Báo VietNamNet tiếp tục bị tấn công.

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Những thảo luận khác

Báo VietNamNet tiếp tục bị tấn công.

[Announcement] Báo VietNamNet tiếp tục bị tấn công.	18/01/2011 15:14:49 (+0700) \| #31 \| 229727

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

holiganvn wrote:

http://www.tin247.com/tim_thay_may_chu_dieu_khien_%E2%80%9Cdanh%E2%80%9D_vietnamnet-4-21709743.html

Cực kỳ lý thú:

Tuy nhiên, CMC InfoSec phát hiện Oxdex.com có IP 178.162.225.254, thuộc AS28753 quản lý bởi ISP Netdirekt – một Công ty của nước Đức. Đây cũng là đơn vị mang nhiều tai tiếng về dịch vụ đặt máy chủ rất nhiều mã độc, các trang lừa đảo và rác.

What bringing us together is stronger than what pulling us apart.

[Announcement] Báo VietNamNet tiếp tục bị tấn công.	18/01/2011 18:25:32 (+0700) \| #32 \| 229737

cr4zyb0y
Member

Joined: 27/05/2010 11:50:30
Messages: 51
Offline

conmale wrote:

holiganvn wrote:

http://www.tin247.com/tim_thay_may_chu_dieu_khien_%E2%80%9Cdanh%E2%80%9D_vietnamnet-4-21709743.html

Cực kỳ lý thú:

Tuy nhiên, CMC InfoSec phát hiện Oxdex.com có IP 178.162.225.254, thuộc AS28753 quản lý bởi ISP Netdirekt – một Công ty của nước Đức. Đây cũng là đơn vị mang nhiều tai tiếng về dịch vụ đặt máy chủ rất nhiều mã độc, các trang lừa đảo và rác.

em chưa thấy lý thú chỗ nào nữa, chứ đừng nói đến cực kì smilie

[Discussion] Vietnamnet.vn lại bị đánh xập (18/01/2011)	18/01/2011 19:08:54 (+0700) \| #33 \| 229742

bepooh
Member

Joined: 07/01/2011 08:00:33
Messages: 1
Offline

lúc được lúc không, rất chập chờn.

[Announcement] Báo VietNamNet tiếp tục bị tấn công.	18/01/2011 20:59:53 (+0700) \| #34 \| 229757

smokecoffe
Member

Joined: 11/01/2011 00:41:07
Messages: 0
Offline

conmale wrote:

smokecoffe wrote:

Trước nay tớ thích đọc báo vietnamnet lắm, nhưng dạo này thấy đưa tin nhảm cũng nhiều quá! Chán ngấy khi mở trang báo nào ra toàn là tin hiếp dâm, cướp bóc, khoe hàng, ....!

Lạc đề quá. Nói như bồ chẳng lẽ vị trang này đưa toàn là tin "hiếp dâm, cướp bóc, khoe hàng, ...." không thôi sao? Và cứ cho là chuyện này có thật đi thì đó cũng chẳng phải là lý do để bị DDoS nặng nề như vậy.

Hi admin!
Tớ nói là lúc trước thích đọc vietnamnet.net nhất, bây h cũng vậy, vì đưa nhiều tin bài phân tích hay, nói thẳng và đúng, ngoài ra tớ cũng thích mục xem tin bóng đá của 24h. Nhưng dạo này thấy vietnamnet cũng đưa nhiều tin nhảm như:... giống mấy báo lá cải khác. Tớ nghĩ tờ báo có người lãnh đạo nào thì tờ báo sẽ theo phong cách quan điểm của người đó. Tớ không nói là do đưa những tin nhự thế mà bi DDOS vì tớ cũng chả biết gì nhiều!
smilie

[Announcement] Báo VietNamNet tiếp tục bị tấn công.	18/01/2011 21:03:57 (+0700) \| #35 \| 229759

nkp
Member

Joined: 09/03/2008 13:36:56
Messages: 29
Offline

conmale wrote:

holiganvn wrote:

http://www.tin247.com/tim_thay_may_chu_dieu_khien_%E2%80%9Cdanh%E2%80%9D_vietnamnet-4-21709743.html

Cực kỳ lý thú:

Tuy nhiên, CMC InfoSec phát hiện Oxdex.com có IP 178.162.225.254, thuộc AS28753 quản lý bởi ISP Netdirekt – một Công ty của nước Đức. Đây cũng là đơn vị mang nhiều tai tiếng về dịch vụ đặt máy chủ rất nhiều mã độc, các trang lừa đảo và rác.

Cái phải có tí liên quan tới STL không anh smilie

[Announcement] Báo VietNamNet tiếp tục bị tấn công.	18/01/2011 21:34:39 (+0700) \| #36 \| 229763

Lumax
Member

Joined: 19/04/2008 21:32:00
Messages: 12
Location: My Native Land
Offline

tại sao chỉ có mình vietnamnet bị thôi nhỉ, kẻ tấn công hẳn có mối thù sâu nặng với trang báo này >.<

[Announcement] Báo VietNamNet tiếp tục bị tấn công.	18/01/2011 21:47:29 (+0700) \| #37 \| 229765

giotsuongdem
Member

Joined: 14/01/2011 09:36:50
Messages: 0
Offline

[color=red] [/color]
do đội ngũ kĩ thuật kém nên bị tấn công là phải.thời buổi cntt mà còn chậm về kĩ thuật thì chỉ có bị tấn công thui.

