English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Bị DDoS rất lạ  XML
  [Discussion]   Bị DDoS rất lạ 14/09/2012 22:32:21 (+0700) | #1 | 269400
TND.VN
Member
[Minus]    0    [Plus]
Joined: 18/03/2011 08:27:20
Messages: 24
Offline
[Profile] [PM]
Con WebServer đặt ở CTY mình bị ddos thế này. Router thì lúc nào cũng 50 -80 % trong khi đó cpu của server chỉ có 0-1%. Bình thường các trận DDoS kiểu http flooder thì cpu máy chủ 100% router k hề hấn gì(cái này thì khắc phục đc).

K hiểu có phải bị chơi DrDoS ko ? mình up 1 đoạn wireshark lên cho mọi người cùng ngâm cứu nhé smilie

http://www.mediafire.com/?9ty39dl2bn7h4m0
[Up] [Print Copy]
  [Discussion]   Bị DDoS rất lạ 19/09/2012 15:08:24 (+0700) | #2 | 269505
[Avatar]
 xnohat
Moderator
Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]

TND.VN wrote:
Con WebServer đặt ở CTY mình bị ddos thế này. Router thì lúc nào cũng 50 -80 % trong khi đó cpu của server chỉ có 0-1%. Bình thường các trận DDoS kiểu http flooder thì cpu máy chủ 100% router k hề hấn gì(cái này thì khắc phục đc).

K hiểu có phải bị chơi DrDoS ko ? mình up 1 đoạn wireshark lên cho mọi người cùng ngâm cứu nhé smilie

http://www.mediafire.com/?9ty39dl2bn7h4m0 


Sniff các gói tin trên router ( nếu có thể ) để xem các gói tin chạm vào router và bị chặn lại là dạng gói tin gì. Nhiều khả năng ( theo dự đoán của tôi ) bồ đang bị flood bởi các gói DNS reply bởi kĩ thuật flood dùng DNS Amplify

iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
  [Discussion]   Bị DDoS rất lạ 19/09/2012 18:22:46 (+0700) | #3 | 269511
[Avatar]
 sasser01052004
Member
[Minus]    0    [Plus]
Joined: 20/09/2010 01:27:29
Messages: 150
Location: /home/sasser
Offline
[Profile] [PM]
sao nhiều continution thế nhỉ
Ask me why, don't ask me what.
[Up] [Print Copy]
  [Discussion]   Bị DDoS rất lạ 20/09/2012 16:03:52 (+0700) | #4 | 269554
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Dạng này hơi lạ. Toàn là Transport Protocol Data Unit Packet (TPKT) packets. Xem như một dạng packets sử dụng cho VoIP. Không thấy dấu hiệu bị DDoS dựa theo tính chất của TPKT packets ở đây vì packet fields, packet size không có gì bất thường.

Chắc chắn không phải DrDoS vì không thấy hàng loạt ACK packets.

Xem thử trên máy chủ có xài cái gì đụng với VoIP không? Nếu có, coi chừng software đó bị bug.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Discussion]   Bị DDoS rất lạ 20/09/2012 16:08:27 (+0700) | #5 | 269555
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Xem kỹ lại thì thấy 10.0.0.13 có source port toàn là 3389. Có thể server này có cung cấp (mở) RDP service và thằng ông nội 10.0.0.66 khởi điểm connects đến cổng 3389 của máy 10.0.0.13.

Có thể đây là một dạng exploit dùng tool như metasploit chẳng hạn.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|