| [Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS |
24/01/2011 07:26:02 (+0700) | #31 | 230188 |
protectHat
Member
![[Minus]](/hvaonline/templates/viet/images/minus.gif "[Minus]") |
0 |
![[Plus]](/hvaonline/templates/viet/images/plus.gif "[Plus]")
|
|
Joined: 09/08/2008 11:02:35
Messages: 176
Location: DMZ
Offline
|
|
Xin lỗi mọi người vì đi ngoài chủ đề xíu
@noobeer: Tôi dám cá 100% là viẹtnamnet sẽ chẳng nhờ ai hết. VNN là một cơ quan nhà nước thì chẳng bao giờ đi nhờ vả một diễn đàn hacker cả. Theo tôi biết thì khi có cuộc tấn công xảy ra, VNN chỉ đưa thông báo cho 1 nơi duy nhất theo đúng thủ tục là Vncert, rồi vncert mới đưa một phần thông tin cho bên này bên nọ (CMC cũng nói là họ chỉ có các thông tin không đầy đủ về cuộc tấn công). HVA không phải là một tổ chức có giấy tờ, chứng nhận ... nên không bao giờ được VNN nhờ cậy cả. Nên chấm dứt chủ đề về chuyện giúp hay không giúp nha. Tốt nhất khi trang của bồ bị ddos thì lên đây nhờ và các mem của hva sẽ giúp bồ, còn nếu bồ có thông tin gì về cuộc tấn thì cứ đưa lên đây hoặc PM với các mod, min. |
|
|
 |
|
| [Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS |
24/01/2011 07:33:47 (+0700) | #32 | 230190 |
![[Avatar]](/hvaonline/images/avatar/089f41810321eefc3f4eef5d4a388e42.png "[Avatar]")
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
noobeer wrote:
Mình không phải là người VNN nhưng đọc cái comment của xnohat thì thấy như sau:
"anh em HVA đều nóng lòng muốn giúp đỡ Vietnamnet", "rất thực tế và rất khẩn cấp", "nếu các bạn ấy chịu hợp tác hơn"....
Các bạn HVA đã ở đâu khi VietnamNet bị tấn công từ ngày 4/1 cho đến tận bây giờ.
HVA đã có ngỏ lời giúp đỡ VietnamNet hay chưa?
Việc phân tích chi tiết về cách phòng chống của VietnamNet cũng mới có từ ngày 19/1.
Bạn có chịu nhúng mũi vào đâu để mà Vietnamnet có thể "xì ra bất cứ thông tin kỹ thuật nào"???
Lại nữa, xnohat bảo không biết tí thông tin kỹ thuật nào từ VietnamNet nhưng lại phán là "họ vẫn đang dùng obscurity để chống đỡ là nhiều", sao bạn dám chắc thế nhỉ?
Mình nghĩ với tư cách là một MOD như xnohat thì không nên có kiểu "phán" hay "chém gió" như thế.
Mình đọc đâu đó trong diễn đàn này là "VietnamNet phải ngỏ ý nhờ HVA" thì mới được giúp đỡ. Mình không có ý kiến nhiều về việc này, mỗi người/tổ chức có cách làm của họ.
Nhưng mình dẫn chứng một trường hợp ngoài đời như thế này: ngoài đường, bạn gặp 1 người bị cướp, và bạn là người đang đứng gần tên cướp nhất. Có lẽ bạn phải chờ người kia lên tiếng nhờ thì bạn mới giúp đỡ nhỉ?!?
Đôi khi, những người khác đánh giá 1 con người qua việc họ không làm, chứ không phải việc họ làm 
Đoạn màu đỏ là một so sánh khập khiễng.
vietnamnet là một tờ báo lớn có tiền bạc, điều kiện và được pháp luật bảo vệ. HVA chưa bao giờ dùng chữ "phải" trong câu "phải ngỏ ý nhờ HVA" nhưng thực tế mà nói, nếu HVA không được vietnamnet cho phép mà táy máy thì hoàn toàn phạm luật. Hơn nữa, HVA chỉ là một nhóm thành viên sinh hoạt trên một diễn đàn và hoàn toàn không có tư cách pháp nhân chính thức để có thể làm gì ngoài việc đưa ra một số đề nghị tổng quát.
Bản thân tôi đã gởi riêng một e-mail đến toà soạn và ngỏ ý giúp đỡ từ hồi tháng 11 nhưng không hề nhận hồi âm. Bởi vậy, xin đừng chuyển hướng sang chỗ trách móc HVA một cách thiếu công bằng. Chính các thành viên có thiện ý đã đẩy những chủ đề liên quan đến vietnamnet từ chỗ "buôn chuyện" sang chỗ phân tích kỹ thuật. Nếu HVA "vô trách nhiệm" hoặc HVA "chém gió" thì đã để cho các chủ đề phát triển theo hướng "chém gió" rồi. Cho nên, cần nhận xét một cách trung thực và công bằng. |
|
| What bringing us together is stronger than what pulling us apart. |
|
|
|
| [Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS |
24/01/2011 08:50:40 (+0700) | #33 | 230199 |
![[Avatar]](/hvaonline/images/avatar/03d851016803f84c54f90d0ed1f404de.png "[Avatar]")
|
chandoidibui
Member
|
|
0 |
|
|
Joined: 10/08/2006 12:41:52
Messages: 2
Offline
|
|
VNN có vẻ giải quyết xong vấn đề rồi, truy cập tốc độ rất tốt...ít ra là cho tới sáng nay 24/1;
Giải pháp kiểm tra Cookie xem ra đơn giản mà lại hiệu quả nhỉ.
Qua vụ này vỡ ra rất nhiều điều, các anh càng tranh luận, chúng tôi càng biết nhiều hơn.. |
|
| Wing of Liberty... |
|
|
|
| [Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS |
24/01/2011 09:25:02 (+0700) | #34 | 230206 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
chandoidibui wrote:
VNN có vẻ giải quyết xong vấn đề rồi, truy cập tốc độ rất tốt...ít ra là cho tới sáng nay 24/1;
Giải pháp kiểm tra Cookie xem ra đơn giản mà lại hiệu quả nhỉ.
Qua vụ này vỡ ra rất nhiều điều, các anh càng tranh luận, chúng tôi càng biết nhiều hơn..
