Chào mừng bạn đến với Diễn Đàn Máy Chủ - Chia sẽ kiến thức máy chủ.
  • Đăng ký
  • email 247 Tên miền Hosting giá sốc Tang loa Frei Tang loa Frei Tên miền tiếng việt giá bèo cdn rẻ vô địch May Chu Khong Lo - Gia Xi Trum SSL 2 nam giam 15%
    + Trả lời bài viết
    Hiện kết quả từ 1 tới 8 của 8
    1. #1
      Advisors
      Tham gia ngày
      Aug 2009
      Đến từ
      Nha Trang
      Bài gửi
      1.287

      Mặc định Cách Để Ngăn Chặn Một Tấn Công Từ Chối Dịch Vụ (DDoS Attack)!

      Hai năm trước ,tôi đã gia nhập công ty PA việt nam qua nhiều quá trình từ 1 support phone bình thưởng thành admin quản trị hệ thống (System administrator) .Nhiệm vụ của tôi là đảm bảo cho hệ thống được vận hành tốt và an toàn trước các cuộc tấn công ngày càng tăng từ phía những kẻ xấu (thường được gọi là các hacker - Ở việt nam thì khái niệm mũ trắng và đen rất mơ hồ ,phần lớn là những hacker với mong muốn nổi tiếng và ý muốn phá hoại,đã rất năng nổ tham gia vào việc được gọi là trả thù các HP) Tất nhiên tôi vẫn có 1 một số bạn tốt từ giới hacker và họ đã giúp chúng tôi rất nhiều trong việc fix một số lỗi bảo mật mới .Trong quá trình làm việc thời gian vừa qua ,qua nhiều thông báo khách hàng và theo dõi các server ,traffic ,tôi nhận thấy một vấn đề nổi cộm là các cuộc tấn công từ chối dịch vụ gia tăng 1 cách chóng mặt từ bằng các ct Tăng tốc download như IDM,đến các tool script,cho tới 1 mạng botnet quy mô nhỏ .Nguyên nhân thì từ rất nhiều phía ,ví dụ như các dạng script DDOS đã được công bố nhiều hơn với demo hoàn chỉnh ,số server PC không được bảo mật tốt nên nhiễm rất nhiều Virus trở thành các zombie cho mạng bot net, server được bảo mật tốt hơn trước hack Local (Chúng tôi hi vọng thế :01:) .
      Vậy làm thế nào để ngăn chặn được 1 cuộc tấn công từ chối dịch vụ (DDoS Attack) ! Muốn vậy chúng ta cần hiểu ddos là gì !?
      DDOS - Distributed Denial Of Service.

      • 1998 Chương trình Trinoo Distributed Denial of Service (DDoS) được viết bởi Phifli.

      • Tháng 5 – 1999 Trang chủ của FBI đã ngừng họat động vì cuộc tấn công bằng (DDOS)

      • Tháng 6 – 1999 Mạng Trinoo đã được cài đặt và kiểm tra trên hơn 2000 hệ thống.

      DDOS – Distributed Denial Of Service ?

      • Cuối tháng 8 đầu tháng 9 năm 1999, Tribal Flood Network đầu tiiên ra đời, Chương trình được Mixter Phát triển.

      • Cuối tháng 9 năm 1999, Công cụ Stacheldraht đã bắt đầu xuất hiện trên những hệ thống của Châu âu và Hoa kỳ.

      • Ngày 21 tháng 10 năm 1999 David Dittrich thuộc trường đại học Washington đã làm những phân tích về công cụ tấn công từ chối dịch vụ

      • Ngày 21 tháng 12 năm 1999 Mixter phát hành Tribe Flood Network 2000 ( TFN2K ).

      • 10 : 30 / 7 – 2 -2000 Yahoo! ( Một trung tâm nổi tiếng ) đã bị tấn công từ chối dịch vụ và ngưng trệ hoạt động trong vòng 3 giờ đồng hồ. Web site Mail Yahoo và GeoCities đã bị tấn công từ 50 địa chỉ IP khác nhau với nhửng yêu cầu chuyễn vận lên đến 1 gigabit /s.

      DDOS - Distributed Denial Of Service ?

      • 8 -2 nhiều Web site lớn như Buy.com, Amazon.com, eBay, Datek, MSN, và CNN.com bị tấn công từ chối dịch vụ.

