Virtual host kullanın. Apache de virtual host tanımınız var ise ip den gelindiğinde config teki ilk virtual host çağırılır. 404 dönebilirsiniz bu isteklere. Yada mod_security ilede ip den yapılan erişimleri engelleyebilirsiniz.
Message: Pattern match "^[\d.:]+$" at REQUEST_HEADERS:Host. [file "/etc/httpd/modsecurity.d/base_rules/modsecurity_crs_21_protocol_anomalies.conf"] [line "97"] [id "960017"] [rev "2.0.5"] [msg "Host header is a numeric IP address"] [severity "CRITICAL"] [tag "PROTOCOL_VIOLATION/IP_HOST"] [tag "WASCTC/WASC-21"] [tag "OWASP_TOP_10/A7"] [tag "PCI/6.5.10"] [tag "http://technet.microsoft.com/en-us/magazine/2005.01.hackerbasher.aspx"] -- Emre Tugriçeri Linkedin ----- Original Message ----- From: "Mesut Güler" <me...@egemenyazilim.com> To: linux-sunucu@liste.linux.org.tr Sent: Tuesday, October 2, 2012 12:23:57 PM Subject: [Linux-sunucu] Re: ddos önleme hakk?nda 02-10-2012 12:13 tarihinde, Ali OYGUR yazdı: Tam olarak anlatamadım. bir kullanıcı www.siteminadi.com yazdığında benim ipme yönlendiriliyor dimi, Ve gelen paket detaylarında sitemin adıda yazıyor eğer ben sitemin adı yazılmadan direk ipden erişim yapılmak isteniyorsa droplamak istiyorum. istemciler, http sunucunuza bağlanıp bana " www.siteminadi.com " u ver diye istekte bulunurlar. Sadece " www.siteminadi.com " u isteyenlere izin vermek isterseniz web servisinizin ayarlarından yapmayı deneyin. En pratik çözüm budur. Web servisi harici çözmek isterseniz, l7-filter veya snort gibi paketlerin içeriğini tarayabileceğiniz bir şeyler kurup çözmeyi deneyebilirsiniz. tabii bunlara kural yazmak biraz uğraştırabilir. Ayrıca bu yazılımlar sistemi yorarlar. bilgisayarınıza antivirüs kurmak gibi düşünün, antivirüs dosyaların içeriğini tarayarak virüs imzası arar, bunlarda ağ paketlerinin içeriğine bakarak imzalara uyanları bulur. <blockquote> Ali OYGUR FACEBOOK APPLICATION & PHP DEVELOPER On 10/02/2012 12:11 PM, Mesut Güler wrote: <blockquote> 02-10-2012 12:04 tarihinde, Ali OYGUR yazdı: <blockquote> Eğer şu mümkünse bok kalıcı bir çözüm olur. Ben iptables 'ta 80. porta domain belirtilmeden girişleri engelleyebilirmiyim. www.domain.com ACCEPT xx.xxx.x.x DROP Gibi. Ali OYGUR FACEBOOK APPLICATION & PHP DEVELOPER </blockquote> Merhabalar, iptables'da " www.hebele.com DROP" gibi bir kural yazarsanız. iptables www.hebele.com un hangi ipde olduğunu çözer ve kural şu şekilde uygular: "ip_no DROP" Kısaca iptables ile domain adına göre işlem yapamazsınız. <blockquote> On 10/02/2012 11:56 AM, Emre Tugriceri wrote: <blockquote> Selam iptables ile "GET /?0." string ini kesin gitsin. Altta güzel örnekleri var. Kernel 2.6.14 üzeri olması gerekiyor. http://spamcleaner.org/en/misc/w00tw00t.html string This modules matches a given string by using some pattern matching strategy. It requires a linux kernel >= 2.6.14. --algo {bm|kmp} Select the pattern matching strategy. (bm = Boyer-Moore, kmp = Knuth-Pratt-Morris) --from offset Set the offset from which it starts looking for any matching. If not passed, default is 0. --to offset Set the offset up to which should be scanned. That is, byte offset-1 (counting from 0) is the last one that is scanned. If not passed, default is the packet size. [!] --string pattern Matches the given pattern. [!] --hex-string pattern Matches the given pattern in hex notation. -- Emre Tugriçeri Linkedin ----- Original Message ----- From: "Atıf CEYLAN" <meh...@atifceylan.com> To: linux-sunucu@liste.linux.org.tr Sent: Tuesday, October 2, 2012 11:33:44 AM Subject: [Linux-sunucu] Re: ddos önleme hakk?nda Hocam iptables ile limit mevzunu biraz arastir derim. Ayrica pf cozumu halen iyi bir cozum olarak duruyor karsinda. herbir ip adresinden yapilacak baglanti ve acilabilecek state sayisini belirleyebiliyorsun. hem ayrica synproxy secenegi ile syn saldirilarindan daha az etkilenirsin. Uzerine snort paketini kurarsin ve herhangi bir porta belirli bir zaman icerisinde yapilan istekleri count ettirir ve bu kurali asanlari loglayabilir ve loglanan kayitlarin otomatik bloklanmasini saglayabilirsin. On Tue, 2012-10-02 at 10:17 +0300, Ali OYGUR wrote: <blockquote> Atıf hocam, fail2ban ve ddos deflate gibi araçlar bunu