Ý tưởng chống DDoS liệu có khả thi?

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận thâm nhập

Ý tưởng chống DDoS liệu có khả thi?

[Question] Ý tưởng chống DDoS liệu có khả thi?	05/07/2010 09:15:52 (+0700) \| #1 \| 214657

bluearrow
Member

Joined: 23/03/2008 22:40:53
Messages: 8
Offline

Mình và một newbie trong vấn đề bảo mật mạng, trước mắt chỉ biết quản trị mạng dựa trên nền Windows thôi. Về việc bảo mật cho website vẫn chưa có một chút kinh nghiệm thực tế nào cả.
Về việc chống DDoS, mình có một ý tưởng, không biết có khả thi không, mong các bạn cho ý kiến nhé!
Về bản chất, botnets truy cập thường xuyên vào trang web của mình trong thời gian dài dẫn đến nghẽn băng thông. Vậy trong trường hợp đó là một diễn đàn, liệu chúng ta có thể thiết lập một permission rằng "nếu một IP truy cập thường xuyên vào một địa chỉ của diễn đàn trong thời gian dài (1 giờ, 2 giờ...) mà không đăng nhập hoặc đăng ký thì IP đó sẽ bị khoá).
Mình không biết y tưởng này có khả thi không, nếu có thì phải thực hiện như thế nào? Bởi vì chúng ta gần như phải chấp nhận tình trạng sống chung với DDoS mà không có cách nào ngăn chặn triệt để cả.
Thân!

[Question] Ý tưởng chống DDoS liệu có khả thi?	05/07/2010 09:37:23 (+0700) \| #2 \| 214660

nhungnguoiban19852002
Member

Joined: 02/07/2005 08:34:38
Messages: 50
Offline

Bài viết này sao không thấy ai lên tiếng vậy?

[Question] Ý tưởng chống DDoS liệu có khả thi?	05/07/2010 09:47:42 (+0700) \| #3 \| 214663

Ikut3
Elite Member

Joined: 24/09/2007 23:47:03
Messages: 1429
Location: Nhà hát lớn
Offline

"nếu một IP truy cập thường xuyên vào một địa chỉ của diễn đàn trong thời gian dài (1 giờ, 2 giờ...) mà không đăng nhập hoặc đăng ký thì IP đó sẽ bị khoá).

IP ở VN mình thường là IP tĩnh hay động mà nghĩ đến việc khoá ?
Việc ép buộc người dùng phải đăng kí hay đăng nhập là điều không hay vì như vậy người vào trang bạn sẽ có cảm giác không thoải mái

Mình nghĩ bạn nên tìm hiểu các giải pháp chống DDoS ở HVA trước rồi hãy nghĩ đến 1 giải pháp cho hoàn chỉnh

[Question] Ý tưởng chống DDoS liệu có khả thi?	05/07/2010 14:26:02 (+0700) \| #4 \| 214688

raulgonzalez
Member

Joined: 25/11/2002 02:36:56
Messages: 23
Offline

bluearrow wrote:

Về bản chất, botnets truy cập thường xuyên vào trang web của mình trong thời gian dài dẫn đến nghẽn băng thông.
Thân!

Bạn nhận diện dấu hiệu ("bản chất" ) của DDOS chưa đúng. Vấn đề nằm ở chỗ gửi nhiều gói tin, mở nhiều connection.... trong thời gian ngắn, chứ không phải truy cập trong thời gian dài. Nếu mấy trang báo mạng mà làm vậy thì dẹp tiệm hết.
Thêm nữa, giải pháp nhận diện dựa vào tình trạng đăng nhập thì phải ứng dụng ở trên tầng application, mà như vậy thì tốn nhiều tài nguyên hơn chặn ở tầng dưới -> không đem lại hiệu quả nhiều nhất.

[Question] Ý tưởng chống DDoS liệu có khả thi?	05/07/2010 14:36:58 (+0700) \| #5 \| 214691

Jino_Hoang
Member

Joined: 09/04/2009 13:58:10
Messages: 239
Location: Mạng Internet
Offline

raulgonzalez wrote:

bluearrow wrote:

Về bản chất, botnets truy cập thường xuyên vào trang web của mình trong thời gian dài dẫn đến nghẽn băng thông.
Thân!

Bạn nhận diện dấu hiệu ("bản chất" ) của DDOS chưa đúng. Vấn đề nằm ở chỗ gửi nhiều gói tin, mở nhiều connection.... trong thời gian ngắn, chứ không phải truy cập trong thời gian dài. Nếu mấy trang báo mạng mà làm vậy thì dẹp tiệm hết.
Thêm nữa, giải pháp nhận diện dựa vào tình trạng đăng nhập thì phải ứng dụng ở trên tầng application, mà như vậy thì tốn nhiều tài nguyên hơn chặn ở tầng dưới -> không đem lại hiệu quả nhiều nhất.

Bạn nói đúng, việc áp dụng cho server thì mình không nói, cái mình nói đến là chống DDoS trên tầng App.
Đa số những giải pháp mà chúng ta dùng bây giờ là tạo file .htacess , một file chứa code lock IP....
Nhưng mà đó là site của ta còn nếu nó tấn công server thì lại là một điều hoàn toàn khác vì site của ta có chống kiểu gì cũng sẽ die mà thôi.
Còn về "Kí sự DDoS" của HVA thì mình chưa đọc qua lần nào. Không biết có hay không. Mình nghĩ là có nền tảng về mạng rồi mình mới học cái đó. Thực ra thì mình chưa có học nhiều về mạng lên đọc cũng chẳng hiểu gì. Mình khuyên các bạn newbies nếu chưa hiểu kĩ về Network thì đừng gối đầu giường mấy bài viết đó.