      • Lúc 7 giờ tối ngày 9-2/2000 Website Excite.com là cái đích của một vụ tấn công từ chối dịch vụ, dữ liệu được luân chuyễn tới tấp trong vòng 1 giờ cho đến khi kết thúc, và gói dữ liệu đó đã hư hỏng nặng.

      • Qua đó ta có thể thấy rõ những vụ tấn công từ chối dịch vụ (Denial Of Services Attack ) và những cuộc tấn công về việc gửi nhửng gói dữ liệu tới máy chủ (Flood Data Of Services Attack) tới tấp là những mối lo sợ cho nhiều mạng máy tính lớn và nhỏ hiện nay,

      • Khi một mạng máy tính bị Hacker tấn công nó sẽ chiếm một lượng lớn tài nguyên trên server như dung lượng ổ cứng, bộ nhớ, CPU, băng thông …. Lượng tài nguyên này tùy thuộc vào khả năng huy động tấn công của mỗi Hacker. Khi đó Server sẽ không thể đáp ứng hết những yêu cầu từ những client của những người sử dụng và từ đó server có thể sẽ nhanh chóng bị ngừng hoạt động, crash hoặc reboot.

      • Tấn công từ chối dịch vụ có rất nhiều dạng như Ping of Death, Teardrop, Aland Attack, Winnuke, Smurf Attack, UDP/ICMP Flooding, TCP/SYN Flooding, Attack DNS.

      Ping Of Death.

      Một số máy tính sẽ bị ngưng họat động, Reboot hoặc bị crash khi bị nhận những gói dữ liệu ping có kích thước lớn.

      • Ví dụ như : ping địachỉ -n 1000
      trong đó : số 1000 là số lần gửi gói dữ liệu.

      • TCP/SYN Flooding:

      Bước 1: Khách hàng gửi một TCP SYN packet đến cổng dịch vụ của máy chủ

      Khách hàng -> SYN Packet -> Máy chủ

      Bước 2 : Máy chủ sẽ phản hồi lại khách hàng bằng 1 SYN/ACK Packet và chờ nhận một 1 ACK packet từ khách hàng

      Máy chủ -> SYN/ACK Packet -> Khách hàng

      Bước 3: Khách hàng phản hồi lại Máy chủ bằng một ACK Packet và việc kết nối hòan tất Khách hàng và máy chủ thực hiện công việc trao đổi dữ liệu với nhau.

      Khách hàng -> ACK Packet -> Máy chủ

      • Trong trường hợp Hacker thực hiện việc SYN Flooding bằng cách gửi tới tấp, hàng loạt TCP SYN packet đến cổng dịch vụ của máy chủ sẽ làm máy chủ bị quá tải và không còn khả năng đáp ứng được nữa.

      • UDP/ICMP Flooding:
      Hacker thực hiện bằng cách gửi 1 số lượng lớn các gói tin UDP/ICMP có kích thước lớn đến hệ thống mạng, khi hệ thống mạng chịu phải sự tấn công này sẽ bị qua tải và chiếm hết băng thông đường truyền đi ra bên ngòai của mạng này, vì thế nó gây ra nhửng ảnh hưởng rất lớn đến đường truyền cũng như tốc độ của mạng, gây nên những khó khăn cho khách hàng khi truy cập từ bên ngoài vào mạng này.

      • Những điều kiện đủ để có những cuộc tấn công DoS Có hiệu quả:
      Để có được những cuộc tấn công DOS có hiệu quả thông thường một Hacker phải lựa chọn cho mình những đường truyền có dung lượng lớn cũng như tốc độ máy được dùng làm công cụ tấn công. Nếu không hội tụ được những điều kiện trên thì cuộc tấn công sẽ không mang lại mấy khả quan.

      • Nhưng với những tiện ích như Trinoo, TFN2K, Stacheldraht… người tấn công không phải chỉ dùng 1 nơi để tấn công mà sử dụng nhiều mạng lưới khác nhau để thực hiện việc tấn công đồng lọat. Các máy được dùng để tấn công thường là các máy có kết nối Internet bị người tấn công xâm nhập.

      • Qua đó chúng tôi đã tham khảo và biết một số cách nhưng hầu hết không chống được một cách triệt để.

      1. Khi bạn phát hiện máy chủ mình bị tấn công hãy nhanh chóng truy tìm địa chỉ IP đó và cấm không cho gửi dữ liệu đến máy chủ.

      2. Dùng tính năng lọc dữ liệu của router/firewall để loại bỏ các packet không mong muốn, giảm lượng lưu thông trên mạng và tải của máy chủ.

      3. Sử dụng các tính năng cho phép đặt rate limit trên router/firewall để hạn chế số lượng packet vào hệ thống.

      4. Nếu bị tấn công do lỗi của phần mềm hay thiết bị thì nhanh chóng cập nhật các bản sửa lỗi cho hệ thống đó hoặc thay thế.

      5. Dùng một số cơ chế, công cụ, phần mềm để chống lại TCP SYN Flooding.

      6. Tắt các dịch vụ khác nếu có trên máy chủ để giảm tải và có thể đáp ứng tốt hơn. Nếu được có thể nâng cấp các thiết bị phần cứng để nâng cao khả năng đáp ứng của hệ thống hay sử dụng thêm các máy chủ cùng tính năng khác để phân chia tải.

      7. Tạm thời chuyển máy chủ sang một địa chỉ khác.

      Flooding Data Attack ?

      • Hoàn toàn khác với DDos về khả năng tấn công cũng như sự huy động tấn công rất dễ dàng để làm tràn ngập dữ liệu (Flood data attack !) được phát triển ở rất nhiều dạng nó dựa vào những lỗi của hầu hết các mã nguồn mở của ASP, PHP, JSP, CGI …..

      • Với DDOS như chúng ta đã biết khi một số Hacker muốn mở những cuộc tấn công đều phải hội tụ những điều kiện, là phải dùng những máy chủ có đường truyền cao và thường thì phải @hắc vào server đó mới có thể huy động làm công cụ tấn công được, ngược lại với Flood data attack việc huy động quá dễ, nó chia ra làm 2 dạng tấn công như sau:

      • Dạng 1: Được chạy trên trên môi trường Windonw, Unix, Linux …

      • Dạng 2: Được đính kèm trên các Website và nhận lệnh tấn công từ một địa chỉ nào đó trên Mạng toàn cầu.

      • Dạng 1: Với kích thước từ 500 byte đến 1Kb các Hacker dễ dàng đính kèm vào một Website nào đó có nhiều người hiện đang có mặt truy cập trên Website đó. Với đọan mã trên ta có thể thấy Hacker đã đặt kích thước tập tin Flooddata.swf ở chế độ Chiều rộng (width) là bằng 0 và chiều cao (height) cũng bằng 0 như thế tập tin này sẽ không thể hiển thị được trên trên trang Web đó

      Khi người sử dụng vào Website này lập tức sẽ kích họat chương trình Flood Data Attack ! của Hacker tại địa chỉ là http://noitancong.com/filedata.swf và Hacker cũng dễ dàng điều khiển chương trình bằng 1 file nguồn ở 1 Website nào đó của Hacker trên mạng mà Hacker đó đặt ra trong chương trình Flooding data Attack.

      Hacker có thể kiểm soát được số người hiện đang kích hoạt chương trình Flood data của mình trên Website đó và khi nào Hacker cảm thấy số lượng người đang kích hoạt chương trình đã đủ để việc tấn công một Website nào đó trên mạng thành công thì công việc đó có thể được bắt đầu.

      Ví dụ như hacker vào một địa chỉ như http://www.vbuleetin.com để thực hiện công việc tấn công trang này hacker cần phải tìm những nơi có sự trao đổi dữ liệu cho nhau như Register, Search, Login, Sendmail ….. Sau khi đã thu thập được những thành phần trên Hacker bắt đầu thực hiện lấy những đầu vào(input) và gán nhửng giá trị đầu vào trên lên nơi điều khiển của chương trình Flood data attack!.

      Ví dụ phần trên sẽ được gán với biến như sau :

      Url=http://www.vbuleetin.com/register.php&username=user + random(999999999)&password = flood&passwordconfim=password&email=random(1000000 00)+@vbulleetin.com

      Trong đó Url là giá trị của Website bị tấn công, Username với giá trị là một user nào đó do hacker đặt ra và cộng với biến ngẫu nhiên ở sau mỗi user mà hacker đặt ra là khác nhau. Một khi Website này bị tấn công, toàn bộ họat động của Server chứa Website đó sẽ bị hậu quả rất ngiêm trọng tùy theo số lượng người kích họat vào chương trình Flood data attack! Của hacker đó, Lúc này những phần bị ảnh hưởng sẽ là MailServer, MySQL, PHP, Apache, FTP….

      • Đối với MySQL : Khi bị Flood data attack! Những yêu cầu sẽ được gửi liên tục đến Server và được chuyển qua MySQL xử lý với số lượng lớn và nối tiếp nhau cho đến khi quá tải chương trình MySQL sẽ hòan toàn bị vô tác dụng song song với việc ảnh hưởng đến MySQL là việc ảnh hưởng đến MailServer.

      Với giá trị là random(100000000)+@vbuleetin.com thì khi thực thi nó sẽ gửi từ ‘1@vbuleetin.com’ cho đến ‘100000000@vbuleetin.com’ tất nhiên nhửng email này sẽ không có thực đối với trang chủ của Website ‘http://www. vbuleetin.com.

      • Đối với sẽ nhửng địa chỉ email này MailServer đưa vào danh sách "Msgs Failed" nhưng với giá trị là @vbulletin.com thì hầu hết một nhà cung cấp "domain" và "hosting" sẽ chuyển về một số email mặc định như là postmaster, admin, administrator, supervisor, hostmaster, webmaster.

      Những Hacker có thể lợi dụng những Form mail trong việc trao đổi thông tin giữa khách hàng với chủ cung cấp dịch vụ để thực hiện những cuộc tấn công, những cuốc tấn công này thường rất nguy hiễm vì có thể trong 1 giây Hacker thực hiện từ 100 lần đến hàng nghìn lần với những yêu cầu SendEmail từ 1 user trên server đó đến MailServer.

      • Dạng 2: Được chạy dưới dạng file.exe với dạng thức này thì khả năng tấn công vẫn giống như cách tấn công nằm trên website nhưng khả năng tấn công được nâng thêm nhiều dạng như Ping, Flood Ftp, Flood Smtp… tùy vào khả năng phát triển của Hacker.

      Cũng giống như chương trình Flood data attack! Được gắn trên website dạng .exe này cũng được điều khiển từ 1 Website. Thường thì nơi điều khiển được đặt chung 1 nơi để tiện cho việc điều khiển.

      Với những phương thức tấn công như vậy ta cũng có thể thấy được tầm nguy hiểm của nó nếu như được đặt trên một server với số lượng người truy cập đông như Google hoặc 1 Website nổi tiếng nào đó thì sức phá hoại của nó là rất khủng khiếp.

      • Với 1 client/1s có thể gửi từ 3 – 8 yêu cầu có thực đến máy chủ thực thi và xử lý thông qua đó nó có thể ảnh hưởng đến Php, Apache, Phpmail, MySQL, FTP …., Tùy theo những mã nguồn của ASP, PHP, JSP, CGI, PL hoặc chung quy là những mã nguồn có liên quan đến công việc xuất và nhập dữ liệu.

      Nếu hacker huy động hoặc @hắc được những server hoặc Website nào đó có số lượng người Online khoảng 2000 thì trong 1 giây Server đó sẽ phải thực thi khoảng 6000 yêu cầu từ các client gửi đến Server đó.

      Ví dụ : Có User nằm trên server X nào đó user đó có cài đặt mã nguồn mở như Forum IPB (Invision Power Boards) khi hacker sử dụng mục đăng ký làm nơi tấn công Flood data thì trong vòng một giây như phần trên đã nêu sẽ có khoãng 6000 nickname được khởi tạo đi kèm theo đó là 6000 yêu cầu đã được mã nguồn mử thiết lập khi đăng ký và sẽ kèm theo việc gửi email đến các địa chỉ đã đăng ký.

      • Như vậy đi kèm với 6000 nickname trên, MailServer sẽ phải gửi đi 6000 yêu cầu trong vòng 1/s việc này nếu như bị kéo dài từ 5 – 10 phút thì Server đó hầu như sẽ không còn họat động được.