Ủa? nick chandoidibui được nhiều người dùng chung à? |
|
| What bringing us together is stronger than what pulling us apart. |
|
|
|
| [Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS |
24/01/2011 11:40:53 (+0700) | #35 | 230226 |
PXMMRF
Administrator
|
Joined: 26/09/2002 07:17:55
Messages: 946
Offline
|
|
protectHat wrote:
Xin lỗi mọi người vì đi ngoài chủ đề xíu
@noobeer: Tôi dám cá 100% là viẹtnamnet sẽ chẳng nhờ ai hết. VNN là một cơ quan nhà nước thì chẳng bao giờ đi nhờ vả một diễn đàn hacker cả. Theo tôi biết thì khi có cuộc tấn công xảy ra, VNN chỉ đưa thông báo cho 1 nơi duy nhất theo đúng thủ tục là Vncert, rồi vncert mới đưa một phần thông tin cho bên này bên nọ (CMC cũng nói là họ chỉ có các thông tin không đầy đủ về cuộc tấn công). HVA không phải là một tổ chức có giấy tờ, chứng nhận ... nên không bao giờ được VNN nhờ cậy cả. Nên chấm dứt chủ đề về chuyện giúp hay không giúp nha. Tốt nhất khi trang của bồ bị ddos thì lên đây nhờ và các mem của hva sẽ giúp bồ, còn nếu bồ có thông tin gì về cuộc tấn thì cứ đưa lên đây hoặc PM với các mod, min.
HVA đề xuất những hướng giải quyết cho bất cứ ai bị DDoS nhằm giúp họ, theo mục đích tôn chỉ của tổ chức này. Trong thưc tế HVA cũng đã giúp nhiều tổ chức, đơn vị và có kết quả tốt đẹp. Nhưng HVA không muốn công bố chuyện này.
Vietnamnet nên nhờ những công ty, đơn vị bảo mật trong nước và nước ngoài góp ý hay xây dựng lại các dự án liên quan đến bảo mật (nhưng không phải và không nhất thiết là HVA). Họ nên làm như vậy hay họ phải làm như vậy. Tại sao? Vì tài sản, thiết bị ... mà Vietnamnet đang quản lý, khai thác thực tế là của đất nước của nhân dân Việt nam, mua được từ tiền đóng thuế và công sức lao đông của nhân dân. Rất nhiều thành viên HVA là người Việt nam, với tư cách là những công dân, họ có thể yêu cầu Vietnamnet phải làm những điều mà họ thấy cần. Đó cũng là trách nhiệm của các công dân về tài sản của đất nước
Ngoài ra không thể nói việc của Vietnamnet đã xong, nay hệ thống đã chạy tốt và sẽ luôn tốt trong tương lai, khi mà các hacker sẽ DDoS lại sau một thời gian chúng tạm dừng, tạm nghỉ. Việc sử dụng Javascrip để kiểm tra phân loại cookies của các user và bot mà Vietnamnet thưc hiện vừa qua (một kiểu Input filter) tồn tại khá nhiều nhươc điểm, mà tôi có thời gian sẽ phân tích sâu. Vì vậy không thể nói với cách này Vietnamnet giải quyết được DDoS. Chỉ là vừa qua có thể hacker tạm ngừng DDoS mà thôi.
Hoăc có thể Vietnamnet đang có những liện hệ xin hỗ trợ, thử nghiệm với Akima Technology Company (Mỹ). (Tôi có bằng chứng rất rõ ràng từ sự kiện này, đương nhiên từ trên mang và tôi sẽ trình bầy ra cho các bạn biết). Nếu đúng như vậy thì rất hoan nghênh Vietnamnet, các bạn có vẻ đã đi đúng hướng rồi đấy.
Be noted: Bạn nào trong HVA mà không phải là người đại diện có thẩm quyền của Vietnamnet thì đừng nhân danh Vietnamnet phát biểu lung tung, nói những điều mà thưc sư Vietnamnet không nói hay không nên nói lúc này. |
|
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
|
|
|
|
| [Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS |
24/01/2011 12:50:02 (+0700) | #36 | 230233 |
PXMMRF
Administrator
|
Joined: 26/09/2002 07:17:55
Messages: 946
Offline
|
|
bolzano_1989 wrote:
Gửi chú PXMMRF, bolzano_1989 muốn hỏi trong hoàn cảnh Việt Nam, nếu các ISP đồng ý hợp tác và đã xác định được các máy tính là bot rồi thì bước tiếp theo, các ISP cần và có thể làm những gì để thông báo và hỗ trợ chủ máy tính diệt trừ virus cùng độ khả thi thực hiện những việc này như thế nào ?
Qua tìm hiểu thì bolzano_1989 thấy đã có 1 số ISP nước ngoài tích cực hợp tác trong việc làm sạch các máy trong mạng botnet như Virgin Media (UK), Comcast (USA), không rõ ở Việt Nam thì các ISP sẽ hợp tác đến mức độ nào  ?
Cám ơn câu hỏi thông minh và cặn kẽ của bolzano_1989. Để trả lời câu hỏi này tôi cũng đã viết một đoạn trong một bài viết cũng về Vietnamnet, nhưng ở topic khác. Nay xin copy lại:
Không, tôi không có ý quảng cáo cho CMC Infosec. Tôi chỉ đang tìm những khía cạnh, dù là nhỏ nhất, để gợi ý giúp cho Vietnamnet, nếu nó hữu ích.
CMC Infosec, như theo thông báo chính thức, đã tỉm ra DDoS tool (virus, bot...) là........ thì tốt nhất nên nhờ các anh ở đấy viết ra một trình phát hiện DDoS tool này trên mạng (chẳng lẽ lại đi nhờ người khác?). Muốn quét hữu hiệu lẽ dĩ nhiên phải nhờ đến sự hỗ trợ của các IPS Việt nam. Ho sẽ dùng công cụ nói trên để quét trên các mạng do họ quản lý. Một công ty bên ngoài, ngay cả CMC, cũng không thể làm tốt việc này. Cần chú ý là ngay trong những năm 2001-2002-2003... một số công ty bảo mật của Mỹ đã có những tool quét mạng để phát hiện ra các DDoS tool, đó là những DDoS tool đầu tiên xuất hiện trên mạng. Họ đã đi xa hơn chúng ta nhiều và suy nghĩ tính toán bài bản
Bổ sung:
Nếu ta dùng Tool quét virus (DDoS tool) từ máy của ta thì ta chỉ quét được trong mạng LAN của ta thôi, chứ rất khó, hay không thể quét các mạng LAN khác (sau một DLAM). Chỉ có ISP mới quét được. Nhưng họ cũng chỉ quét virus một cách hữu hiệu trong các mạng LAN mà họ quản lý mà thôi. Nên phải có nhiều ISP hợp lưc lai.
Tuy nhiên khi phát hiện một máy nào đó nhiễm virus thì họ (ISP) cảnh báo, hướng dẫn chủ máy diệt virus, hoăc hay hơn (nhưng tốn công) là thiết lập một website quét virus online và đề nghị chủ máy phối hợp diệt virus.
Đến nay tôi không biết rõ cơ chế hoạt động cụ thể của virus mà CMC infosec tìm ra (họ chưa công bố). Qua thưc tế mò mẫm với máy của tôi (hạ firewall, disable On-Access scan trong Antivirus...), truy cập hàng loạt website để mong được nhiễm một DDoS tool (bot , virus), thì tôi có cảm giác con bot này ẩn mình rất khéo, có vẻ như nó inject code vào iexplore.exe và làm cho trình duyệt refresh liên tục khi truy cập đến vietnamnet.vn (như là bạn myquart có nói đúng như vậy ở một post ở trên), đó chính là DoS. Và đó cũng chính là dấu hiệu rõ ràng chứng tỏ các cơ cấu dùng JavaScrip để kiểm tra phân loại cookies giữa user hợp lệ và bot (DDoS tool) của Vietnamnet sử dụng vừa qua là mất tác dung. Nhưng dường như chỉ Win XP (SP2 và SP3) bị nhiễm virus mà thôi, còn Win 2K3 thì không. Ngoài ra dường như virus không nhiễm vào firefox.exe. Nếu như vậy thì quét trên mang để phát hiện DDoS tool (virus) này cũng không dễ đâu.
Thân
|
|
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
|
|
|
|
| [Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS |
24/01/2011 15:13:34 (+0700) | #37 | 230240 |
![[Avatar]](/hvaonline/images/avatar/7f11b15655b2342b01a2db7edb7961cd.jpeg "[Avatar]")
|
gamma95
Researcher
|
Joined: 20/05/2003 07:15:41
Messages: 1377
Location: aaa">
Offline
|
|
cho mình hỏi là người ta phát minh ra __CAPTCHA__ để làm gì vậy? Ý mình đơn giản là khi thấy bot nó thông minh như người thì dựng captcha lên (recaptcha) chẳng hạn. Sau đó thằng nào pass đc thì coi như là người đi. Thằng nào cứ đứng mãi ở cái trang captcha mà ko đi đâu đc thì hoặc là nó là bot, hoặc là nó mù chữ  , điếc ...etc Sau đó đếm cái IP và số URL nó get và có response hợp lệ mà tính chuyện cho IP nó vô blacklist hay white list. Ý em đơn giản vậy thôi |
|
Cánh chym không mỏi
lol |
|
|
|
| [Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS |
24/01/2011 15:58:29 (+0700) | #38 | 230243 |
PXMMRF
Administrator
|
Joined: 26/09/2002 07:17:55
Messages: 946
Offline
|
|
gamma95 wrote:
cho mình hỏi là người ta phát minh ra __CAPTCHA__ để làm gì vậy? Ý mình đơn giản là khi thấy bot nó thông minh như người thì dựng captcha lên (recaptcha) chẳng hạn. Sau đó thằng nào pass đc thì coi như là người đi. Thằng nào cứ đứng mãi ở cái trang captcha mà ko đi đâu đc thì hoặc là nó là bot, hoặc là nó mù chữ , điếc ...etc Sau đó đếm cái IP và số URL nó get và có response hợp lệ mà tính chuyện cho IP nó vô blacklist hay white list. Ý em đơn giản vậy thôi
Rõ là thằng "bot" thì không biết chữ rồi. Mà nó dù có biết chữ đi chăng nữa, "Robot bot" chẳng hạn, thì cũng chưa kịp đánh xong 5, 6 chữ, thì thằng bot sau đã đến giành đánh captcha rồi. Cứ cuống cả lên, sao mà đánh kịp. Hì hì.
Đến mình mắt sáng, học hành tử tế, mà có khi phải đánh vài lần nó mới cho vào. Đánh CAPTCHA mà cứ như là "Đánh đố" ấy. Đề xuất của gamma95 quả là hay và bất ngờ
=================
Nhân đây, nói về Topology của mạng các server của Vietnamnet, thì tôi đã có một recommendation mang tính tham khảo, trong bài viết mở đầu topic này. Tôi nghĩ viết như thế là quá đủ. Vì tôi nghĩ các anh ở Vietnamnet cũng là những người có trình độ khá cao, họ hiểu rõ ý tôi là gì. Vấn đề chỉ còn là họ có đồng ý với gợi ý của tôi hay không mà thôi
Nhưng vì có bạn muốn phải viết nó cụ thể ra cơ, mới được. Thì chiều lòng các bạn ấy, tôi viết thêm đôi điều. Xin các anh ở Vietnamnet bỏ qua, đừng cho là tôi chê các anh trình độ yếu, nên phải viết cụ thể ra như thế này:
- Điều đơn giản nhất là xin các anh ở Vietnamnet tham khảo sơ đồ mạng bố trí các server của lão Assange (Wikileaks) như dưới đây và cải tiến cho phù hợp với Vietnamnet. Như các anh đã thấy, dù chỉ đăng tải một nôi dung website, nhưng Assange đã sử dụng rất nhiều domain có tiền tố giống nhau (wikileaks) nhưng hậu tố khác nhau. Một domain hosting trong nhiều server và các server thì bố trí ở các nước khác nhau, trong các dãy IP khác nhau. Assange cũng rất khôn ngoan trong việc sử dụng nhiều namesevers khác nhau, đặt ở các nước khác nhau để phân giải các domain nói trên. Chúng ta thử hình dung xem nếu hacker muốn tấn công DDoS vào website Wikileaks của Assange để làm website này sụp đổ, thì chúng phải chia ra bao nhiêu mũi hay hướng tân công đây?
3 hướng, 6 hướng hay 10 hướng, hay hơn...?
Và chúng (hacker) có làm được không?
Assange không có nhiều tiền. Tiền của bác này chỉ là nhận tài trợ. Chắc chắn là Vietnamnet có khả năng tài chính cao hơn.
- Có dịp bất ngờ đàm đạo chơi với nhau (ấy tôi không yêu cầu đâu nhé), có khi chúng tôi còn trao đổi thêm với các anh Vietnamnet vài vấn đề cụ thể khác. Thí dụ topology điển hình của CISCO trong việc phòng chống DDoS áp dụng cho các công ty vừa và lớn, chịu được 1.000.000 gói tin/sec hay về Akima Technology chẳng hạn. Nhưng có khi các anh cũng biết rồi?
SƠ ĐỒ MẠNG CÁC SERVER CỦA WIKILEAKS
(Topology mạng các webserver của WIKILEAKS này là do tôi khảo sát thực tế trên mạng rồi vẽ ra. Không phải sao chép lại của bất cứ bài viết nào trên mạng. Xin trả lời một số bạn như vậy.)
|
|
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
|
|
|
|
| [Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS |
24/01/2011 17:03:39 (+0700) | #39 | 230250 |
|
gamma95
Researcher
|
Joined: 20/05/2003 07:15:41
Messages: 1377
Location: aaa">
Offline
|
|
| Ở đây em ko nói đến khía cạnh dùng captcha luôn, mà captcha chỉ dựng lên để "lấy mẫu" khi thấy tần số request lên cao |
|
Cánh chym không mỏi
lol |
|
|
|
| [Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS |
24/01/2011 19:25:53 (+0700) | #40 | 230257 |
![[Avatar]](/hvaonline/images/avatar/3099a4ec6dc1da1e77c1b4070c7aa9b8.jpg "[Avatar]")
|
bolzano_1989
Journalist
|
|
0 |
|
|
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
|
|
PXMMRF wrote:
Đến nay tôi không biết rõ cơ chế hoạt động cụ thể của virus mà CMC infosec tìm ra (họ chưa công bố). Qua thưc tế mò mẫm với máy của tôi (hạ firewall, disable On-Access scan trong Antivirus...), truy cập hàng loạt website để mong được nhiễm một DDoS tool (bot , virus), thì tôi có cảm giác con bot này ẩn mình rất khéo, có vẻ như nó inject code vào iexplore.exe và làm cho trình duyệt refresh liên tục khi truy cập đến vietnamnet.vn (như là bạn myquart có nói đúng như vậy ở một post ở trên), đó chính là DoS. Và đó cũng chính là dấu hiệu rõ ràng chứng tỏ các cơ cấu dùng JavaScrip để kiểm tra phân loại cookies giữa user hợp lệ và bot (DDoS tool) của Vietnamnet sử dụng vừa qua là mất tác dung. Nhưng dường như chỉ Win XP (SP2 và SP3) bị nhiễm virus mà thôi, còn Win 2K3 thì không. Ngoài ra dường như virus không nhiễm vào firefox.exe. Nếu như vậy thì quét trên mang để phát hiện DDoS tool (virus) này cũng không dễ đâu.
Theo bolzano_1989 biết thì phiên bản virus trên không phức tạp đến vậy (dll injection, process memory injection) mà virus dùng process riêng của chúng để tấn công.
bolzano_1989 nghe nói là hiện đã có mạng botnet mới, hiện chưa rõ về phiên bản virus này. |
|
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY |
|
|
|
| [Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS |
24/01/2011 22:38:49 (+0700) | #41 | 230274 |
![[Avatar]](/hvaonline/images/avatar/4dd20f1e87dfb889bc97230e2c87c6a5.png "[Avatar]")
|
xnohat
Moderator
|
Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
|
|
gamma95 wrote:
Ở đây em ko nói đến khía cạnh dùng captcha luôn, mà captcha chỉ dựng lên để "lấy mẫu" khi thấy tần số request lên cao
Cách này tớ thấy khá khả thi, Google cũng dùng cách này khi có một lượng truy cập lớn bất thường từ một IP tới nó, hồi trước các kết nối đi ra từ ISP Việt Nam hay dùng Proxy chung dẫn đến Google nó chặn lại hoài và xuất ra cái Capcha bắt gõ.
Vietnamnet là trang tin phục vụ trong nước là chính, mà kết nối trong nước ít khi xuyên qua một Proxy chung nên có lẽ phương pháp này sẽ không gây phiền cho người dùng bình thường
Một điều tớ thấy lạ ở cuộc tấn công này, mạng botnet với lượng bot lên tới tầm 30-40000 IP mỗi đợt tấn công ( có thể nhiều hơn con số này rất nhiều ) này có vẻ không phải do người Việt xây dựng ( và lũ bot cũng có thể nằm ở hải ngoại luôn ), muốn xác thực chắc chỉ có nhờ anh em nào bên CMC đã chọt đám log của cuộc tấn công xác nhận thì mới đánh giá được |
|
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline |
|
|
|
| [Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS |
11/02/2011 15:52:52 (+0700) | #42 | 230984 |
ManhQuan9x
Member
|
|
0 |
|
|
Joined: 26/08/2007 14:43:31
Messages: 11
Offline
|
|
-- Mình chưa rõ nếu dùng captcha thì attacker phải tốn bao nhiêu resource để break nhưng có ai tính giùm mình xem việc tính toán để generate captcha mất bao nhiêu thời gian không?
-Độ khó của Captcha & thời gian Generate Captcha còn tuỳ thuộc vào giải thuật của captcha nữa chứ nhỉ.
-Theo mình nếu truy cập nhiều quá có thể để một thông báo bằng text thông thường vừa nhẹ vừa nhanh, nếu vẫn tiếp tục truy cập nhiều quá thì để trang trắng hoặc chặn IP |
|
|
|
|
| [Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS |
11/02/2011 15:53:57 (+0700) | #43 | 230985 |
LeVuHoang
HVA Friend
|
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
|
|
ManhQuan9x wrote:
-- Mình chưa rõ nếu dùng captcha thì attacker phải tốn bao nhiêu resource để break nhưng có ai tính giùm mình xem việc tính toán để generate captcha mất bao nhiêu thời gian không?
-Độ khó của Captcha & thời gian Generate Captcha còn tuỳ thuộc vào giải thuật của captcha nữa chứ nhỉ.
-Theo mình nếu truy cập nhiều quá có thể để một thông báo bằng text thông thường vừa nhẹ vừa nhanh, nếu vẫn tiếp tục truy cập nhiều quá thì để trang trắng hoặc chặn IP
Báo VNN không thể hiển thị text rồi dừng ở đó hoặc trang trắng được bạn. Còn ra trang text rồi wwwect về trang chủ thì cũng đã implement luôn rồi.
Giải pháp chặn IP cũng được áp dụng, mình chỉ bàn về 1 số giải pháp khác thôi. |
|
|
|
|
| [Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS |
11/02/2011 16:08:35 (+0700) | #44 | 230986 |
ManhQuan9x
Member
|
|
0 |
|
|
Joined: 26/08/2007 14:43:31
Messages: 11
Offline
|
|
Báo VNN không thể hiển thị text rồi dừng ở đó hoặc trang trắng được bạn......
...mình chỉ bàn về 1 số giải pháp khác thôi
-Ý mình là cái phần trang trắng đấy có thể để ghi ấn F5 để tải lại trang hay click lại vào link để vào lại trang hoặc độ bao nhiêu thời gian thì tự chuyển trang thì nó cũng tương tự captcha mà, để tránh máy chủ web phải xử lí dữ liệu thôi, IP + Hash có thể để chuyển về theo phiên làm việc, còn nếu truy cập quá nhiều ( là ở dạng truy cập lạ mà bình thường dùng không thể đạt được như vậy ) thì ta có thể để thông báo text và cho dừng luôn tại đó, dùng biện pháp chặn phiên làm việc tại máy chủ web, còn hơn nữa thì đã có các thiết bị khác rồi. ( hết ý kiến rồi =.=" ) |
|
|
|
|
| [Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS |
11/02/2011 19:44:32 (+0700) | #45 | 230993 |
![[Avatar]](/hvaonline/images/avatar/ad2965656853a9c15c7179f5740852cf.jpeg "[Avatar]")
|
AIO
Member
|
|
0 |
|
|
Joined: 21/02/2008 23:44:02
Messages: 127
Offline
|
|
ManhQuan9x wrote:
Báo VNN không thể hiển thị text rồi dừng ở đó hoặc trang trắng được bạn......
...mình chỉ bàn về 1 số giải pháp khác thôi
-Ý mình là cái phần trang trắng đấy có thể để ghi ấn F5 để tải lại trang hay click lại vào link để vào lại trang hoặc độ bao nhiêu thời gian thì tự chuyển trang
Những cách này chỉ nên dành cho những forum giải trí chứ thực sự không thể sử dụng cho một tờ báo điện tử như VNN. |
|
| chẳng ai nghĩ gì về mình cả |
|
|
|
| [Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS |
12/02/2011 10:03:02 (+0700) | #46 | 231004 |
|
xnohat
Moderator
|
Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
|
|
LeVuHoang wrote:
Tuy nhiên, Mr Hùng cho rằng captcha có thể vượt qua được đồng thời tốn resource để xử lý captcha. Attacker có thể tấn công vào trang check captcha để tiêu tốn resource. Ngoài ra nếu dùng recaptcha thì phải mất thời gian request lên Google ---> tốn tài nguyên.
-- Mình chưa rõ nếu dùng captcha thì attacker phải tốn bao nhiêu resource để break nhưng có ai tính giùm mình xem việc tính toán để generate captcha mất bao nhiêu thời gian không?
Theo tớ biết, thì captcha là một ảnh và để render một ảnh dĩ nhiên phải tốn thời gian và tài nguyên hơn là response lại một trang HTML rồi, nhưng mẩu ảnh này rất nhỏ nên thời gian render không lâu ( suy ra tài nguyên để render cũng không quá nhiều ) tớ làm một thử nghiệm nhỏ với PHP + GD image , xuất ra một ảnh mất 0.00023400000000007 microseconds , ảnh render trên một server load cao , sử dụng CPU Intel Xeon w5590 , RAM 3GB
Mặt khác họ không nhất thiết phải render image trên chính server họ, hiện nay có dịch vụ reCAPTCHA của Google, miễn phí mà hiệu quả cao, khả năng vượt qua reCAPTCHA này khá thấp
Các kĩ thuật vượt captcha hiện nay khá thủ công chủ yếu là dạng hybrid sử dụng máy tấn công nhưng dùng con người trong việc nhập captcha, kĩ thuật như nhận dạng chữ ( OCR ) hiện nay vẫn còn hạn chế trước các captcha phức tạp cỡ reCAPTCHA
đọc ở đây thông tin về cách Google tạo reCAPTCHA: http://www.google.com/recaptcha/security
và đây: http://www.google.com/recaptcha/digitizing |
|
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline |
|
|
|
| [Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS |
13/02/2011 00:48:55 (+0700) | #47 | 231033 |
mR.Bi
Member
|
|
0 |
|
|
Joined: 22/03/2006 13:17:49
Messages: 812
Offline
|
|
| This post is set hidden by a moderator because it may be violating forum's guideline or it needs modification before setting visible to members. |
|
| All of my life I have lived by a code and the code is simple: "honour your parent, love your woman and defend your children" |
|
|
|
| [Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS |
13/02/2011 07:31:49 (+0700) | #48 | 231036 |
|
xnohat
Moderator
|
Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
|
|
| This post is set hidden by a moderator because it may be violating forum's guideline or it needs modification before setting visible to members. |
|
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline |
|
|
|
| [Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS |
13/02/2011 11:59:50 (+0700) | #49 | 231046 |
mR.Bi
Member
|
|
0 |
|
|
Joined: 22/03/2006 13:17:49
Messages: 812
Offline
|
|
| This post is set hidden by a moderator because it may be violating forum's guideline or it needs modification before setting visible to members. |
|
| All of my life I have lived by a code and the code is simple: "honour your parent, love your woman and defend your children" |
|
|
|
| [Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS |
13/02/2011 14:33:08 (+0700) | #50 | 231052 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
Về mặt lý thuyết thì công đoạn tạo 1 captcha và lưu các ký tự để so sánh có trên captcha trước khi response một request rất ngắn. Tuy nhiên có một điểm quan trọng là web service dùng processes (fork) sẽ bị cạn kiệt tài nguyên nhanh hơn web service dùng threads rất nhiều. Dù có tạo captcha nhanh đi chăng nữa, công đoạn hình thành một response hoàn chỉnh để trả lời cho client vẫn phụ thuộc vào khả năng và tài nguyên của dịch vụ web.
Nếu chỉ đơn thuần dựa vô captcha để chống đỡ thì không chóng thì chày hệ thống cũng cạn kiệt bởi vì mỗi dịch vụ web chỉ có tối đa bao nhiêu "concurrent connections" và bao nhiêu tài nguyên giới hạn để tiếp nhận + xử lý request mà thôi. Cho nên, để bảo tồn tài nguyên, một cơ chế tiếp nhận và xử lý những requests được xem là thuộc dạng DDoS là cơ chế hết sức cần thiết.
Ví dụ, một người dùng gởi 1 request đến một trang, dịch vụ web sử dụng một số thông tin đặc thù của request ấy để nhận request đồng thời gởi 1 captcha challenge. Nếu người dùng trả lời đúng kết quả captcha, dịch vụ web sẽ phản hồi và set 1 cookie đặc thù và riêng biệt cho client ấy và cho nó đi ra, đi vô bình thường mà không cần xử lý captcha nữa. Tương tự, nếu một "client" (một IP) cũng gởi request, web service vẫn gởi ngược captcha lại để challenge nhưng nguồn request ấy không thoả mãn (sau bao nhiêu giây hoặc bao nhiêu chục giây nào đó) thì đưa IP ấy vô bảng theo dõi. Nếu client ấy vẫn tiếp tục hiện tượng trên quá 3 lần (chẳng hạn) thì IP ấy được vô "blacklist". Một cơ chế khác sẽ dựa trên bảng "blacklist" này để chuyển tất cả các requests từ IP này vô "blackhole" trong một khoảng thời gian cố định nào đó (hoặc ngẫu nhiên nào đó). Sau một khoảng thời gian, giá trị IP đó trong "blacklist" sẽ hết hạn và sẽ cho phép requests đi từ IP đó tiếp tục đi vô. Nếu nó vẫn tiếp tục vi phạm, lại tiếp tục cho nó vô "blacklist".
Cơ chế trên nhằm bảo tồn tài nguyên trên tầng application (tầng hao tốn tài nguyên nhiều nhất) bằng cách giới hạn (blacklist) những IP vi phạm, đặc biệt trong hoàn cảnh bị vài chục ngàn đến vài trăm ngàn IP tấn công. Nếu không, không có system nào chịu nổi để gánh vác công việc dồn đống trên tầng application.
Theo kinh nghiệm bản thân tớ, việc tính toán netstat để thu thập IP cho công đoạn block là cách khá thủ công và thiếu hữu hiệu bởi vì nếu chạy crontab liên tục và dùng shellscript (bash / perl hoặc cái gì đó) để parse và tách IP ra là công việc đòi hỏi tài nguyên rất lớn. Hơn nữa, trong quá trình parse danh sách netstat và hình thành một danh sách IP thì có thể hệ thống đã bị ngập ngụa, thậm chí tê liệt. Quan điểm cá nhân của tớ cho rằng cách dùng "thủ công" đọc logs, parse logs, lấy giá trị netstat, parse giá trị netstat là cách "passive" (thụ động). Thay vì vậy, tớ nghiêng về hướng tạo một cơ chế đếm rồi chuyển sang một cơ chế khác cản lọc là một cách "active" (năng động). |
|
| What bringing us together is stronger than what pulling us apart. |
|
|
|
| [Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS |
13/02/2011 16:14:29 (+0700) | #51 | 231054 |
![[Avatar]](/hvaonline/images/avatar/d1d0efd9002e947af46b063dbbb904ef.png "[Avatar]")
|
BachDuongTM
Member
|
|
0 |
|
|
Joined: 29/06/2006 17:39:39
Messages: 85
Offline
|
|
Dear all
Mình xin đề xuất một vài phản ứng của mình nếu ở trong hoàn cành VNN mọi người review nhé
1. Ngay lập tức triển khai hệ thống fitler riêng biệt
2. Chuyển hướng toàn bộ các request đó dang hệ thống này, sau khi tiến hành lọc request, kết quả sẽ được lấy từ nguyên hệ thống hiện tại đang có để hồi đáp người dùng. Mình cực lực phản đối việc hệ thống trong tình trạng quá tải DDOS lại bị đem ra trưng dụng hoặc tiến hành tuỳ chỉnh tối ưu gì đó.
3. Hệ thống VNN là web tin tức, về căn bản có thể áp dụng rất mạnh ưu thế cache nội dung, tốc độ đáp ứng hệ thống cache bao giờ cũng rất mạnh so với hệ thống web thông thường.
4. Với hệ thống fitler , tiến hành cản lọc đủ các tầng, đặt biệt tư tửong của mình rõ ràng : thà hi sinh thiểu số để cứu lấy đa số, các luật sẽ được viết sao cho việc cản lọc đảm bảo hệ thống phía sau không quá tải và số đông người dùng được khôi phục dịch vụ.
5. Việc quá tải dịch vụ DOS không bao giờ có biện pháp khắc phục triệt để, chỉ có thể phân biệt bằng các thuộc tính, và hệ thống phía sau buộc phải có khả năng mở rộng đáp ứng lựong kết nối cao so với bình thường.
Về các biện pháp cản lọc : cho dù độ phức tạp cao hay thấp, chuyên nghiệp hay thô sơ thì có 2 yếu tố then chốt cần phải ghi nhớ khi triển khai :
1. thời gian không có, triển khai gì thì triển khai , phải làm thật nhanh.
2. tốt vừa đủ dùng, dành thời gian ít ỏi thực hiện các công việc quan trọng tại thời điểm lúc đó.
|
|
|
|
|
| [Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS |
13/02/2011 23:49:15 (+0700) | #52 | 231065 |
LeVuHoang
HVA Friend
|
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
|
|
@mR.Bi: Nên nhớ rằng loại bot này có thể vượt qua được cái javascript (landing page) trên.
Như anh conmale phân tích trong post trước, lúc này VNN đang bị nghẽn ở đầu ra. Tức là gói tin đi vào 1 nhưng phải trả về đến 10.
Vậy mR.Bi thử tính xem, đoạn captcha dung lượng bao nhiêu so với nếu bot vượt qua (thực tế đã vượt qua) cái landing page, dữ liệu trả về (bao gồm cả text, images, javascript...) dù đã cache sẽ hơn bao nhiêu lần?
Thôi mình tính cho luôn nè, cái html source là khoảng 156KB. Còn gmail captcha khoảng 4KB, cho thêm vài ba cái form submit khoảng 6KB.
Như vậy, so với dữ liệu trả về client, 1 giải pháp là khoảng 156KB, 1 giải pháp khoảng 6KB, mR.Bi chọn giải pháp 156KB?
Chưa kể, nếu cái IP đó được cấp cookie từ lần đầu, những người đọc VNN hợp pháp (chiếm số lượng cũng đáng kể) sẽ không cần phải sinh captcha nữa.
Như mình hiểu ý của anh conmale là sau khi sai captcha bao nhiêu lần thì sẽ block cái IP đó lại trong 1 thời gian. mR.Bi thấy sao ;
Trở về cái netstat. mR.Bi gen captcha thì sợ tốn CPU mà netstat thì lại không quan tâm.
Mình không rõ bạn xnohat làm thế nào, chứ nếu là mình thì kết quả lấy được từ netstat đã được sort đủ để nhìn bẳng mắt rồi (như mình nói ở reply trước). Và với cái kết quả đó thì với người biết lập trình + có đầu óc thì chả việc gì phải duyệt 50000 dòng cả, chỉ duyệt tới con số cụ thể nào đó thôi chứ. Hơn nữa, cũng chả việc gì phải load 50000 dòng một lúc, sao không load từng dòng từ đầu tới cuối cho nó nhanh? Ngay khi duyệt dòng đầu xong thì IP tấn công nhiều nhất đã bị DROP rồi, resource dư dả đáng kể.
Thời gian chạy netstat với 500.000 connections sẽ mất khoảng bao lâu? Tiếp theo, sort 500.000 dòng mất tiếp bao lâu? Chắc mR.Bi chưa bao giờ gặp trường hợp netstat 1 phút mà chưa xong phải không :> ?
Sau khi sort, phải dùng tiếp các lệnh khác để lọc những dòng trùng lặp đi, parse nội dung, quả là 1 công việc tốn rất nhiều resource. Để mR.Bi có thể hình dung, hãy thử 1 ví dụ sau:
Tạo 1 database plaintext chức 1 hãy IP, kích cỡ khoảng 10GB.
Xong dùng lệnh "grep x.x.x.x data.txt" để xem nó chạy trong bao lâu và tốn bao nhiêu CPU nha. |
|
|
|
|
| [Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS |
14/02/2011 02:13:55 (+0700) | #53 | 231066 |
mrro
Administrator
|
Joined: 27/12/2001 05:07:00
Messages: 745
Offline
|
|
Các bạn thảo luận chú ý nên "mềm mỏng" một chút nha. Nói chuyện nhẹ nhàng mà vẫn đầy đủ lý lẽ thì sẽ có tính thuyết phục hơn là cùng một lý lẽ nhưng lại "châm chích" người đọc.
Trước tiên phải nói là cảm ơn các bạn ở VNG/VTC/VNN (gọi là team VNN) đã rất thiện chí tổ chức một buổi seminar để chia sẻ với tất cả chúng ta về những gì các bạn ấy đã làm trong thời gian qua. Mặc dù mình không có điều kiện đến nghe, nhưng mà theo thông tin mà bạn LeVuHoang tường thuật lại, thì mình thấy giải pháp của team VNN khá là thú vị ở chỗ mặc dù đơn giản nhưng vẫn hiệu quả.
Mình có vài thắc mắc sau đây, không biết có bạn nào đi nghe rồi, hoặc là có bạn nào ở team VNN rành thì trả lời giúp mình:
1. Cơ chế tạo cookie là như thế nào? Cái này mình có đoán ở trên, nhưng giờ nếu có câu trả lời chính xác thì sẽ hay hơn.
2. Cơ chế tính toán số lượng kết nối thông qua netstat là như thế nào?
3. Cơ chế giới hạn kết nối của thiết bị đứng trước nginx là như thế nào?
4. Ngoài ra, việc chia tải từ ngoài đi vào, rồi giữa các lớp phòng thủ, và cuối cùng đến ứng dụng bên trong được thực hiện ra sao? Bạn nào rành thì mô tả giùm mình khi một kết nối đi vào, thì nó sẽ được xử lý trọn bộ ra sao.
-m |
|
http://tinsang.net
TetCon 2013 http://tetcon.org
Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html |
|
|
|
| [Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS |
14/02/2011 04:25:17 (+0700) | #54 | 231068 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
Nhận xét của Mr.Bi có điểm lý thú đáng phân tích.
Và với cái kết quả đó thì với người biết lập trình + có đầu óc thì chả việc gì phải duyệt 50000 dòng cả, chỉ duyệt tới con số cụ thể nào đó thôi chứ. Hơn nữa, cũng chả việc gì phải load 50000 dòng một lúc, sao không load từng dòng từ đầu tới cuối cho nó nhanh? Ngay khi duyệt dòng đầu xong thì IP tấn công nhiều nhất đã bị DROP rồi, resource dư dả đáng kể.
Đây là lối tiếp cận "small sampling" để tạo hiệu suất trong việc thu thập kết quả. Tuy nhiên, "sample" càng nhỏ thì độ chính xác càng thấp và dù có nhanh về mặt hiệu suất đi chăng nữa cũng không thoả mãn tính xác thực. Trong hoàn cảnh bị vài chục ngàn đến vài trăm ngàn IP dội mà chỉ load một số dòng log nào đó để lấy sample thì bị sót quá nhiều và con số "bị sót" này có thể dễ dàng "dập" nạn nhân tê liệt nhanh chóng. Nếu lấy từng dòng và DROP thì "false positive" quá cao vì không có gì để xác thực rằng IP ấy vi phạm hết. Ít ra phải đếm và xác nhận rằng IP đó thật sự gởi n SYNs trong n SECONDs thì hoạ may.
Xét về mặt kỹ thuật, netstat chỉ lấy thông tin các sockets hiện đang có mặt ngay tại một thời điểm cụ thể nào đó với "state" nào đó và nếu chạy netstat cho tình trạng hiện có 10 ngàn SYN (chẳng hạn) thì thời gian hoàn tất có lẽ mất ít nhất phải vài chục giây (đó là chưa kể nếu hệ thống đang trì trệ thật sự thì có thể mấy nhiều phút, thậm chí không thể lấy kết quả về được). Trong khoảng thời gian chờ đợi để lấy kết quả netstat cho đến thời gian thực thi một công cụ nào đó để cản lọc thì có thể đã có hàng chục ngàn, thậm chí hàng trăm ngàn SYN đã tràn vô ngập ngụa rồi. Ở tình trạng này, người đối phó luôn luôn phải chạy theo sau và ứng phó "bằng tay" (đó là chưa kể những sai số và "chém lầm").
Trong hoàn cảnh bị DDoS, thời gian và tài nguyên có sẵn cực kỳ quý giá. Bởi vậy, kernel cần được optimise tối đa để giảm thiểu tình trạng "socket lingering" nhằm triệt tiêu càng nhanh càng tối để "vắt" và cứu từng chút tài nguyên. Những cơ chế và tác động trên application layer càng ít càng tốt (đó là lý do tại sao phải cứu web service và CSDL khỏi bị đánh trực tiếp) và nếu tầng này có bị đánh thì cũng ráng gồng lưng chịu để thu thập thông tin gởi ngay cho phần cứu ứng (firewall chẳng hạn) ra tay ngay lặp tức.
nginx rất bền và rất hữu hiệu trong việc cản lọc những requests vượt quá số "thresholds" nào đó. Tuy nhiên, cho đến nay chưa có biện pháp "out of the box" nào giúp nginx tương tác với mới phần cứu ứng (như firewall) để thực hiện cản lọc trên tầng IP. Muốn áp dụng nginx có lẽ phải hack source của nginx để tìm cách bắt nó phải làm gì đó hơn là gì "deny" mỗi request đi quá threshold. Bởi vậy, chọn lựa cá nhân tớ là dùng Apache với "worker" MPM và cơ chế "variables" của mod_security thế hệ 2.x để thực hiện công việc tạo blacklist năng động giúp cho iptables bên dưới ra tay. Tiện hơn nữa là module "recent" của netfilter tự động delegate và thêm bớt các IP vi phạm (hoặc hết vi phạm) một cách hữu hiệu ngay tại kernel (chớ không phải ở user space). Đây là điểm tối quan trọng trong việc nhanh chóng xử lý. |
|
| What bringing us together is stronger than what pulling us apart. |
|
|
|
| [Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS |
14/02/2011 08:51:31 (+0700) | #55 | 231075 |
![[Avatar]](/hvaonline/images/avatar/8473446b734702b73ac2972b7bbf7bf7.jpg "[Avatar]")
|
Phó Hồng Tuyết
Member
|
|
0 |
|
|
Joined: 20/04/2007 20:02:10
Messages: 275
Location: Nơi Sâu Thẳm Tâm Hồn
Offline
|
|
Cách của mình cũ và không có hiệu quả cao.
điểm yếu của bot là: khi nhận được lệnh tấn công sẽ tấn công liên tục theo một kịch bản dựng trước, các thông số có thể thay đổi ngẫu nhiên nhưng có một thứ sẽ không thay đổi đó là tần số request liên tục theo thời gian được tăng lên.
đối với người dùng thì họ sẽ chọn một chuyên mục nào đó để đọc, thời gian họ đọc nhanh nhất là 10s cho một chuyên mục nhỏ.
* sau khi đã phân tải và chức năng cho từng server một. căn cứ vào số kết nối cần thiết vào một server để load trọn vẹn một trang hoặc các thông tin cần thiết mình có được tham số limit cho từng ip khi kết nối vào server.
tại mỗi một mình viết một đoạn script dùng netstat cho hiện các kết nối, trọng điểm của mình là ESTABLISHED của một ip, căn cứ vào Timeout để lấy mốc thời gian so sánh.
