırılar için

**Jaqen** · 17.04.2014, 02:28

Sunucuya yapılacak saldırılar için

ssh a root olarak giriyoruz ve şu komutu yazıyoruz.

Kod:

netstat  -np | grep SYN_RECV | awk '{print $5}' | cut -d. -f1-4 | cut -d: -f1 | sort -n |  uniq -c | sort -n

eğer boş çıkarsa syn saldırısı yoktur.lakin yanında 2-5-78-345 gibi sayılar olan ip ler çıkarsa syn saldırı alıyorsunuz demektir.Yanlarındaki sayı ne kadar yük++++e bu saldırı o kadar şiddetli demektir.büyük ihtimal apache düşecek ve siteler erişime kapanacakdır.syn saldırılarda cpu veya ram kullanımı yükselmez.anlamak pek basit değildir.

udp saldırılarında ise sunucu cpu,ram ve network kullanımı oldukça yükselir.işlemci tavan yapar.bu tür saldırıları anlamanın zor olmadığını biliyoruz

netstat -n komutuyla baktığımızda time_wait çok fazla ve aynı ip den ise udp dir.açık bir şekilde udp saldırıları ayırt edilebilir.

Site odaklı saldırılar

site odaklı saldırıları anlamak pek kolay olmayacaktır.eğer sunucunuzda bir çok site var ise siteleri tek tek host ettiğiniz ipden alıp başka bir ip ye taşımaktadır.bu süreçte taşımadan sonra sunucunuzun normale döndüğünü gözlemlerseniz saldırılan siteyi bulmuş olursunuz.

genel olarak whm de şu 3 bölümden yararlanabilirsiniz.

Apache Status
CPU/Memory/MySQL Usage
Service Status

servis statüsden işlemci ve ram kullanımını öğrenebilirsiniz.

cpu memory bölümünden hangi sitenin hangi servisin hangi dosyanın ne kadar kaynak tükettiğini görebilir ve buna göre hareket edebilirsiniz.

Apache status kısmından ise hangi sitelere bağlantı yapılmış ne kadar sürmüş hangi ip den yapılmış vs istatistikleri görebilirsiniz.

aynı ipden yapılacak bir çok bağlantı saldırı işaretçisidir.veya aynı dosyaya bir çok yerden giriş yapılması buna bir örnek olabilir.

Çözüm önerisi

Sunucunuza ve sitelerinize yapılacak saldırı önlemek için bir takım basit yazılımlar var.bunlardan en çok bilineni apf bfd ve csf lfd ikilisidir.bunlar çok ağır saldırılar karşısında etkisiz kalacakdır.sadece basit saldırıları engelleyebilirler.bu ikiliden csf yi tavsiye edeceğim çünkü apf whm ye entegre olamaması ve hostname banladığı zaman kilitlenmesi ile 2 adım geride kalmaktadır.csf ise whm üzerinden kontrol edilebilen çok kullanışlı bir yazılımsal firewall dur.

bunun yanında kesin olmasada en az %50 oranında sizi koruyacak donanımsal firewall lar bulunmaktadır.bunları sunucunuzu aldığınız verimerkezi ile görüşerek temin edebilirsiniz.cisco bunlardan en bilineni ve en güvenilir olanıdır.

17.04.2014, 02:28	#1 (permalink)
Jaqen Root Administrator Kullanıcıların profil bilgileri misafirlere kapatılmıştır.	Sunucuya yapılacak saldırılar için Sunucuya yapılacak saldırılar için ssh a root olarak giriyoruz ve şu komutu yazıyoruz. Kod: netstat -np \| grep SYN_RECV \| awk '{print $5}' \| cut -d. -f1-4 \| cut -d: -f1 \| sort -n \| uniq -c \| sort -n eğer boş çıkarsa syn saldırısı yoktur.lakin yanında 2-5-78-345 gibi sayılar olan ip ler çıkarsa syn saldırı alıyorsunuz demektir.Yanlarındaki sayı ne kadar yük++++e bu saldırı o kadar şiddetli demektir.büyük ihtimal apache düşecek ve siteler erişime kapanacakdır.syn saldırılarda cpu veya ram kullanımı yükselmez.anlamak pek basit değildir. udp saldırılarında ise sunucu cpu,ram ve network kullanımı oldukça yükselir.işlemci tavan yapar.bu tür saldırıları anlamanın zor olmadığını biliyoruz netstat -n komutuyla baktığımızda time_wait çok fazla ve aynı ip den ise udp dir.açık bir şekilde udp saldırıları ayırt edilebilir. Site odaklı saldırılar site odaklı saldırıları anlamak pek kolay olmayacaktır.eğer sunucunuzda bir çok site var ise siteleri tek tek host ettiğiniz ipden alıp başka bir ip ye taşımaktadır.bu süreçte taşımadan sonra sunucunuzun normale döndüğünü gözlemlerseniz saldırılan siteyi bulmuş olursunuz. genel olarak whm de şu 3 bölümden yararlanabilirsiniz. Apache Status CPU/Memory/MySQL Usage Service Status servis statüsden işlemci ve ram kullanımını öğrenebilirsiniz. cpu memory bölümünden hangi sitenin hangi servisin hangi dosyanın ne kadar kaynak tükettiğini görebilir ve buna göre hareket edebilirsiniz. Apache status kısmından ise hangi sitelere bağlantı yapılmış ne kadar sürmüş hangi ip den yapılmış vs istatistikleri görebilirsiniz. aynı ipden yapılacak bir çok bağlantı saldırı işaretçisidir.veya aynı dosyaya bir çok yerden giriş yapılması buna bir örnek olabilir. Çözüm önerisi Sunucunuza ve sitelerinize yapılacak saldırı önlemek için bir takım basit yazılımlar var.bunlardan en çok bilineni apf bfd ve csf lfd ikilisidir.bunlar çok ağır saldırılar karşısında etkisiz kalacakdır.sadece basit saldırıları engelleyebilirler.bu ikiliden csf yi tavsiye edeceğim çünkü apf whm ye entegre olamaması ve hostname banladığı zaman kilitlenmesi ile 2 adım geride kalmaktadır.csf ise whm üzerinden kontrol edilebilen çok kullanışlı bir yazılımsal firewall dur. bunun yanında kesin olmasada en az %50 oranında sizi koruyacak donanımsal firewall lar bulunmaktadır.bunları sunucunuzu aldığınız verimerkezi ile görüşerek temin edebilirsiniz.cisco bunlardan en bilineni ve en güvenilir olanıdır. Benzer Konular Stres atmak için yapılacak en iyi aktiviteler size göre nelerdir?... 29 Ocak 2016 Cuma Günü 4 İlde Elektrik Kesintisi Yapılacak – Elektrik Kesintisi Yapıl... Türkiye'ye siber saldırılar artıyor!... BitCoin Popülerleşti Siber Saldırılar Arttı... İstanbul'da peş peşe silahlı saldırılar... Paylaş Share this post on Twitter Follow @Forumaski