[Announcement] Báo VietNamNet tiếp tục bị tấn công.	18/01/2011 22:00:54 (+0700) \| #38 \| 229772

Ky0
Moderator

Joined: 16/08/2009 23:09:08
Messages: 532
Offline

giotsuongdem wrote:

do đội ngũ kĩ thuật kém nên bị tấn công là phải.thời buổi cntt mà còn chậm về kĩ thuật thì chỉ có bị tấn công thui.

Bạn căn cứ vào đâu mà đưa ra những nhận định trên! Một trang web bị tấn công không phải lúc nào cũng do yếu về kỹ thuật nhất là đối với tấn công DDOS.

- Ky0 -

UITNetwork.com
Let's Connect

[Announcement] Báo VietNamNet tiếp tục bị tấn công.	18/01/2011 23:00:26 (+0700) \| #39 \| 229786

xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline

[quote=giotsuongdem] smilie

[color=red] [/color]
do đội ngũ kĩ thuật kém nên bị tấn công là phải.thời buổi cntt mà còn chậm về kĩ thuật thì chỉ có bị tấn công thui.[/quote]

Chưa thấy quan tài chưa đổ lệ smilie

iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline

[Announcement] Báo VietNamNet tiếp tục bị tấn công.	19/01/2011 02:29:05 (+0700) \| #40 \| 229790

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

nkp wrote:

conmale wrote:

holiganvn wrote:

http://www.tin247.com/tim_thay_may_chu_dieu_khien_%E2%80%9Cdanh%E2%80%9D_vietnamnet-4-21709743.html

Cực kỳ lý thú:

Tuy nhiên, CMC InfoSec phát hiện Oxdex.com có IP 178.162.225.254, thuộc AS28753 quản lý bởi ISP Netdirekt – một Công ty của nước Đức. Đây cũng là đơn vị mang nhiều tai tiếng về dịch vụ đặt máy chủ rất nhiều mã độc, các trang lừa đảo và rác.

Cái phải có tí liên quan tới STL không anh

Ngày 2 tháng 12 năm 2010, tớ có post 1 bài ở đây: /hvaonline/posts/list/120/36252.html#226098

Có thể là sự trùng hợp ngẫu nhiên nhưng cần ghi nhận rằng theo profile của netdirekt.de thì hầu như không có khách hàng người Việt và không có website tiếng Việt host trên mạng do netdirekt quản lý. Các vụ tấn công đi từ mạng netdirekt chủ yếu nhắm tới khu vực châu Âu và bắc Mỹ. Trước giờ chưa hề có một report nào nói về tình trạng tấn công đi từ netdirekt trực tiếp đến các sites tiếng Việt ngoài vụ STL năm ngoái (mà tớ điều tra và ghi nhận) và vụ vietnamnet mà CMC tường trình ở trên.

What bringing us together is stronger than what pulling us apart.

[Announcement] Báo VietNamNet tiếp tục bị tấn công.	19/01/2011 08:12:11 (+0700) \| #41 \| 229795

PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline

xnohat wrote:

CMC infosec có người của HVA nằm vùng ở trỏng đó

Giám đốc công ty an ninh mạng CMC infosec là Triệu trần Đức.
Trước đây anh là Admin của HVA forum những năm 2002, 2003, 2004(?). Trong thời gian làm Admin, anh đã phải chống đỡ những cuộc tấn công DDoS ào ạt vào HVA server đặt tại Nhật. Đó có lẽ là những cuộc tấn công DDoS có cường độ lớn vào HVA lần đầu tiên.

Nay Triệu trần Đức là HVA friends

(Anh cũng đã đoạt giải Nhất "Trí tuệ Việt nam" năm 2004)

The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)

[Announcement] Báo VietNamNet tiếp tục bị tấn công.	19/01/2011 09:25:50 (+0700) \| #42 \| 229799

nkp
Member

Joined: 09/03/2008 13:36:56
Messages: 29
Offline

conmale wrote:

Có thể là sự trùng hợp ngẫu nhiên nhưng cần ghi nhận rằng theo profile của netdirekt.de thì hầu như không có khách hàng người Việt và không có website tiếng Việt host trên mạng do netdirekt quản lý. Các vụ tấn công đi từ mạng netdirekt chủ yếu nhắm tới khu vực châu Âu và bắc Mỹ. Trước giờ chưa hề có một report nào nói về tình trạng tấn công đi từ netdirekt trực tiếp đến các sites tiếng Việt ngoài vụ STL năm ngoái (mà tớ điều tra và ghi nhận) và vụ vietnamnet mà CMC tường trình ở trên.

Hi.Em thì em nghĩ khác.Tại sao lại là netdirekt.de mà không phải là một mạng khác.
Hay là quen dùng rồi nên thế nhỉ smilie

Theo anh, nếu anh là thấy bói "Xem Voi" anh đoán con "Voi" này thế nào?

