DDOS Protection باستخدام كلاودفلير – الجزء الثالث







في هذا الموضوع سنتحدث عن بعض الطرق التي يستطيع المهاجم معرفة أيبي السيرفر بها. ( بريئ أمام الله من اي استغلال خاطئ لهذا الموضوع ).

1. DNS Server
اذا كنت تستخدم DNS Server على نفس سيرفر الويب فتأكد دائما الا تقوم باضافة ايبي السيرفر الحقيقي بداخله, و هي الحالة الشائعة التي يقوم فيها مستخدمين السي بنل خصيصا بتشغيل DNS Cluster مربوط بنفس سيرفر الويب وبالتالي أي تعديلات تقوم بعملها على حساب السي بنل يتم اضافتها تلقائيا بالـ DNS Records على نفس السيرفر. فمثلا اذا اضفت أيبي جديد من الداتا سنتر لسيرفرك وقمت بتعديله من خلال الـ WHM فالـ DNS Server الآن مسجل به الأيبي الجديد تلقائيا من خلال السي بنل والتي يمكن

في هذا المثال قمنا بعمل استعلام على الـ DNS Server الخاص بشركة ديموفنف على الدومين ramyallam.com وقد تم استعراض كافة الـ Records.

ما اقصد هو انك الآن تستخدم DNS Server الخاص بكلاودفلير ولاحاجة ﻷن تقوم باضافة الأيبي الحقيقي داخل الـ DNS Server الخاص بك. الأفضل ان تغلق الـ DNS Server القديم تماما أو ان تقوم باضافة أيبيهات وهمية بداخله حتى يقوم المهاجم بالحصول على أيبي خاطئ.

2. cPanel DNS Templates
اذا رغبت باضافة قيم وهمية على لـ cPanel DNS Server يتم عرضها للمستعلم فيمكنك تعديل كل الريكوردس إلى أيبيهات وهمية من خلال Home » DNS Functions » Edit DNS Zone أو مباشرة من السيرفر بتنفيذ الأوامر التالية مع تعديل ما يلزم.

رمز Code:
sed -i 's/REALIP/FAKEIP/g' /var/named/*.db
service named restart

ثم تعديل الـ cPanel DNS Templates من خلال Home » DNS Functions » Edit Zone Templates واستبدال %ip% بالأيبي الوهمي.

نفس الأمر ينطبق مع أي TXT Records مثل SPF أو MX بداخل نفس التمبليت. مع مراعاة ان يتم التعديل على الـ 3 تمبليت ( simple, standard, standardvirtualftp ).

3. Mail Headers واحدة من أبسط الطرق هو ان يقوم المهاجم بالتفاعل مع احد برمجياتك على الموقع, فمثلا يقوم بتسجيل حساب وتصله رسالة تأكيد التفعيل على الايميل أو استرجاع كلمة المرور وهكذا, عن طريق الهيدرز في الرسالة سيجد الأيبي الخاص بسيرفرك.

لاخفاء الأيبي سيتطلب ذلك تعديل الـ SMTP Server المستخدم لعمل Ignore لبعض محتويات الهيدر, فمثلا اذا كنت تستخدم Postfix يمكنك تنفيذ التالي :
1. انشاء ملف /etc/postfix/header_checks واضافة التالي بداخله:

رمز Code:
/^Received:/ IGNORE
/^X-Originating-IP:/ IGNORE
/^X-Mailer:/ IGNORE
/^Mime-Version:/ IGNORE

واذا كنت تقوم بالأرسال عبر SSL يتم اضافة التالي:

رمز Code:
/^Received:.*with ESMTPSA/ IGNORE
/^X-Originating-IP:/ IGNORE
/^X-Mailer:/ IGNORE
/^Mime-Version:/ IGNORE

2. اضافة التالي بملف /etc/postfix/main.cf

رمز Code:
mime_header_checks = regexp:/etc/postfix/header_checks
header_checks = regexp:/etc/postfix/header_checks

3. Map Build and Reload

رمز Code:
postmap /etc/postfix/header_checks
postfix reload

أما اذا أردت اضافة أيبي وهمي فيمكنك تغيير المحتوى بالملف /etc/postfix/header_checks ليكون

رمز Code:
/^\s*(Received: from)[^\n]*(.*)/ REPLACE $1 FAKEMAIL HEADER FAKEHOSTNAME[FAKEIP]
/^X-Originating-IP:/ IGNORE

اذا لديكم أفكار أو حلول أخرى شاركوني بها. في الدروس القادمة باذن الله سنتحدث عن كيفية حماية ال Network اذا اردت ان تحمي سيرفر استضافة مشتركة مثلا أو اي ابلكيشن آخر يستخدم اكثر من دومين. شكرا لكم


http://www.traidnt.net/vb/traidnt2622346/