Đã Trở Lại - Ăn Hại Hơn Trước

[Question] Ý tưởng chống DDoS liệu có khả thi?	06/07/2010 06:24:44 (+0700) \| #6 \| 214736

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

bluearrow wrote:

Mình và một newbie trong vấn đề bảo mật mạng, trước mắt chỉ biết quản trị mạng dựa trên nền Windows thôi. Về việc bảo mật cho website vẫn chưa có một chút kinh nghiệm thực tế nào cả.
Về việc chống DDoS, mình có một ý tưởng, không biết có khả thi không, mong các bạn cho ý kiến nhé!
Về bản chất, botnets truy cập thường xuyên vào trang web của mình trong thời gian dài dẫn đến nghẽn băng thông. Vậy trong trường hợp đó là một diễn đàn, liệu chúng ta có thể thiết lập một permission rằng "nếu một IP truy cập thường xuyên vào một địa chỉ của diễn đàn trong thời gian dài (1 giờ, 2 giờ...) mà không đăng nhập hoặc đăng ký thì IP đó sẽ bị khoá).
Mình không biết y tưởng này có khả thi không, nếu có thì phải thực hiện như thế nào? Bởi vì chúng ta gần như phải chấp nhận tình trạng sống chung với DDoS mà không có cách nào ngăn chặn triệt để cả.
Thân!

Về mặt ý tưởng thì đúng. Hay nói một cách khác, nếu một (hoặc nhiều) IP liên tục "gõ" vô trang web của mình, điều này chứng tỏ nó không phải là nguồn truy cập bình thường của người dùng bình thường cho nên mình cần tìm cách hạn chế nó. Tuy nhiên, trên mặt ứng dụng thực tế thì đoạn màu đỏ có vấn đề.

- Nếu trang web bị botnets tấn công ở cường độ cao thì băng thông sẽ ngập ngụa và chẳng còn ai có thể duyệt trang web ấy. Điều này có thể dẫn tới tình trạng máy chủ host trang web ấy bị chết cứng.

- Không cần đợi "một thời gian dài", chỉ cần một lượng DDoS đủ mạnh và đủ dồn dập thì vài phút cũng đủ khiến cho máy chủ hoàn toàn tê liệt. Bởi thế, việc "đợi" xem IP nào đó có đăng nhập hay không là việc hầu như không khả thi vì lúc ấy máy chủ chẳng còn tài nguyên để thực hiện việc này.

Chống DDoS là công việc trải dài từ router lên tận ứng dụng web chớ không riêng gì một tầng nào đó trong khoảng ứng dụng nào đó bởi vì nếu bị DDoS đúng nghĩa thì:

1. Tầng network sẽ bị ngập ngụa vì packets đi vô quá nhanh và quá nhiều. Đường dẫn sẽ bị bão hoà và không có gói tin bình thường của người dùng bình thường có thể chen chân để vô tới trang web được.

2. Máy chủ và hệ điều hành đang host trang web ấy sẽ bị "bận rộn" để "phục vụ" các gói tin dùng để tấn công kia đến mức tài nguyên sẽ cạn kiệt (hết CPU và hết memory).

3. Tác động của DDoS đến tầng ứng dụng (web và CSDL) nhiều và nhanh đến nỗi nó vượt xa sức chịu đựng bình thường (về cả mặt hardware và cấu hình hoạt động của phần mềm).

Chừng nào còn nghĩ đến chuyện chuyện .htaccess hay các biện pháp "chống đỡ" trên tầng ứng dụng web, chừng ấy vẫn sẽ là nạn nhân thê thảm của DDoS.

What bringing us together is stronger than what pulling us apart.

[Question] Ý tưởng chống DDoS liệu có khả thi?	06/07/2010 09:36:05 (+0700) \| #7 \| 214761

bluearrow
Member

Joined: 23/03/2008 22:40:53
Messages: 8
Offline

Với một newbie như mình mà được các bạn trả lời nhiệt tình như vậy (chứ không phang chém dồn dập như nhiều nơi) thì ... cảm ơn các bạn nhiều lắm!
Về phương diện bảo mật chưa có kinh nghiệm nhiều, cũng chưa có con đường học tập rõ ràng (Bài ký sự DDoS thú thiệt là hiểu chết liền). Chỉ biết vừa đi vừa mò thôi. Sắp tốt nghiệp NIIT rồi, chuẩn bị đi làm nên thiết nghĩ cần bổ sung (rất) nhiều thứ.
Cám ơn các bạn đã chỉ dẫn!

[Question] Ý tưởng chống DDoS liệu có khả thi?	07/07/2010 16:09:05 (+0700) \| #8 \| 214843

thang1812
Member

Joined: 28/07/2008 23:30:51
Messages: 2
Offline

Ừmh, chống DDos chưa bao h là 1 vấn đề dễ hiểu, dễ giải quyết cả, kể cả đối với những người pro về quản trị mạng. Nhưng mình thấy giải pháp của bạn cũng có phần đúng. Và cơ bản thì chúng ta cũng đang dùng những phương pháp "gần như là thế" để chống lại nạn ddos. Hi vọng bạn tích luỹ được nhiều kinh nghiệm smilie

Go to:

Users currently in here
1 Anonymous