      Bandwith lúc này có thể tăng 5 – 10 MB/s cộng thêm data khi được chuyển đến MySQL lúc này có thể đạt tới 5 -7 MB/s nữa khi đó toàn bộ các phần mềm như Apache, MailServer, PHP, MySQL, FTP đều bị ngưng họat động. Lúc đó server có thể sẽ bị reboot.

      Vì Hacker sử dụng phương tiện tấn công Online trên Website và dựa vào lượng khách truy cập thông tin ở nhiều Website nên phương pháp này hầu như rất khó chống, mỗi ngày Hacker có thể dùng hàng ngàn địa chỉ IP trên khắp thế giới để thực hiện việc tấn công như thế ta có thể thấy nó đơn giản so với DDos rất nhiều nhưng sự nguy hiểm có lẽ hơn hẳn DDos. Vì Flooding Data Attack tấn công theo dạng địa chỉ ‘http://victim.com/data.php&bien1&bien2&bien3’ theo cổng GET hoặc POST vì vậy, cho dù bất cứ lý do gì khi tấn công cũng phải đi qua hướng này.

      Do lỗi được xuất hiện ở các mã nguốn ASP hay PHP nên cách tốt nhất là sửa và xem lại những mã nguồn mà người sử dụng muốn đưa lên mạng. Để tránh bị Flood data Attack! Thì cách phòng chống tạm thời vẫn là thêm một chuỗi ngẫu nhiên trên mỗi Form có sự xuất và nhập dữ liệu tuy nhiên những cách trên chưa phải là những cách hòan thiện để chống lại nhửng cuộc tấn công tràn ngập dữ liệu (Flooding Data Attack).
      Chấp Nhận Thua 1 Trận Chiến Nhưng Sẽ Thắng Cả Cuộc Chiến .

    2. #2
      Advisors
      Tham gia ngày
      Aug 2009
      Đến từ
      Nha Trang
      Bài gửi
      1.287

      Mặc định Phần 2 các công cụ hữu hiệu để phát hiện và ngăn chặn ddos

      Với những khái niệm nêu trên chắc bạn cũng đã hiểu sơ sơ được tấn công từ chối dịch vụ (DDOS attrack) là như thế nào .Và vào một ngày đẹp trời bạn thấy server mình chậm hẳn đi ,apache hay mysql chết liên tục và rất ít các truy cập được đáp ứng .Bạn nghi ngờ server đang hứng chịu một cuộc tấn công từ chối dịch vụ .Vậy thì phải sẽ giải quyết như thế nào !?
      Bạn ngay lập tức SSH vào server với quyền root và chạy lệnh

      netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
      Công dụng của câu lệnh trên cho phép bạn phát hiện ra tần số các IP đang truy cập và request đến server

      1 192.168.0.1
      1 192.168.02
      5 192.168.0.10
      8 192.168.0.24
      9 192.168.0.25
      15 192.168.0.26
      25 192.168.0.27
      30 192.168.0.29
      39 192.168.0.32
      100 192.168.0.50
      210 192.168.0.55
      359 192.168.0.31
      Chà các IP được tô đâm chính là các IP có tần số truy cập cao nhất lần lượt là 359 ,210,100 đây chính là các IP nghi vấn ddos bạn cần chặn truy xuất từ các IP này . Bạn có thể yêu cầu các ISP DC nơi cung cấp mạng cho bạn chặn cứng trên router .Tuy nhiên thường thì thời gian đáp ứng rất lâu ,bạn nên dùng 1 cách khác nhanh hơn là dùng soft . Ở đây mình chỉ cho vd về server chạy trên Linux và dùng Cpanel .
      Các Firewall mềm có thể cài đặt trên Cpanel hay directadmin :
      CSF
      How to Install CSF Firewall : Rất hay vi tương thích với cpanel ,directadmin,webmin với graphic với nhiều tính năng mạnh mẽ .
      APF
      How to install APF Firewall : Chỉ dành cho những ai yêu thích linux ,có kinh nghiệm và thích chạy lệnh .Không có graphic .
      Chú ý là 2 phần mềm này không được cài chung với nhau nếu không chắc chắn sẽ dẫn đến xung đột .
      Bây Giờ bạn đã có Firewall tốt để tự mình ngăn chặn ,vậy việc tiếp theo chúng ta chỉ cần tìm hiểu cách sử dụng chúng như thế nào .
      • Block 1 IP dung CSF Firewall
        Bạn log in vào WHM đối với cpanel dùng quyền root (port 2086 hoặc 2087) với directadmin (port 2222) với quyền admin ,kéo xuống dưới bên tay trái tìm
        : " ConfigServer Security & Firewall ." click vào và hệ thống chuyển sang 1 trang mới ,tìm Quick Deny nhập vào ổ text box bên cạnh IP nghi vấn ddos .Nếu bạn rành command thì có thể log in vào ssh với root chạy lệnh
        csf -d IPDDOS
        Restart lại apache & mysql
      • Block 1 IP dung APF Firewall
        Bạn log in vào server bằng SSH với quyền Root
        Di chuyển đến thư mục cài đặt apf
        cd /etc/apf
        Chỉnh file deny_hosts.rules
        nano deny_hosts.rules
        Thêm IP nghi vấn ddos vào list nhớ save file lại
        Restart lại APF với lệnh
        apf -r
        Restart lại apache & mysql
      Tất nhiên đây chỉ là những cách phòng chống cơ bản trước 1 cuộc tấn công nhỏ lẻ ,bạn không có nhiều kinh nghiệm quản trị 1 server có thể tạm thời giảm thiểu bớt tổn hại mà ddos gây ra .Tuy nhiên nếu nó vượt ra tầm kiểm xoát của mình bạn nên kết hợp với ISP và Datacenter .Họ sẽ có đủ công cụ để giúp bạn .Nếu bạn là khách hàng của PA có thể gửi yêu cầu lên trang support.pavietnam.vn để nhận được hỗ trợ của bộ phận kỹ thuật .Vài Dòng hi vọng sẽ giúp bạn hiểu thêm về DDOS :72:
      Duy Vũ IT Staff
      (tổng hợp và sưu tầm từ nhiều nguồn )
      Chấp Nhận Thua 1 Trận Chiến Nhưng Sẽ Thắng Cả Cuộc Chiến .

    3. #3
      Thành Viên Mới
      Tham gia ngày
      Aug 2009
      Bài gửi
      17

      Mặc định

      Khi mình chạy lệnh

      Mã:
      netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
      Ra kết quả



      Số 88 và không có địa chỉ IP .. ý nghĩa là gì !?


      Cảm ơn bạn về bài viết bổ ích :07:
      Hình được đính kèm Hình được đính kèm

    4. #4
      Advisors
      Tham gia ngày
      Aug 2009
      Đến từ
      Nha Trang
      Bài gửi
      1.287

      Mặc định

      :88 đó là truy xuất từ local hoặc không xác định được IP
      bạn có thể check thêm bằng lệnh này cho chính xác hơn

      netstat -plan | awk '$4 ~ /IP/{print $5}' | awk -F: '/^[0-9]/{print $1}' | sort -nr| uniq -c | sort -nr
      vd:
      netstat -plan | awk '$4 ~ /192.69.100.10/{print $5}' | awk -F: '/^[0-9]/{print $1}' | sort -nr| uniq -c | sort -nr
      ngoài ra cần monitor bằng các công cụ monitor có sẵn đối với apache ,mysql
      nói chung là phải so sánh từ nhiều phía mới rút ra kết luận được điều này thì đòi hỏi bạn phải có kinh nghiệm quản trị server :06:
      bài viết này chỉ là hướng dẫn đơn giản cho những ai chưa có kn thôi:48:
      Chấp Nhận Thua 1 Trận Chiến Nhưng Sẽ Thắng Cả Cuộc Chiến .

    5. #5
      Thành Viên Mới
      Tham gia ngày
      May 2012
      Bài gửi
      6

      Mặc định

      theo mình bạ muốn biết thằng nào tấn công bạn. thì chỉ cần biết ip là chặn được còn muốn tìm hiểu là ai tổ chức nào thì chắc phải tìm đơn vị có chức năng :D

    6. #6
      Thành Viên Mới
      Tham gia ngày
      Aug 2013
      Bài gửi
      9

      Mặc định

      Cách này dùng cho DA, CPanel......nhưng không thấy của Kloxo, và kloxo nó nằm ở đâu vậy anh. Em đã thử type bằng lệnh người ta ping tới mình và không trả lời nhưng chẳng hiệu quả

    7. #7
      Thành Viên Mới
      Tham gia ngày
      Jan 2017
      Bài gửi
      1

      Mặc định Ddos

      Mình bị ddos flood port 80, mình dùng csf để redirect từ linux qua server chính, mình đã cấu hình firewall chặn block 100 connect trong 10s, cho hỏi như vậy có chặn được ddos hay không ?

