English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Hỏi về cơ chế anti DDoS của HVA  XML
  [Question]   Hỏi về cơ chế anti DDoS của HVA 29/09/2011 00:05:03 (+0700) | #1 | 247883
tungcntttn
Member
[Minus]    0    [Plus]
Joined: 26/08/2011 11:52:51
Messages: 14
Offline
[Profile] [PM]
- Nếu máy em đang là một zombie trong mạng botnet ddos vào HVA thì em có thể truy cập vào HVA được hay không ? Nếu có thì cơ chế nào giúp HVA làm được điều đó?
[Up] [Print Copy]
  [Question]   Hỏi về cơ chế anti DDoS của HVA 29/09/2011 02:36:21 (+0700) | #2 | 247889
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

tungcntttn wrote:
- Nếu máy em đang là một zombie trong mạng botnet ddos vào HVA thì em có thể truy cập vào HVA được hay không ? Nếu có thì cơ chế nào giúp HVA làm được điều đó?
 


Nếu máy của bồ là zombie và nó liên tục DDoS vào HVA thì bồ không thể truy cập đến HVA. Nếu máy của bồ và một số máy khác share chung một IP, có thể các máy khác cũng bị ảnh hưởng (không truy cập được đến HVA) nếu như tầng số DDoS đi từ IP đó quá cao. Firewall ở tầng IP chỉ có thể detect nguồn IP và theo dõi tầng số DDoS để xử lý. Nếu tầng số DDoS đi từ IP đó không quá cao, cơ hội các máy khác dùng các loại trình duyệt khác và có những đặc điểm khác (với máy của bồ) vẫn có thể có cơ hội truy cập vào HVA.

Cơ chế nào của HVA? HVA có nhiều máy chủ hoạt động như các reverse proxies dùng để cân bằng tải và mỗi máy chủ được hai tầng tường lửa bảo vệ: tường lửa trên tầng IP (layer 3) và tường lửa trên tầng application (layer 7). Cả hai tầng bảo vệ đều dựa trên tầng số truy cập đi từ một IP trong một khoản thời gian nhất định nào đó. Tuy nhiên, tường lửa ở tầng application còn có thể kiểm tra xuất truy cập và các đặc điểm của mỗi request đi từ một IP nào đó để quyết định cản lọc cụ thể hơn và chính xác hơn.

PS: bài trả lời này có nhiều thuật ngữ và khái niệm nặng về kỹ thuật mạng. Bởi vậy, nếu không hiểu thì nên tìm hiểu kỹ hơn về kỹ thuật mạng.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Hỏi về cơ chế anti DDoS của HVA 29/09/2011 21:18:43 (+0700) | #3 | 247936
[Avatar]
 jerrykun
Member
[Minus]    0    [Plus]
Joined: 25/02/2011 18:01:09
Messages: 41
Location: error_log
Offline
[Profile] [PM]
Hi anh Conmale,

Em có thắc mắc như sau mong anh giải đáp giúp em.

Hiện công ty em có 1 website tin tức ( sử dụng HĐH CentOS,Apache,PHP,MySQL,Mod_security 2.x) hosting ở 1 datacenter. Mạng LAN trong công ty có khoảng 100 máy con, share chung 1 public IP để truy cập Internet. Gần đây, Em kiểm tra error_log thì thấy mod_security báo mã lỗi 403 Forbidden cho request có dạng http://mywebsite.com/index.php?../etc/paswd . Qua quá trình tìm hiểu, em thấy request trên gửi từ public IP share của công ty em.

Có cách nào mình tìm được IP của máy con đã gửi request trên không anh? Mong anh giải đáp giúp em.

À, em chỉ có quyền admin trên server web, không có quyền hạn của mạng LAN công ty.
Em cảm ơn.
Health, Knowledge, Family has the same value !
[Up] [Print Copy]
  [Question]   Hỏi về cơ chế anti DDoS của HVA 30/09/2011 07:45:24 (+0700) | #4 | 247943
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

jerrykun wrote:
Hi anh Conmale,

Em có thắc mắc như sau mong anh giải đáp giúp em.

Hiện công ty em có 1 website tin tức ( sử dụng HĐH CentOS,Apache,PHP,MySQL,Mod_security 2.x) hosting ở 1 datacenter. Mạng LAN trong công ty có khoảng 100 máy con, share chung 1 public IP để truy cập Internet. Gần đây, Em kiểm tra error_log thì thấy mod_security báo mã lỗi 403 Forbidden cho request có dạng http://mywebsite.com/index.php?../etc/paswd . Qua quá trình tìm hiểu, em thấy request trên gửi từ public IP share của công ty em.

Có cách nào mình tìm được IP của máy con đã gửi request trên không anh? Mong anh giải đáp giúp em.

À, em chỉ có quyền admin trên server web, không có quyền hạn của mạng LAN công ty.
Em cảm ơn.  


Nếu request IP chính là public IP thì hầu như không thể trace. Bồ có thể configure routing / nat để máy bên trong LAN đi trực tiếp đến web site xuyên qua internal interface thì mới có thể ghi nhận được private IP để xác định máy nào đã làm việc này.

Có một cách khác khá mong manh là dựa trên tính chất của "user-agent" của request đã thực hiện cái "etc/passwd" kia để xác định máy nào trong LAN. Nếu user-agent đó có đặc điểm nào đó thì có thể truy tìm được. Muốn tìm giá trị user-agent của request đó thì phải dựa vào timestamp trên error_log rồi truy ngược lại trên access_log.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|