[Announcement] Báo VietNamNet tiếp tục bị tấn công.	19/01/2011 10:00:33 (+0700) \| #43 \| 229801

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

nkp wrote:

conmale wrote:

Có thể là sự trùng hợp ngẫu nhiên nhưng cần ghi nhận rằng theo profile của netdirekt.de thì hầu như không có khách hàng người Việt và không có website tiếng Việt host trên mạng do netdirekt quản lý. Các vụ tấn công đi từ mạng netdirekt chủ yếu nhắm tới khu vực châu Âu và bắc Mỹ. Trước giờ chưa hề có một report nào nói về tình trạng tấn công đi từ netdirekt trực tiếp đến các sites tiếng Việt ngoài vụ STL năm ngoái (mà tớ điều tra và ghi nhận) và vụ vietnamnet mà CMC tường trình ở trên.

Hi.Em thì em nghĩ khác.Tại sao lại là netdirekt.de mà không phải là một mạng khác.
Hay là quen dùng rồi nên thế nhỉ
Theo anh, nếu anh là thấy bói "Xem Voi" anh đoán con "Voi" này thế nào?

Tớ nghĩ nếu đã dùng netdirekt thì chắc chắn từ đầu phải khảo sát và thoả mãn nhu cầu rồi mới dùng. Netdirekt rẻ? Chưa hẳn. Netdirekt tiện? Cũng chưa hẳn. Một điều có thể xác định là netdirekt nổi tiếng dung dưỡng những trò phá hoại và cũng nổi tiếng "ù lì" trong việc can thiệp và xử lý những trò phá hoại. netdirekt là "haven" cho những đám phá hoại vì họ có thể dùng netdirekt để quậy lên bùn mà khó bị các nhà chức trách nạo cho tới nơi.

Nếu tớ có được một mớ packet dump từ vnn để xem thì có lẽ không "sờ voi" chán ngắt smilie

. Tuy nhiên nếu sờ đúng thiệt thì con voi này quả là... khủng smilie

What bringing us together is stronger than what pulling us apart.

[Announcement] Báo VietNamNet tiếp tục bị tấn công.	19/01/2011 10:21:51 (+0700) \| #44 \| 229805

nguoididingoaipho
Member

Joined: 10/12/2007 00:44:11
Messages: 90
Offline

178.162.225.254 thuộc dải IP của ISP SANTREX-INTERNET-SERVICE. Chắc các anh ý thuê tại đây : http://www.santrex.net/dedicatedservers.php. ISP này có server đặt ở rất nhiều nơi tại Châu Âu. Thuê thoải mái luôn. Chắc hồi xưa các anh STL cũng thuê ở đây smilie

Công Lý là diễn viên hài bỏ vợ

[Announcement] Báo VietNamNet tiếp tục bị tấn công.	19/01/2011 11:05:16 (+0700) \| #45 \| 229807

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

nguoididingoaipho wrote:

178.162.225.254 thuộc dải IP của ISP SANTREX-INTERNET-SERVICE. Chắc các anh ý thuê tại đây : http://www.santrex.net/dedicatedservers.php. ISP này có server đặt ở rất nhiều nơi tại Châu Âu. Thuê thoải mái luôn. Chắc hồi xưa các anh STL cũng thuê ở đây .

Hì hì, chỗ nào mà không "thuê thoải mái"? Có xiền là thuê thôi. Điều quan trọng là thuê xong, quậy xong có được công ty cho thuê kia chứa chấp (bằng cách ù lì với các than phiền hoặc dây dưa với nhà chức trách) hay không thôi.

What bringing us together is stronger than what pulling us apart.

[Announcement] Báo VietNamNet tiếp tục bị tấn công.	19/01/2011 11:29:41 (+0700) \| #46 \| 229812

nguoididingoaipho
Member

Joined: 10/12/2007 00:44:11
Messages: 90
Offline

conmale wrote:

nguoididingoaipho wrote:

178.162.225.254 thuộc dải IP của ISP SANTREX-INTERNET-SERVICE. Chắc các anh ý thuê tại đây : http://www.santrex.net/dedicatedservers.php. ISP này có server đặt ở rất nhiều nơi tại Châu Âu. Thuê thoải mái luôn. Chắc hồi xưa các anh STL cũng thuê ở đây .

Hì hì, chỗ nào mà không "thuê thoải mái"? Có xiền là thuê thôi. Điều quan trọng là thuê xong, quậy xong có được công ty cho thuê kia chứa chấp (bằng cách ù lì với các than phiền hoặc dây dưa với nhà chức trách) hay không thôi.

Nhờ thế mà mềnh mới có được cái điều lý thú như bác nói ở trên đó smilie

. Mà chắc các anh ý cũng nghiên cứu ghê lắm mới quyết định thuê của netdirekt.de nhỉ.