yapıyor ancak saldırgan saldırırken ip spoofing yapıyor. Yani sürekli ip değiştiriyor. Ben onu yaparsam banlanmadık ip bırakmam :), Anlık olarak farklı iplerden 10k istek yapılıyor. Ali OYGUR FACEBOOK APPLICATION & PHP DEVELOPER On 10/02/2012 10:07 AM, Atıf CEYLAN wrote: </blockquote> <blockquote> <blockquote> Hocam ben olsam en hizli sekilde soyle cozerim. log'u belirli araliklarla tarar (checkpoint mantigi ile tumunu degil de bir onceki sefer taramamdan sonrasini alacak sekilde) ve en requestte benim istemedigim sekilde olanlarin ip adreslerini listeler ve iptable'sa drop ettirirdim. On Mon, 2012-10-01 at 17:07 +0300, Ali OYGUR wrote: <blockquote> Selam 2-3 gündür ddos saldırısı alıyorum. Saldıran zombilerin örnek log kaydı 176.240.153.73 - - [01/Oct/2012:16:44:24 +0300] "GET /?0.8802439498249441 HTTP/1.1" 502 568 "-" "Mozilla/5.0 (Windows NT 6.0) AppleWebKit/537.4 (KHTML, like Gecko) Chrome/22.0.1229.79 Safari/537.4" 46.197.173.137 - - [01/Oct/2012:16:44:24 +0300] "GET /?0.6757761091298369 HTTP/1.1" 502 166 " http://apps.facebook.com/chefville/?fb_source=bookmark_apps&ref=bookmarks&count=0&fb_bmpos=4_0 " "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:15.0) Gecko/20100101 Firefox/15.0.1" 212.156.63.114 - - [01/Oct/2012:16:44:24 +0300] "GET /?0.14616535906679928 HTTP/1.1" 502 568 " http://player.vimeo.com/video/28872840?title=0&byline=0&portrait=0 " "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.4 (KHTML, like Gecko) Chrome/22.0.1229.79 Safari/537.4" 78.166.172.70 - - [01/Oct/2012:16:44:24 +0300] "GET /?0.43654266837984324 HTTP/1.1" 502 568 " http://www.facebook.com/attachments/messaging_upload.php?id=MessagingInlineComposer " "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.4 (KHTML, like Gecko) Chrome/22.0.1229.79 Safari/537.4" 88.230.184.148 - - [01/Oct/2012:16:44:24 +0300] "GET /?0.027940691770211856 HTTP/1.1" 502 166 " http://tr.chatrandom.com/ " "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:16.0) Gecko/20100101 Firefox/16.0" 95.15.221.5 - - [01/Oct/2012:16:44:24 +0300] "GET /?0.544417253928259 HTTP/1.1" 502 568 " http://www.facebook.com/attachments/messaging_upload.php?id=MessagingInlineComposer " "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.4 (KHTML, like Gecko) Chrome/22.0.1229.79 Safari/537.4" 88.226.14.32 - - [01/Oct/2012:16:44:24 +0300] "GET /?0.30215735523961484 HTTP/1.1" 502 568 " http://finanshaber.mynet.com/detay/ekonomi/cayda-buyuk-tehlike/81885 " "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.4 (KHTML, like Gecko) Chrome/22.0.1229.79 Safari/537.4" görüldüğü üzere http get isteği sürekli /?0.***** gibi geliyor. web sitemde cloud flare kullanıyorum direk domain yazıp saldırsalar engellenecek. ancak IP den saldırdıkları için clound flare devre dışı kalıyor. nginix kullanıyorum web serverin sadece domain üzerinden çalışmasını sağlayabilirmiyim. yani serverin IP sını web server dinlemesin. yada iptables 'a /?0.** gibi gelen istekleri direk red edebilirmiyim. yardımlarınız için şimdiden teşekkürler. </blockquote> -- M.Atıf CEYLAN Yurdum Yazılım _______________________________________________ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu </blockquote> _______________________________________________ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu </blockquote> -- M.Atıf CEYLAN Yurdum Yazılım _______________________________________________ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu _______________________________________________ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu </blockquote> _______________________________________________ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu </blockquote> _______________________________________________ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu </blockquote> _______________________________________________ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu </blockquote> _______________________________________________ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
_______________________________________________ Linux-sunucu E-Posta Listesi Linux-sunucu@liste.linux.org.tr Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu