DDos cùng nhau vào tìm biện pháp khắc phục nào

epro79

Junior
Joined
Apr 23, 2013
Messages
92
Reactions
36
MR
0.870
Nếu người ta dùng hệ thống server mạnh mà ddos mình thì không có cách gỡ đâu. Vì giờ là "cá lớn nuốt cá bé" mà!
dich-vu-dang-tin-gia-re-clear.png
 
Joined
Apr 13, 2010
Messages
2,687
Reactions
980
MR
0.000
Chào các bạn,

Vấn đề này có vẻ nhiều người bị nên mình cũng xin đưa một vài ý kiến về sự hiểu biết của mình. DDoS mình tạm chia ra 3 loại để dễ xử lý:
  1. DDoS loại nhỏ:
    • Bị một cá nhân nhỏ tấn công
    • Bạn có thể sử dụng các Scripts mà trên mạng có sẵn dùng để tự Block IP đơn giản có thể tích hợp vào Forum,...
    • Sẽ hiện ra một trang thông báo cấm IP đó truy cập vào Website
  2. DDoS loại thường, khoảng vài chục ngàn Connections hoặc hơn không nhiều
    • Bị một vài cá nhân nhỏ tấn công
    • Với loại này thì thường là các ScriptsDDoS loại nhỏ sẽ không ngăn chặn được do:
      • Các IP Attack vẫn có thể Access vào Webserver
        • => Webserver phải xử lý
        • => Tốn Memory & Bandwidth
        • => Server Die
    • Hiện tại thì MMO4ME.com đang ở trạng thái này
    • Các bạn sẽ có 3 cách để phòng chống:
      • Các bạn có thể tự viết Scripts (có thể tham khảo ở dưới về ScriptsMMO4ME đang sử dụng)
      • Sử dụng các dịch vụ Cloud CDN giống CloudFlare để hạn chế nhưng các bạn cần biết là CloudFlare là dịch vụ chuyên Cache những tài liệu tĩnh của bạn và lưu ở nhiều nơi trên thế giới, giúp Website của bạn Load nhanh hơn
        • Mình đã từng sử dụng và không mang lại hiệu quả cao có lẽ do chưa sử dụng "Business and Enterprise features"
      • Thuê một Serverhỗ trợ chống DDoS
  3. DDoS loại cao hơn, lớn
    • Bị một tổ chức chuyên Hacker DDoS
      • Die không cơ hội sống lại ^^!
    • Trường hợp này thì rất khó xảy ra vì các nhóm này họ luôn làm việc có mục đích và phải có lợi với họ. Không ai tự nhiên đến DDoS website của bạn làm gì
    • Trường hợp này thì chỉ còn nhờ các tổ chức phòng chống tội phạm cứu thôi

Đây là phương pháp mình đang sử dụng để bảo vệ MMO4ME, các bạn tham khảo rồi có lẽ tự viết nha, vì mình không thể Share được:
  • Ubuntu Server
  • iptables
  • Một đoạn Scripts filter các Access Logs của Webserver
    • Scripts này sẽ phát hiện IP DDoS
    • Đưa IP này vào iptables cấm vĩnh viễn
    • IP này sẽ không thể truy cập vào Website dưới bất kì hình thức nào
  • Bạn có thể sử dụng bất kì ngôn ngữ nào bạn muốn để viết Scripts này vì Scripts này có thể chạy tách rời
Việc khó nhất của việc chống DDoS là tạo ra một đoạn Scripts chuyên dùng để tìm ra các IP Attack, nhưng cũng không hẳn quá khó, vì Access Logs của Webserver chỉ có một cấu trúc do bạn quy định, các bạn dựa vào đó sẽ tìm ra IP đang Attack website.

Chúc các bạn may mắn
Thân

Cua bac shin con thieu cai modsecurity hehe , noi chung la phai va file log xem cach no ddos the nao moi bit ma khac phuc , ddos da dang lam , con ma he thong botnet lon thi thui de no ddos cung dc ... iptable neu ai ko bit dam bao ko lam dc , admin gioi thieu cach chong nhu vay thi co trong nganh moi chong dc thui
 

newbie07

Newbie
Joined
Jul 20, 2011
Messages
274
Reactions
138
MR
0.000
Cua bac shin con thieu cai modsecurity hehe , noi chung la phai va file log xem cach no ddos the nao moi bit ma khac phuc , ddos da dang lam , con ma he thong botnet lon thi thui de no ddos cung dc ... iptable neu ai ko bit dam bao ko lam dc , admin gioi thieu cach chong nhu vay thi co trong nganh moi chong dc thui
ModSecurity đa phần để cản lọc trên request body thôi. Còn chặn DoS/DDoS thì tốt nhất là từ request header. Dùng các IDS + firewall có vẻ và hay nhất. Bị tấn công lớn quá thì chỉ có mở rộng network + phần cứng thôi. [nếu là tấn công các site PTU thì có nhiều khả năng...ghen ăn tức ở có...các author có...nhưng có lẽ không đến mức bị các tổ chức lớn nhòm ngó đâu. Trừ các bạn chơi CP hoặc under age thì có lẽ sẽ gặp đó]
Nếu người ta dùng hệ thống server mạnh mà ddos mình thì không có cách gỡ đâu. Vì giờ là "cá lớn nuốt cá bé" mà!
dich-vu-dang-tin-gia-re-clear.png
*** bà con dog , hăm dọa khắp nơi anh em . khổ vì con chó chết này

Trước tớ cũng bị đe dọa, bị tấn công. Nhưng chặn xong tớ dọa lại nên từ đợt đó tới giờ vẫn bình yên vô sự :D Có email của nó không gửi tớ xem có phải "người cũ" không :))
PS: bài này chuyển qua box này, hợp box nhưng không hợp tình huống cho lắm :))
 
ModSecurity đa phần để cản lọc trên request body thôi. Còn chặn DoS/DDoS thì tốt nhất là từ request header. Dùng các IDS + firewall có vẻ và hay nhất. Bị tấn công lớn quá thì chỉ có mở rộng network + phần cứng thôi. [nếu là tấn công các site PTU thì có nhiều khả năng...ghen ăn tức ở có...các author có...nhưng có lẽ không đến mức bị các tổ chức lớn nhòm ngó đâu. Trừ các bạn chơi CP hoặc under age thì có lẽ sẽ gặp đó]



Trước tớ cũng bị đe dọa, bị tấn công. Nhưng chặn xong tớ dọa lại nên từ đợt đó tới giờ vẫn bình yên vô sự :D Có email của nó không gửi tớ xem có phải "người cũ" không :))
PS: bài này chuyển qua box này, hợp box nhưng không hợp tình huống cho lắm :))

Ai nói bác là mod nó không chặn head thế bác, nó là dạng filewall nhé nhưng không phải ở mức ứng dựng, nó được viết chuyên để chống tấn công website chi dành dành riêng cho apache đó bác chứ không như iptable nó được viết để chặn chung chung , nếu bác hiểu rõ cách tấn công ddos hiểu rõ luật của mod thì chống khá tôt đó , còn về ddos với số lượng lớn thì chụi trừ khi dùng 3 đến 4 con VPS loadbanacing thì cũng hên là đỡ được phần nào , còn nếu nó nhiều hơn thì dùng nhiều VPS hơn để loadbanacing , nhưng theo mình biết tổ chức mà trên lên đến vài chục k con bot no toàn đi ddó có lợi nhuận như ddos thuê nhiều khi có người thuê nó bot cũng nên
 
Ai nói bác là mod nó không chặn head thế bác, nó là dạng filewall nhé nhưng không phải ở mức ứng dựng, nó được viết chuyên để chống tấn công website chi dành dành riêng cho apache đó bác chứ không như iptable nó được viết để chặn chung chung , nếu bác hiểu rõ cách tấn công ddos hiểu rõ luật của mod thì chống khá tôt đó , còn về ddos với số lượng lớn thì chụi trừ khi dùng 3 đến 4 con VPS loadbanacing thì cũng hên là đỡ được phần nào , còn nếu nó nhiều hơn thì dùng nhiều VPS hơn để loadbanacing , nhưng theo mình biết tổ chức mà trên lên đến vài chục k con bot no toàn đi ddó có lợi nhuận như ddos thuê nhiều khi có người thuê nó bot cũng nên
Không thể phủ nhận hiệu quả của modsec. Tuy nhiên, modsec chỉ là "application firewall" và hiện giờ chỉ hoạt động trên Apache (có vẻ như đang được phát triển cho nginx). Modsecurity làm nhiệm vụ sau firewall chính là cản lọc những phần ngoài header mà firewall chưa "đọc" được (ví dụ như package bị xé lẻ ra). Firewall của cậu mà bị dập chết thì modsec cũng chả có tác dụng gì đâu (cậu thử add 1 loạt rules vào cho modsec thì sẽ rõ tài nguyên của server sử dụng thế nào).
Hơn nữa, IPtables không chặn chung chung. Nếu cậu kết hợp được IPtables + IDS Intrustion Detection System thì cậu sẽ thấy được công dụng thực sự của nó là thế nào. Nó rà soát trên từng bit thông tin của request package header và drop ngay từ cổng vào mà chưa cần sự tác động của modsec.
Còn nếu đã bị tấn công tới mức sử dụng 3-4 VPS thì tại sao không sử dụng physical server??? VPS dẫu sao cũng chỉ là ảo? Mức độ can thiệp + "hack" trên hệ thống vẫn phụ thuộc nhiều vào máy mẹ. Vậy tại sao không chuyển sang physical server để có đầy đủ quyền?
giờ không ai ddos tcp với syn nữa đâu bác

Sao không có nào?
 
Không thể phủ nhận hiệu quả của modsec. Tuy nhiên, modsec chỉ là "application firewall" và hiện giờ chỉ hoạt động trên Apache (có vẻ như đang được phát triển cho nginx). Modsecurity làm nhiệm vụ sau firewall chính là cản lọc những phần ngoài header mà firewall chưa "đọc" được (ví dụ như package bị xé lẻ ra). Firewall của cậu mà bị dập chết thì modsec cũng chả có tác dụng gì đâu (cậu thử add 1 loạt rules vào cho modsec thì sẽ rõ tài nguyên của server sử dụng thế nào).
Hơn nữa, IPtables không chặn chung chung. Nếu cậu kết hợp được IPtables + IDS Intrustion Detection System thì cậu sẽ thấy được công dụng thực sự của nó là thế nào. Nó rà soát trên từng bit thông tin của request package header và drop ngay từ cổng vào mà chưa cần sự tác động của modsec.
Còn nếu đã bị tấn công tới mức sử dụng 3-4 VPS thì tại sao không sử dụng physical server??? VPS dẫu sao cũng chỉ là ảo? Mức độ can thiệp + "hack" trên hệ thống vẫn phụ thuộc nhiều vào máy mẹ. Vậy tại sao không chuyển sang physical server để có đầy đủ quyền?


Sao không có nào?
bạn nói cũng đúng nhưng IDS là phát hiện sâm nhập mà , còn iptables là IPS nó đã có sẵn chức nẵng của IDS rồi cần gì phải thêm IDS vào nhĩ , còn tấn công dạng ddos vào website thì nó có biết gì về cấu trúc website đầu mà nó chặn , nó chỉ nhận nhưng gói packet hợp với ruler hay không , còn về chặn cấu trúc của web thì modsec giỏi hơn iptable , filewall bị dập chết thì có liên quan gì , luật của iptable và mod khác nhau nếu nếu nó ddos bằng user agent thì iptables chặn được không, iptables không chặn được thì có mod nó chặn xong rồi nó gởi thông tin cho iptables để block địa chỉ đó hoặc cho vào backlist
- Còn về tấn công syn với tcp thì sưa làm rồi cái này đa số dùng cho tool ,
- Còn về VPS thì mua rẻ hơn physical nhé vì VPS toàn VPS hack mà
 
bạn nói cũng đúng nhưng IDS là phát hiện sâm nhập mà , còn iptables là IPS nó đã có sẵn chức nẵng của IDS rồi cần gì phải thêm IDS vào nhĩ , còn tấn công dạng ddos vào website thì nó có biết gì về cấu trúc website đầu mà nó chặn , nó chỉ nhận nhưng gói packet hợp với ruler hay không , còn về chặn cấu trúc của web thì modsec giỏi hơn iptable , filewall bị dập chết thì có liên quan gì , luật của iptable và mod khác nhau nếu nếu nó ddos bằng user agent thì iptables chặn được không, iptables không chặn được thì có mod nó chặn xong rồi nó gởi thông tin cho iptables để block địa chỉ đó hoặc cho vào backlist
- Còn về tấn công syn với tcp thì sưa làm rồi cái này đa số dùng cho tool ,
- Còn về VPS thì mua rẻ hơn physical nhé vì VPS toàn VPS hack mà
Nếu IPtables đa năng vậy thì người ta phát triển IDS làm chi cho mệt :)) điển hình snort là 1 IDS chẳng hạn. IDS + IPtables = IDS rà soát package -> gửi thông tin tới IPtables -> Drop. Cậu cứ thử hạ firewall xuống thì sẽ hiểu rõ được thế nào là firewall. Dù là IPtables, modsec hay bất cứ công cụ nào cũng dựa trên các rules cả thôi.
Ai nói với cậu là IDS + IPtables không chặn được user agent? Cậu nên biết việc cản lọc các gói tin ở application layer rất mất nhiều tài nguyên của hệ thống. Hãn hữu lắm mới sử dụng và phải tính toán thật kĩ. Vấn đề cốt lõi nhất là cậu có tìm đúng cách thức bị tấn công và phương án cản hay không thôi!
- Thì DoS/DDoS dùng tool là chính. Nếu cậu có khả năng gây dựng 1 botnet lớn thì cứ thử.
- VPS hack thì tớ không chơi được nhé :)) Các bạn làm được bao nhiêu mà đầu tư đồ hack làm gì cho mệt. Uổng công mỗi lần die lên xuống lại phải làm lại từ đầu :))
 
Nếu IPtables đa năng vậy thì người ta phát triển IDS làm chi cho mệt :)) điển hình snort là 1 IDS chẳng hạn. IDS + IPtables = IDS rà soát package -> gửi thông tin tới IPtables -> Drop. Cậu cứ thử hạ firewall xuống thì sẽ hiểu rõ được thế nào là firewall. Dù là IPtables, modsec hay bất cứ công cụ nào cũng dựa trên các rules cả thôi.
Ai nói với cậu là IDS + IPtables không chặn được user agent? Cậu nên biết việc cản lọc các gói tin ở application layer rất mất nhiều tài nguyên của hệ thống. Hãn hữu lắm mới sử dụng và phải tính toán thật kĩ. Vấn đề cốt lõi nhất là cậu có tìm đúng cách thức bị tấn công và phương án cản hay không thôi!
- Thì DoS/DDoS dùng tool là chính. Nếu cậu có khả năng gây dựng 1 botnet lớn thì cứ thử.
- VPS hack thì tớ không chơi được nhé :)) Các bạn làm được bao nhiêu mà đầu tư đồ hack làm gì cho mệt. Uổng công mỗi lần die lên xuống lại phải làm lại từ đầu :))

Thì DoS/DDoS dùng tool là chính , dos thì tool còn ddos mà dùng tool thì po tay, tool chả qua ddos cho no zui thui . còn việc triển khai snort và iptables dễ ăn lắm à , nếu 1 trong sai luật sẽ xay ra xung đột đến lúc đó biết lỗi cho thêm tiền chưa tính cái snort toàn luật có sẵn bạn thử thêm luật cho snort đi là biết đồ án làm mấy tháng trời chưa thêm được cái luật cho snort toàn là lấy của họ đấy ở đó mà phát triển cậu nói như vậy thì chuyên gia nó mới làm được chưa chắc gì trong forum này có người làm được đâu , chưa tính tới cái web nó có vấn đề nữa thì sao , còn mà dùng VPS mua tiền thiệt thì bạn có đầu tư rồi mà có đầu tư thì thuê hệ thống chống ddos cho nhanh cần gì phải tự làm cho mệt tốn chả bao nhiêu ,
 
Thì DoS/DDoS dùng tool là chính , dos thì tool còn ddos mà dùng tool thì po tay, tool chả qua ddos cho no zui thui . còn việc triển khai snort và iptables dễ ăn lắm à , nếu 1 trong sai luật sẽ xay ra xung đột đến lúc đó biết lỗi cho thêm tiền chưa tính cái snort toàn luật có sẵn bạn thử thêm luật cho snort đi là biết đồ án làm mấy tháng trời chưa thêm được cái luật cho snort toàn là lấy của họ đấy ở đó mà phát triển cậu nói như vậy thì chuyên gia nó mới làm được chưa chắc gì trong forum này có người làm được đâu , chưa tính tới cái web nó có vấn đề nữa thì sao , còn mà dùng VPS mua tiền thiệt thì bạn có đầu tư rồi mà có đầu tư thì thuê hệ thống chống ddos cho nhanh cần gì phải tự làm cho mệt tốn chả bao nhiêu ,
Thấy cậu nói vậy nên tớ "ngứa mồm" chen ngang thôi :D chứ IDS với firewall, modsec, các loại webserver... tớ dùng nhẵn mặt rồi.
Còn về thuê hệ thống chống (thực ra là hạn chế thôi) DDoS thì quá đơn giản, nhưng không thu được tẹo kiến thức nào nên tớ không theo con đường dễ dàng đó (tớ hay tò mò mà :D). Vả lại, hệ thống chống DDoS thực thụ giá không dễ chịu như cậu nghĩ đâu.
Còn web của các bạn trên này thì không tới mức bị tấn công "cao siêu" và "sâu" như vậy đâu. Nó đơn thuần chỉ là tự phát và nếu các bạn chú ý log server, theo dõi lượng connection, ESTABLISHED, TIMEWAIT... là có thể khắc phục được nhanh thôi :D
 

1or0

Senior
Joined
Apr 7, 2013
Messages
1,071
Reactions
308
MR
0.000
Thử cách đơn giản này xem dc k: :p

- Quy định tại 1 thời điểm server chỉ chấp nhận request từ ip cũ đã được duyệt và server chỉ chấp nhận 1 lượng request từ 1 lượng ip mới nhất định ví dụ 1000 ip mới request tại 1 thời điểm. khi tại thời điểm đó đã đủ 1000 ip thì những ip mới khác sẽ bị chặn. sau đó thanh lọc 1000ip mới được phép truy cập kia xem ip nào là bot ip nào là người sử dụng bằng cách bắt nhập mã captcha, nếu nhập sai quá 3 lần banned ip đó luôn còn ip nào nhập đúng thì lưu ip đó lại vào danh sách ip đã được duyệt lần sau cho phép truy cập và k cần nhập mã captcha. sau đó tiếp nhận lượng ip mới tiếp theo và cứ như vậy
 
thế này thì phải làm xao , làm xao !!!

có đáng sút vỡ mồm con chó này không , đừng bảo em ác vs cả họ nhà chó này nhé . cả ngày chỉ thích đi liếm chym anh em


 

Announcements

Today's birthdays

Forum statistics

Threads
425,071
Messages
7,151,323
Members
177,620
Latest member
wwvision

Most viewed of week

Most discussed of week

Most viewed of week

Most discussed of week

Back
Top Bottom