Việc so sánh được chia ra làm 3 phần.
phần 1 : ghi lại các ip có số kết nối lớn hơn xxx số kết nối mình muốn. save lại thành một files abc.log.
phần 2: giây thứ 20 mình dựa vào log abc.log để check xem số kết nối nằm trong khoảng nào. nếu kết nối với một số request bất thường ==> Drop, nếu nằm trong độ nghi ngờ thì ghi tiếp vào 1 files abcd.log
Phần 3: giây thứ 30 căn cứ vào Timeout và số kết nối để quyết định 1 ip nào đó có DROP hay không.
Đối với các bot tấn công với cường độ thấp vượt qua được firewall thì mình dựa vào tcpdump để phân tích tìm ra những điểm chung của bot, từ đó đề ra các rules phù hợp.
kết hợp giữa một trang wwwect + mod_security mình lợi dụng chức năng refer để filter cho một IP.
|
|
| "Một người thành công không có ý nghĩ đổ thừa thất bại do ...." |
|
|
|
| [Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS |
14/02/2011 19:12:21 (+0700) | #56 | 231106 |
![[Avatar]](/hvaonline/images/avatar/a7c6d9a58a47a1e771142c96f76a128c.jpg "[Avatar]")
|
canh_nguyen
Elite Member
|
|
0 |
|
|
Joined: 23/08/2004 18:55:09
Messages: 775
Location: Broken dream
Offline
|
|
| Anh LeVuHoang: Landing page là trang nào thế ạ |
|
|
|
|
| [Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS |
15/02/2011 21:38:05 (+0700) | #57 | 231144 |
LeVuHoang
HVA Friend
|
Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
|
|
Dear all,
Trong 1 lúc không kiềm chế mình đã có những lời không tốt đối với diễn giả.
Mình xin lỗi diễn giả nói trên, hy vọng được trao đổi tiếp với mọi người ở chủ đề sau.
Thank all |
|
|
|
|
| [Analyzing] VIETNAMNET - Vài góp ý nhỏ trong việc chống DDoS |
16/02/2011 07:09:43 (+0700) | #58 | 231156 |
![[Avatar]](/hvaonline/images/avatar/5da48026b54b6eeb6062817caa7c30ea.jpg "[Avatar]")
|
PHCM
Member
|
|
0 |
|
|
Joined: 25/02/2004 11:43:18
Messages: 13
Offline
|
|
không biết sao mà thằng Vietnamnet bị tấn công liên tục vậy không biết nữa, đội ngũ kỹ thuật không khắc phục được hay sao thế nhỉ. Sáng nay vào đọc lại thấy Tuần Việt Nam bị tấn công.
Thông báo: Tuần Việt Nam bị tin tặc tấn công
Cập nhật lúc 15/02/2011 04:00:00 PM (GMT+7)
8h45 sáng nay (15/2), chuyên trang Tuần Việt Nam thuộc Báo VietNamNet bị tin tặc tấn công.
Cùng một thời điểm hàng trăm tin bài đã bị tin tặc thay thế bằng láthư mạo danh tập thể đảng viên VietNamNet bôi nhọ lãnh đạo báo. Sau khi bị hacker tấn công 10 phút, Tuần Việt Nam đã được tách khỏi Internet để khắc phục.
Đến 14h30 chiều 15/2, Tuần Việt Nam đã trở lại hoạt động bình thường. Đề nghị bạn đọc khi truy cập Tuần Việt Nam http://tuanvietnam.vietnamnet.vn hãy bấm phím Ctrl F5 để đọc tin bài mới.
Trong vòng 4 tháng qua, VietNamNet đã hứng chịu 5 cuộc tấn công, trong đó có những cuộc tấn công D-Dos với quy mô chưa từng có.
Chúng tôi đang nỗ lực cao nhất để tiếp tục phục vụ quý độc giả. Xin tỏ lòng tri ân những tình cảm bạn đọc dành cho VietNamNet và kính mong bạn đọc thông cảm, tiếp tục đồng hành cùng VietNamNet.
Trân trọng,
VietNamNet
|
|
|
|
|
|
![[Rule]](/hvaonline/templates/viet/images/icon_mini_rule.gif "[Rule]"){kind=icon}
![[Home]](/hvaonline/templates/viet/images/icon_mini_groups.gif "[Home]"){kind=icon}
![[Portal]](/hvaonline/templates/viet/images/icon_mini_portal.gif "[Portal]"){kind=icon}
![[Members]](/hvaonline/templates/viet/images/icon_mini_members.gif "[Members]"){kind=icon}
![[Statistics]](/hvaonline/templates/viet/images/icon_mini_stats.gif "[Statistics]"){kind=icon}
![[Search]](/hvaonline/templates/viet/images/icon_mini_search.gif "[Search]"){kind=icon}
![[Reading Room]](/hvaonline/templates/viet/images/icon_mini_book.gif "[Reading Room]"){kind=icon}
![[Register]](/hvaonline/templates/viet/images/icon_mini_register.gif "[Register]"){kind=icon}
Register![[Login]](/hvaonline/templates/viet/images/icon_mini_login.gif "[Login]"){kind=icon}
Login [
Những thảo luận khác
![[Profile]](/hvaonline/templates/viet/images/en_US/icon_profile.gif "[Profile]"){kind=icon}
![[PM]](/hvaonline/templates/viet/images/en_US/icon_pm.gif "[PM]"){kind=icon}
![[Up]](/hvaonline/templates/viet/images/en_US/icon_up.gif "[Up]"){kind=icon}
![[Print Copy]](/hvaonline/templates/viet/images/en_US/icon_print.gif "[Print Copy]"){kind=icon}
![[ICQ]](/hvaonline/templates/viet/images/icon_icq_add.gif "[ICQ]"){kind=icon}
![[Email]](/hvaonline/templates/viet/images/icon_email.gif "[E-mai]"){kind=icon}
![[WWW]](/hvaonline/templates/viet/images/icon_www.gif "[www]"){kind=icon}
![[Yahoo!]](/hvaonline/templates/viet/images/icon_yim.gif "[YIM]"){kind=icon}
![[MSN]](/hvaonline/templates/viet/images/icon_msnm.gif "[MSN]"){kind=icon}
![[Avatar]](/hvaonline/images/avatar/110752dad9d4c7d380771c4e43f698f4.jpg "[Avatar]")
![[digg]](/hvaonline/templates/viet/images/digg.gif "[digg]")
![[delicious]](/hvaonline/templates/viet/images/delicious.gif "[delicious]")
![[google]](/hvaonline/templates/viet/images/google.gif "[google]")
![[yahoo]](/hvaonline/templates/viet/images/yahoo.gif "[yahoo]")
![[technorati]](/hvaonline/templates/viet/images/technorati.gif "[technorati]")
![[reddit]](/hvaonline/templates/viet/images/reddit.gif "[reddit]")
![[stumbleupon]](/hvaonline/templates/viet/images/stumbleupon.gif "[stumbleupon]")