Công Lý là diễn viên hài bỏ vợ

[Announcement] Báo VietNamNet tiếp tục bị tấn công.	19/01/2011 11:38:30 (+0700) \| #47 \| 229813

kd_trung
Member

Joined: 13/01/2011 21:53:18
Messages: 8
Offline

nguoididingoaipho wrote:

conmale wrote:

nguoididingoaipho wrote:

178.162.225.254 thuộc dải IP của ISP SANTREX-INTERNET-SERVICE. Chắc các anh ý thuê tại đây : http://www.santrex.net/dedicatedservers.php. ISP này có server đặt ở rất nhiều nơi tại Châu Âu. Thuê thoải mái luôn. Chắc hồi xưa các anh STL cũng thuê ở đây .

Hì hì, chỗ nào mà không "thuê thoải mái"? Có xiền là thuê thôi. Điều quan trọng là thuê xong, quậy xong có được công ty cho thuê kia chứa chấp (bằng cách ù lì với các than phiền hoặc dây dưa với nhà chức trách) hay không thôi.

Nhờ thế mà mềnh mới có được cái điều lý thú như bác nói ở trên đó . Mà chắc các anh ý cũng nghiên cứu ghê lắm mới quyết định thuê của netdirekt.de nhỉ.

Đúng như chú Conmale nói: Có xiền là thuê được thôi mà
không biết VNN còn bị DDOS đến bao giờ nhỉ . các nhân viên VNN có lên nhé smilie

[Announcement] Báo VietNamNet tiếp tục bị tấn công.	19/01/2011 12:51:51 (+0700) \| #48 \| 229815

hackerbeyeu
Member

Joined: 07/12/2006 09:42:37
Messages: 54
Location: The Reaper
Offline

VNN vẫn còn bị DDoS...
Vẫn là những cuộc thanh toán trong nội bộ cũ lẫn nhau .
Đúng thiệt là như anh Conmale nói, mang những kiến thức có được đi phá hoại thật là uổng phí .
Bên VNN cũng có mấy tay trùm lắm mà ta , sao hoài vẫn chưa xong , hay là cha chung không ai khóc nhỉ
Tại sao bên VNN không kiểm tra Referer rồi dùng một site khác xử lý thằng refer này đi nhỉ .Như vậy có phải đơn giản mà lại hiệu quả không .

[Announcement] Báo VietNamNet tiếp tục bị tấn công.	19/01/2011 14:06:00 (+0700) \| #49 \| 229819

peter_nguyen1405
Member

Joined: 30/09/2007 10:20:59
Messages: 43
Offline

Mình nghĩ rằng không đơn giản như vậy đâu. Nếu cái đơn giản mà mình nghĩ ra được, thì chắc chắn kẻ tấn công mình cũng đã nghĩ ra trước mà chặn đường rồi.

Tin rằng VNN đang cố gắng hết sức để khắc phục, nhưng cũng có thể họ đã bị đánh đến sức cùng lực kiệt... muốn khắc phục được không phải là chuyện dễ dàng.

Tất cả chỉ là phỏng đoán - các bác Đao Hạ lưu tình

[Announcement] Báo VietNamNet tiếp tục bị tấn công.	19/01/2011 15:11:37 (+0700) \| #50 \| 229823

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

Theo một bài viết đăng trên tờ "Lao Động" ở http://laodong.com.vn/Tin-Tuc/Bat-luc-truoc-quai-thu-DDOS/28847 có đoạn:

Theo thông tin từ báo điện tử này, có ít nhất 300 nghìn địa chỉ mạng (IP) phân bố rải rác khắp nơi và từ tất cả các nhà cung cấp dịch vụ Internet (ISP) ở Việt Nam tấn công vào VietnamNet. Chưa hết, số lượng IP tại mỗi thời điểm tấn công không lặp lại.

và

Ở lúc cao điểm, chúng tôi chuyển 1/8 lưu lượng tấn công sang một hệ thống khác nhờ xử lý giúp, nhưng băng thông 2Gbps của hệ thống này lập tức bị nghẽn” – một chuyên gia bảo mật tham gia ứng cứu cùng VietnamNet cho biết (băng thông của VietnamNet được coi là “khủng” cũng mới lên đến 1Gbps – PV).

Hãy thử tính vài con số xem sao.

Cứ cho rằng mỗi packet đập vô thẳng vnn có kích thước tối đa là 1500 bytes và băng thông là 2Gbps thì với băng thông này ngay tại mỗi thời điểm có thể có: 268435456 / 1500 = 178957 gói tin. Bởi vậy, với "ít nhất" 300 ngàn IP cùng dội thì tất nhiên băng thông sẽ hoàn toàn bị bão hoà. Tất nhiên, trên thực tế thì 300 ngàn IP đó gởi trước, gởi sau, gởi gói SYN, gởi gói FIN, gởi gói ACK... thì có giá trị thật sự xê dịch. Cho dù vậy, tối đa băng thông 2Gbps chỉ có thể chịu nổi cùng lắm là 200 ngàn IP đập vô 1 lượt.

Có hai vấn đề cần xét đó là băng thông và sức chịu đựng của cơ chế bảo vệ + hệ thống máy chủ.

Trước mắt, theo tính toán tổng quát ở trên thì rõ ràng băng thông đã bị hoàn toàn bảo hoà. Để có thể khắc phục tình trạng này, trước tiên phải gia tăng ít nhất gấp 3 lần băng thông, có nghĩa là khoảng 6Gbps. Tuy vậy, việc này chắc chắn sẽ gây "phản ứng phụ" vì lúc này cổng chính mở càng rộng ra thì "lũ" càng tràn vô nhanh.