    8. #8
      Advisors
      Tham gia ngày
      Aug 2009
      Đến từ
      Nha Trang
      Bài gửi
      1.287

      Mặc định

      Tấn công từ chối dịch vụ phân tán (DDoS – Distributed Denial Of Service) là kiểu tấn công làm cho hệ thống máy tính hay hệ thống mạng quá tải, không thể cung cấp dịch vụ hoặc phải dừng hoạt động. Trong các cuộc tấn công DDoS, máy chủ dịch vụ sẽ bị “ngập” bởi hàng loạt các lệnh truy cập từ lượng kết nối khổng lồ.

      Khi số lệnh truy cập quá lớn, máy chủ sẽ quá tải và không còn khả năng xử lý các yêu cầu. Hậu quả là người dùng không thể truy cập vào các dịch vụ trên các trang web bị tấn công DDoS.

      Mình xin chia sẻ lại bài của BKNS, giới thiệu một số lệnh cơ bản để kiểm tra server trong trường hợp này.

      – Đếm lượng connection vào Port 80:

      netstat -n | grep :80 |wc -l
      – Kiểm tra số lượng connection đang ở trạng thái SYN_RECV:

      netstat -n | grep :80 | grep SYN_RECV|wc -l
      – Hiển thị tất cả các IP đang kết nối và số lượng kết nối từ mỗi IP:

      netstat -an|grep :80 |awk '{print $5}'|cut -d":" -f1|sort|uniq -c|sort -rn
      – Nếu muốn kiểm tra IP nào mở nhiều SYN thì thêm vào:

      netstat -an|grep :80|grep SYN |awk '{print $5}'|cut -d":" -f1|sort|uniq -c|sort -rn
      – Đối với server có nhiều IP, để kiểm tra IP nào đang bị tấn công:

      netstat -plan | grep :80 | awk '{print $4}'| cut -d: -f1 |sort |uniq -c
      – Hiển thị tất cả các IP đang kết nối và số lượng kết nối từ mỗi IP:

      netstat -an | grep ':80' | awk '{print $5}' | sed s/'::ffff:'// | cut -d":" -f1 | sort | uniq -c
      – Hiển thị số lượng kết nối mỗi loại

      netstat -an | grep :80 | awk '{print $6}' | sort | uniq -c


      61 ESTABLISHED
      13 FIN_WAIT1
      17 FIN_WAIT2
      1 LISTEN
      25 SYN_RECV
      298 TIME_WAIT
      – Hiển thị tất cả các IP đang kết nối và số lượng kết nối từ mỗi IP

      watch "netstat -an | grep ':80' | awk '{print \$5}' | sed s/'::ffff:'// | cut -d\":\" -f1 | sort | uniq -c"

      watch "netstat -an | grep :80 | awk '{print \$6}' | sort | uniq -c"
      Chấp Nhận Thua 1 Trận Chiến Nhưng Sẽ Thắng Cả Cuộc Chiến .

     

     
    + Trả lời bài viết

    Thread Information

    Users Browsing this Thread

    There are currently 1 users browsing this thread. (0 members and 1 guests)

    Chủ đề tương tự

    1. Trả lời: 2
      Bài cuối: 22-09-2012, 09:37 AM
    2. Ngăn chặn virus chèn script vao database (Thường là MSSQL)
      By vô danh in forum Security & Anti Virus
      Trả lời: 0
      Bài cuối: 05-03-2010, 04:34 PM
    3. Ngăn Chặn PHP nobody Spammers !
      By vô danh in forum Email Server
      Trả lời: 0
      Bài cuối: 04-09-2009, 03:22 PM

    Quyền viết bài

    • Bạn không thể gửi chủ đề mới
    • Bạn không thể gửi trả lời
    • Bạn không thể gửi file đính kèm
    • Bạn không thể sửa bài viết của mình