استخدام كلاودفلير لحماية DDOS

منذ 4 سنوات 1298

في هذا الموضوع سنتحدث عن بعض الطرق التي يستطيع المهاجم معرفة IP السيرفر من خلالها، وهي كالتالي :

1. DNS Server 

إذا كنت تستخدم DNS Server على نفس سيرفر الويب، فتأكد دائمًا أنك لم تقم بإضافة IP السيرفر الحقيقي داخله؛ وهي الحالة الشائعة التي يقوم فيها مستخدمو الـ cpanel خاصةً بتشغيل DNS Cluster وربطه بنفس سيرفر الويب، وبالتالي فإن أي تعديلات تقوم بعملها على حساب الـ cpanel يتم إضافتها تلقائيًا بالـ DNS Records على نفس السيرفر؛ فمثلًا إذا أضفت IP جديدًا من الداتا سنتر لسيرفرك وقمت بتعديله من خلال الـ WHM فإن الـDNS Server الآن سيكون مسجلًا به الـ IP الجديد تلقائيًا من خلال الـ cpanel، ويُمكن للمهاجم الحصول عليه بسهولة.

في هذا المثال قمنا بعمل استعلام على الـ DNS Server الخاص بشركة استضافة السعودية على الدومين ramyallam.com وقد تم استعراض كافة الـRecords.
وأقصد هنا أنك الآن تستخدم DNS Server الخاص بكلاودفلير ولا حاجة ﻹضافة الـ IP الحقيقي داخل الـ DNS Server الخاص بك؛ والأفضل أن تغلق الـ DNS Server القديم تمامًا، أو أن تقوم بإضافة أيبيهات وهمية داخله حتى يقوم المهاجم بالحصول على IP خاطئ.

2. cPanel DNS Templates

إذا رغبت بإضافة قيم وهمية على الـ cPanel DNS Server ليتم عرضها للمستعلم، فيمكنك تعديل الـ Records إلى أيبيهات وهمية من خلال Home » DNS Functions » Edit DNS Zone أو من السيرفر مباشرة وذلك بتنفيذ الأوامر التالية مع تعديل ما يلزم :

sed -i ‘s/REALIP/FAKEIP/g’ /var/named/*.db
service named restart

ثم تعديل الـ cPanel DNS Templates من خلال Home » DNS Functions » Edit Zone Templates واستبدال %ip% بالأيبي الوهمي.
image
نفس الأمر ينطبق مع أي TXT Records، مثل SPF أو MX داخل نفس الـ template، مع مراعاة تعديل الـ 3 templates ( simple, standard, standardvirtualftp ).

3. Mail Headers

واحدة من أبسط الطرق أن يقوم المهاجم بالتفاعل مع إحدى برمجياتك على الموقع، فمثلًا يقوم بتسجيل حساب لتصله رسالة تأكيد التفعيل على الإيميل، أو يقوم بعمل استرجاع كلمة المرور، وهكذا، وعن طريق Header الرسالة سيجد الـ IP الخاص بسيرفرك.
image

ولإخفاء الـ IP سيتطلب ذلك تعديل الـ SMTP Server المستخدم لعمل Ignore لبعض محتويات Header الرسالة، فمثلًا إذا كنت تستخدم Postfixفيمكنك تنفيذ التالي :

1. إنشاء ملف /etc/postfix/header_checks وإضافة التالي داخله:

/^Received:/ IGNORE
/^X-Originating-IP:/ IGNORE
/^X-Mailer:/ IGNORE
/^Mime-Version:/ IGNORE

وإن كنت تقوم بالإرسال عبر SSL فيتم إضافة التالي :
/^Received:.*with ESMTPSA/ IGNORE
/^X-Originating-IP:/ IGNORE
/^X-Mailer:/ IGNORE
/^Mime-Version:/ IGNORE

2. إضافة التالي بملف /etc/postfix/main.cf  :

mime_header_checks = regexp:/etc/postfix/header_checks
header_checks = regexp:/etc/postfix/header_checks

3. Map Build and Reload

postmap /etc/postfix/header_checks
postfix reload
أما إذا أردت إضافة أيبي وهمي، فيمكنك تغيير محتوى ملف /etc/postfix/header_checks ليصبح
/^\s*(Received: from)[^\n]*(.*)/ REPLACE $1 FAKEMAIL HEADER FAKEHOSTNAME[FAKEIP]
/^X-Originating-IP:/ IGNORE
إذا كانت لديكم أي أفكار أو حلول أخرى، نتمنى أن تشاركونا بها.

المحتويات

2. cPanel DNS Templates 3. Mail Headers واحدة من أبسط الطرق أن يقوم المهاجم بالتفاعل مع إحدى برمجياتك على الموقع، فمثلًا يقوم بتسجيل حساب لتصله رسالة تأكيد التفعيل على الإيميل، أو يقوم بعمل استرجاع كلمة المرور، وهكذا، وعن طريق Header الرسالة سيجد الـ IP الخاص بسيرفرك. ولإخفاء الـ IP سيتطلب ذلك تعديل الـ SMTP Server المستخدم لعمل Ignore لبعض محتويات Header الرسالة، فمثلًا إذا كنت تستخدم Postfixفيمكنك تنفيذ التالي 1. إنشاء ملف /etc/postfix/header_checks وإضافة التالي داخله /^Received/ IGNORE /^X-Originating-IP/ IGNORE /^X-Mailer/ IGNORE /^Mime-Version/ IGNORE وإن كنت تقوم بالإرسال عبر SSL فيتم إضافة التالي /^Received.*with ESMTPSA/ IGNORE /^X-Originating-IP/ IGNORE /^X-Mailer/ IGNORE /^Mime-Version/ IGNORE 2. إضافة التالي بملف /etc/postfix/main.cf  mime_header_checks = regexp/etc/postfix/header_checks header_checks = regexp/etc/postfix/header_checks 3. Map Build and Reload postmap /etc/postfix/header_checks postfix reload أما إذا أردت إضافة أيبي وهمي، فيمكنك تغيير محتوى ملف /etc/postfix/header_checks ليصبح /^\s*(Received from)[^\n]*(.*)/ REPLACE $1 FAKEMAIL HEADER FAKEHOSTNAME[FAKEIP] /^X-Originating-IP/ IGNORE إذا كانت لديكم أي أفكار أو حلول أخرى، نتمنى أن تشاركونا بها.