Tiếp theo, cơ chế bảo vệ có những biện pháp cản lọc và triệt tiêu như thế nào? Giả sử nếu các gói tin dùng để DDoS ở đây hoàn toàn hợp lệ và chẳng có dấu hiệu gì đặc thù để cản lọc thì ít nhất vnn phải có một cluster khổng lồ để "giơ lưng chịu đòn". Tuy vậy, nếu xét ở góc độ cấp số khi tình trạng ngập lụt dâng lên cao thì một cluster như thế nào được xem là khả dĩ để đón nhận? Đó là một bài toán được giải quyết từ những thông số thu thập được từ mỗi request đi đến sẽ cần bao nhiêu thời gian, bao nhiêu CPU, bao nhiêu memory và bao nhiêu I/O.

Trên thực tế, ngay trong tình trạng "slashdot" (có nghĩa là có số lượng người dùng hoàn toàn hợp lệ) cùng duyệt vnn quá nhiều đi chăng nữa, không thể có tình trạng 300 ngàn IP cùng ập vô 1 lượt bởi vì người dùng bình thường duyệt và đọc. Bởi vậy, request rate (cho mỗi giây hoặc mỗi phút) đi từ mỗi IP rất thấp (ví dụ, không thể có chuyện người đọc bài báo nhanh đến độ cứ mỗi 5 giây đọc hết 1 trang được). Từ logic này mới hình thành ra cái gọi là: packet rate. Packet rate này là thước đo gần như trung thực cho nhu cầu đọc báo của những độc giả (là con người) và những gì đi quá packet rate thì tạm coi là bất hợp lệ. Nếu vậy, giả sử packet rate được xem hợp lý là 5 giây / 1 request (chẳng hạn) và mỗi IP trong 300 ngàn IP có người bấm, có người đọc, có người không bấm trong 10 phút...v...v... thì tính ra 300000 / 5 giây cũng chỉ mới có 60 ngàn IP cùng gởi request 1 lúc. Số còn lại (240 ngàn IP) có thể thuộc dạng zombie và có thể được triệt tiêu. Nói một cách khác, bất cứ IP nào gởi quá 1 packet trong 5 giây và tình trạng này kéo dài liên tục trong 60 giây thì đó chính là "chàng DDoS" chớ không chạy đi đâu được hết. smilie

Triệt tiêu như thế nào? Câu trả lời xác thực cho câu hỏi này không dễ vì tuỳ thiết bị, tuỳ hệ thống, tuỳ topology nữa nhưng tựu trung, biện pháp hữu hiệu nhất là cho những packets đi từ những IP được xem là quá "packet rate" ở trên đi thẳng vô /dev/null. Không cản, không xét, không lọc.... vì những thao tác này sẽ hao tổn tài nguyên không nhỏ và sẽ gây trì trệ theo cấp số. Các thiết bị Cisco, PIX, ngay cả trên BSD, Linux đều có thể có nhiều biện pháp tạo hoặc dùng /dev/null để chuyển hướng các packets "vi phạm" kia một cách nhanh chóng và gọn gàng.

Nếu botnet "thông minh" đủ để hạ thấp packet rates nhằm len lỏi chui vô chung với những request bình thường và hợp lệ của độc giả thông thường thì tác hại của DDoS không còn nữa mà chỉ dừng lại ở mức "slashdot". Ở cấp độ này thì tất nhiên phải trang bị một hệ thống "khủng" cả băng thông lẫn chuỗi máy chủ thôi. smilie

What bringing us together is stronger than what pulling us apart.

[Announcement] Báo VietNamNet tiếp tục bị tấn công.	19/01/2011 15:46:11 (+0700) \| #51 \| 229826

No. 47
Member

Joined: 26/08/2009 02:44:01
Messages: 32
Location: ••••••••••
Offline

Không biết các anh em bên VNN áp dụng phương pháp bảo mật của HVA có "phá giải tuyệt chiêu" DDoS của mấy tay này không nhỉ? smilie

Sau vụ VNN thì đến VNExpress cũng nên. Anh em VNExpress cẩn thận! smilie

"Sự vô tâm rất gần vô cảm, sự vô cảm rất gần sự độc ác"

[Announcement] Báo VietNamNet tiếp tục bị tấn công.	19/01/2011 19:40:03 (+0700) \| #52 \| 229836

quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline

conmale wrote:

...
Các thiết bị Cisco, PIX, ngay cả trên BSD, Linux đều có thể có nhiều biện pháp tạo hoặc dùng /dev/null để chuyển hướng các packets "vi phạm" kia một cách nhanh chóng và gọn gàng.

Trên Windows, nếu dùng WIPFW (hoặc một firewall nào đó) có cách nào 'divert' sang NUL device không mọi người nhỉ?

Let's build on a great foundation!

[Announcement] Báo VietNamNet tiếp tục bị tấn công.	19/01/2011 20:48:34 (+0700) \| #53 \| 229838

vnmax
Member

Joined: 15/01/2011 07:28:53
Messages: 0
Offline

CÁc anh có biết cách nào để điều tra ra kẻ đã tấn công ddos vào site mình không.Dạo này em cũng làm về tin tức xã hội và quả nhiên chỉ sau 1 tuần đã bị tấn công liên tiếp khiến cả sever phải đơ người ra mà đỡ.
Em lại ko có $ và trình độ thấp nên việc site bị đánh là quá dễ dàng.
Mong các anh chỉ em cách để tra ra kẻ đã làm những việc xấu xa ấy

[Announcement] Báo VietNamNet tiếp tục bị tấn công.	19/01/2011 20:59:29 (+0700) \| #54 \| 229841

dangkhoayds05
Member

Joined: 23/02/2009 06:08:59
Messages: 10
Offline

Mất mấy lần bị " đốt " giờ lựong độc giả chuyển sang mấy trang khác xem báo cũng nhiều ^^. Ko biết có động cơ nào theo kiểu cõng rắn cắn gà nhà hay là sao em ko biết nhưng tình hình này chứng tỏ đội ngũ của VNN ngồi canh log chắc bầm mắt smilie

( em nói đùa thôi, có ai liên quan đứng chém em tội nghiệp )

[Announcement] Báo VietNamNet tiếp tục bị tấn công.	19/01/2011 22:21:31 (+0700) \| #55 \| 229853

zjm_zjm
Member

Joined: 26/07/2009 01:53:09
Messages: 159
Location: hhhhhh
Offline

Như vậy mục đích cũng rõ smilie

, không giết triệt để mà để chết từ từ smilie

[Announcement] Báo VietNamNet tiếp tục bị tấn công.	20/01/2011 00:29:06 (+0700) \| #56 \| 229861

tranminhnghia
Member

Joined: 23/10/2009 13:45:01
Messages: 36
Offline

tại thời điểm hiện tại
1h27 phút em vào VNN thử thì bị trình trạng tự chuyển qua url :http://vietnamnet.vn/z29bd2
không biết VNN lại bị gì nữa vậy nhỉ ?

[Announcement] Báo VietNamNet tiếp tục bị tấn công.	20/01/2011 07:01:03 (+0700) \| #57 \| 229865

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

Tối hôm qua tớ ngồi thử nghiệm thêm VNN ở một góc độ khác nhằm phản biện khía cạnh băng thông bị bão hoà thì thấy có vài điểm lý thú sau:

- Thử traceroute từ máy của tớ đến vietnamnet.vn thì thấy:
Code:

conmale$ traceroute vietnamnet.vn
traceroute: Warning: vietnamnet.vn has multiple addresses; using 117.103.197.249
traceroute to vietnamnet.vn (117.103.197.249), 64 hops max, 52 byte packets
 1  172.16.1.99 (172.16.1.99)  3.256 ms  2.376 ms  2.266 ms
 2  10.64.0.1 (10.64.0.1)  9.551 ms  12.110 ms  8.239 ms
 3  riv3-ge1-2.gw.optusnet.com.au (198.142.192.161)  8.504 ms  7.963 ms  7.733 ms
 4  mas1-ge13-0-0-905.gw.optusnet.com.au (211.29.125.21)  18.982 ms  9.850 ms  11.522 ms
 5  mas3-ge2-0.gw.optusnet.com.au (211.29.125.237)  9.214 ms  9.339 ms  10.057 ms
 6  203.208.192.169 (203.208.192.169)  169.115 ms  179.886 ms  182.649 ms
 7  ge-0-0-0-0.laxow-dr1.ix.singtel.com (203.208.171.65)  178.756 ms
    203.208.149.33 (203.208.149.33)  169.686 ms
    ge-0-0-0-0.laxow-dr1.ix.singtel.com (203.208.171.65)  168.359 ms
 8  xe-0-1-0-0.laxow-dr3.ix.singtel.com (203.208.149.117)  174.514 ms
    203.208.152.202 (203.208.152.202)  614.025 ms
    xe-0-1-0-0.laxow-dr3.ix.singtel.com (203.208.149.117)  175.219 ms
 9  xe-1-0-0-0.hkgcw-cr3.ix.singtel.com (203.208.152.125)  473.260 ms  613.086 ms  616.756 ms
10  203.208.149.2 (203.208.149.2)  184.680 ms
    xe-1-0-0-0.hkgcw-cr3.ix.singtel.com (203.208.152.125)  612.929 ms
    203.208.149.2 (203.208.149.2)  189.302 ms
11  d1-98-230-143-118-on-nets.com (118.143.230.98)  729.025 ms
    203.208.171.130 (203.208.171.130)  614.731 ms  611.874 ms
12  xe-1-0-0-0.hkgcw-cr3.ix.singtel.com (203.208.152.125)  615.272 ms
    user244-0.enet.vn (125.214.0.244)  614.363 ms
    xe-1-0-0-0.hkgcw-cr3.ix.singtel.com (203.208.152.125)  615.712 ms
13  117.103.228.93 (117.103.228.93)  611.763 ms
    203.208.190.82 (203.208.190.82)  528.150 ms
    user244-0.enet.vn (125.214.0.244)  614.636 ms
14  d1-98-230-143-118-on-nets.com (118.143.230.98)  613.326 ms
    117.103.197.249 (117.103.197.249)  612.069 ms
    d1-98-230-143-118-on-nets.com (118.143.230.98)  613.976 ms

Chứng tỏ packets đi xuyên qua các hops không quá chậm.

Thử traceroute từ Đức về VN:
Code:

[geek@germany ~]$ traceroute vietnamnet.vn
traceroute to vietnamnet.vn (117.103.197.249), 20 hops max, 40 byte packets
1 router144-1.muc1.mivitec.net (91.90.144.1) 2.956 ms
2 62.140.25.41 (62.140.25.41) 0.689 ms
3 ae-11-11.car1.Munich1.Level3.net (4.69.133.253) 173.829 ms
4 ae-4-4.ebr1.Frankfurt1.Level3.net (4.69.134.2) 6.415 ms
5 ae-91-91.csw4.Frankfurt1.Level3.net (4.69.140.14) 17.151 ms
6 ae-72-72.ebr2.Frankfurt1.Level3.net (4.69.140.21) 6.898 ms
7 ae-44-44.ebr2.Washington1.Level3.net (4.69.137.62) 97.086 ms
8 ae-92-92.csw4.Washington1.Level3.net (4.69.134.158) 93.577 ms
9 ae-84-84.ebr4.Washington1.Level3.net (4.69.134.185) 99.814 ms
10 ae-4-4.ebr3.LosAngeles1.Level3.net (4.69.132.81) 159.520 ms
11 ae-4-90.edge3.LosAngeles1.Level3.net (4.69.144.201) 159.757 ms
12 cr1.lax1.us.packetexchange.net (4.71.136.2) 168.744 ms
13 te4-1.cr1.lax1.us.packetexchange.net (69.174.120.141) 177.229 ms
14 218.189.31.25 (218.189.31.25) 160.724 ms
15 218.189.5.138 (218.189.5.138) 160.963 ms
16 d1-1-224-143-118-on-nets.com (118.143.224.1) 314.368 ms
17 218.189.5.39 (218.189.5.39) 322.274 ms
18 d1-98-230-143-118-on-nets.com (118.143.230.98) 374.891 ms
19 user244-0.enet.vn (125.214.0.244) 366.511 ms
20 117.103.228.93 (117.103.228.93) 365.514 ms

thì thấy packets đi xuyên các hops càng nhanh nữa.

Thử httpwatch để duyệt vietnamnet.vn thì lại thấy:

13:06:39.771 0.042 380 0 GET null Redirect http://www.vietnamnet.vn/
13:06:40.278 6.449 427 182 GET 302 Redirect to: http://vietnamnet.vn http://www.vietnamnet.vn/
13:06:46.732 2.143 458 406 GET 302 Redirect to: /vn/index.html http://vietnamnet.vn/
13:06:48.882 40.536 436 19 GET 200 text/html http://vietnamnet.vn/vn/index.html
13:07:29.473 0.033 357 (1406) GET (Cache) image/x-icon http://vietnamnet.vn/favicon.ico

Điều này chứng tỏ:

- Cú GET đầu tiên đi đến www.vietnamnet.vn chỉ mất có 0.042 giây thì đầu bên khia nhận request và cho request này wwwect đến vietnamnet.vn. Điều này chứng tỏ băng thông không hề bị nghẽn mà trái lại đường đi vô www.vietnamnet.vn rất nhanh.

- Giai đoạn wwwection từ www.vietnamnet.vn đến vietnamnet.vn cho đến khi response về lại trình duyệt của tớ mất 6.449 giây. Chứng tỏ sự trễ nãi này xảy ra ở khoảng "response" (đi ra) chớ không phải nằm ở khoảng "request" (đi vô).

- Sau khi wwwect đến vietnamnet.vn request này lại tiếp tục được wwwect đến /vn/index.html (thuộc vietnamnet.vn) và mất thêm 2.143 giây nữa và tệ nhất là chỉ wwwect đến một trang index.html http://vietnamnet.vn/vn/index.html) và response về trình duyệt mất đến 40.536 giây.

Qua những biểu hiện trên tớ tin chắc vnn không bị bão hoà băng thông bằng chứng là request đi vô vẫn cực nhanh. Chỉ có response đi ra cực chậm. Nến băng thông bị bão hoà thì ra hay vô cũng đều chậm. Dấu hiệu cho thấy ở đây là dịch vụ web bị nghẽn và không kịp phục vụ người truy cập.

Nếu thử "dig" thì thấy vietnamnet.vn có 2 "A" records:

conmale$ dig a vietnamnet.vn

; <<>> DiG 9.6.0-myBuild <<>> a vietnamnet.vn
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7119
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;vietnamnet.vn. IN A

;; ANSWER SECTION:
vietnamnet.vn. 3600 IN A 222.255.122.157
vietnamnet.vn. 3600 IN A 117.103.197.249

;; Query time: 659 msec
;; SERVER: 139.130.4.4#53(139.130.4.4)
;; WHEN: Thu Jan 20 08:45:16 2011
;; MSG SIZE rcvd: 63

và www.vietnamnet.vn lại chỉ có 1 "A" record mà thôi:

conmale$ dig a www.vietnamnet.vn

; <<>> DiG 9.6.0-myBuild <<>> a www.vietnamnet.vn
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 61465
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;www.vietnamnet.vn. IN A

;; ANSWER SECTION:
www.vietnamnet.vn. 3600 IN A 117.103.197.249

;; Query time: 499 msec
;; SERVER: 139.130.4.4#53(139.130.4.4)
;; WHEN: Thu Jan 20 08:45:24 2011
;; MSG SIZE rcvd: 51

117.103.197.249 thì thuộc VTC (trong mạng vnnnic), còn 222.255.122.157 thì thuộc vinagame (trong mạng vnpt).

Xét đoạn httpwatch ở trên thì thấy:

- Nếu truy cập với www.vietnamnet.vn (117.103.197.249) thì sẽ được wwwect về vietnamnet.vn (117.103.197.249 và 222.255.122.157) theo dạng DNS round robin.

- Nếu thực sự wwwect từ 117.103.197.249 về 222.255.122.157 thì hữu lý (vì cho nó đi qua một mạng khác để share load) nhưng wwwect từ 117.103.197.249 về lại chính 117.103.197.249 thì hơi phí vì dịch vụ web phải tốn thêm tài nguyên để xử lý thêm một cái wwwection.

- Nếu truy cập trực tiếp tới vietnamnet.vn (222.255.122.157) thì không xảy ra wwwection từ IP này sang IP khác nữa mà lại có thêm một lần wwwection đến /vn/index.html ngay chính dịch vụ trên vietnamnet.vn, từ context "/" sang context "/vn". Xét về mặt tài nguyên thì dịch vụ web lại tiêu tốn tài nguyên để xử lý thêm một lần wwwection. Có lẽ admin muốn wwwect đến một trang static html để giảm thiểu hao tổn tài nguyên từ những truy cập trực tiếp đến các trang động (dynamic pages) tương tác trực tiếp đến CSDL nhưng thật sự wwwection kiểu này ở tình trạng bị DDoS nặng nề thì không hữu hiệu rồi.

Tớ cũng thử "fire off" hơn 1 chục request liên tục trong 1 giây và thấy hệ thống vietnamnet responded y hệt như nhau. Các requests của tớ vẫn đến vietnamnet.vn và vẫn được wwwect y hệt như trên. Điều này chứng tỏ hình như vietnamnet không có cơ chế "packet rating" (hoặc request rating) mà tớ đã đề cập ở bài trước. Nói một cách khác, dường như vietnamnet chìa lưng ra cho DDoS đập thì phải smilie

What bringing us together is stronger than what pulling us apart.

[Announcement] Báo VietNamNet tiếp tục bị tấn công.	20/01/2011 07:38:37 (+0700) \| #58 \| 229866

holiganvn
Member

Joined: 08/05/2009 19:29:45
Messages: 370
Location: Cố Đô Huế
Offline

em vào vietnamnet.vn thì rất chậm hoặc vào không được,còn vào english.vietnamnet.vn thì lại vào tốt,không lẽ 2 địa chỉ này tách biệt nhau nên không ảnh hưởng gì đến nhau cả smilie

HaCk t0 LeArN,N0t LeArN t0 HaCk

[Announcement] Báo VietNamNet tiếp tục bị tấn công.	20/01/2011 07:41:33 (+0700) \| #59 \| 229867

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

holiganvn wrote:

em vào vietnamnet.vn thì rất chậm hoặc vào không được,còn vào english.vietnamnet.vn thì lại vào tốt,không lẽ 2 địa chỉ này tách biệt nhau nên không ảnh hưởng gì đến nhau cả

english.vietnamnet.vn trỏ đến 203.162.71.48 thuộc mạng VNPT và thuộc một hệ thống máy chủ khác.

What bringing us together is stronger than what pulling us apart.

[Announcement] Báo VietNamNet tiếp tục bị tấn công.	20/01/2011 07:55:15 (+0700) \| #60 \| 229868

Ikut3
Elite Member

Joined: 24/09/2007 23:47:03
Messages: 1429
Location: Nhà hát lớn
Offline

Tương tự như với dịch vụ english.vietnamnet chú Conmale phân tích. Vietnamnet còn có 1 địa chỉ khác giành cho các độc giả thích "sao"

http://2sao.vietnamnet.vn

Tuy nhiên địa chỉ ip của 2sao thuộc về Cmc Telecom Infrastructure

Thời gian trước đây Vietnamnet và 2 sao cùng đặt chung trên 1 server. Ngay những ngày đầu bị DDoS. 2sao cũng chịu chung số phận như vietnamnet là không tài nào kết nối vào được.

Dạo thời gian 2 tuần trở lại đây 2sao được đưa sang 1 máy chủ khác và hoạt động cũng chập chờn không kém. Theo thông báo của ban biên tập 2sao là chỉ các user sử dụng dịch vụ của ISP FPT vào không được và mất ổn định. Đối với các ISP khác thì 2 sao hoạt động bình thường

Go to:

Users currently in here
1 Anonymous