Dạo thời gian 2 tuần trở lại đây 2sao được đưa sang 1 máy chủ khác và hoạt động cũng chập chờn không kém. Theo thông báo của ban biên tập 2sao là chỉ các user sử dụng dịch vụ của ISP FPT vào không được và mất ổn định. Đối với các ISP khác thì 2 sao hoạt động bình thường
 

Thanks anh conmale vì đã bỏ công ra phân tích hết sức cụ thể và thuyết phục.
Và em cũng có một số thắc mắc sau:
Theo như những gì anh đã đưa ra thì dường như vietnamnet không có biện pháp gì hữu hiệu để chống lại DDoS ( hay nói cách khác là đưa lưng ra ăn đấm)??
Em thử đưa 1 url sai vào trình duyệt (vietnamnet.vn/abc) thì nhận được kết quả là một cái IIS.
Trong trường hợp vnn sử dụng windows server và IIS thì có cách nào ngăn chặn DDOS hiệu quả không?
 

Em cũng có đọc qua một số giải pháp cho việc chống DDoS và cũng thấy 1 số cái khá hay thí dụ như:
http://blog.unixy.net/2010/08/the-penultimate-guide-to-stopping-a-ddos-attack-a-new-approach/

Mọi người có thể cùng đọc qua và thảo luận xem giả sử áp dụng giải pháp này cho vnn thì liệu có stop được DDOS kiểu này không?
 

Các forum hay sử dụng 1 trang đệm trứoc khi vào trang chính để chống DDOS, sao VNN ko dùng nhỉ? 

Trên thực tế, ngay trong tình trạng "slashdot" (có nghĩa là có số lượng người dùng hoàn toàn hợp lệ) cùng duyệt vnn quá nhiều đi chăng nữa, không thể có tình trạng 300 ngàn IP cùng ập vô 1 lượt bởi vì người dùng bình thường duyệt và đọc. Bởi vậy, request rate (cho mỗi giây hoặc mỗi phút) đi từ mỗi IP rất thấp (ví dụ, không thể có chuyện người đọc bài báo nhanh đến độ cứ mỗi 5 giây đọc hết 1 trang được). Từ logic này mới hình thành ra cái gọi là: packet rate. Packet rate này là thước đo gần như trung thực cho nhu cầu đọc báo của những độc giả (là con người) và những gì đi quá packet rate thì tạm coi là bất hợp lệ. Nếu vậy, giả sử packet rate được xem hợp lý là 5 giây / 1 request (chẳng hạn) và mỗi IP trong 300 ngàn IP có người bấm, có người đọc, có người không bấm trong 10 phút...v...v... thì tính ra 300000 / 5 giây cũng chỉ mới có 60 ngàn IP cùng gởi request 1 lúc. Số còn lại (240 ngàn IP) có thể thuộc dạng zombie và có thể được triệt tiêu. Nói một cách khác, bất cứ IP nào gởi quá 1 packet trong 5 giây và tình trạng này kéo dài liên tục trong 60 giây thì đó chính là "chàng DDoS" chớ không chạy đi đâu được hết.
 

conmale wrote:

Trên thực tế, ngay trong tình trạng "slashdot" (có nghĩa là có số lượng người dùng hoàn toàn hợp lệ) cùng duyệt vnn quá nhiều đi chăng nữa, không thể có tình trạng 300 ngàn IP cùng ập vô 1 lượt bởi vì người dùng bình thường duyệt và đọc. Bởi vậy, request rate (cho mỗi giây hoặc mỗi phút) đi từ mỗi IP rất thấp (ví dụ, không thể có chuyện người đọc bài báo nhanh đến độ cứ mỗi 5 giây đọc hết 1 trang được). Từ logic này mới hình thành ra cái gọi là: packet rate. Packet rate này là thước đo gần như trung thực cho nhu cầu đọc báo của những độc giả (là con người) và những gì đi quá packet rate thì tạm coi là bất hợp lệ. Nếu vậy, giả sử packet rate được xem hợp lý là 5 giây / 1 request (chẳng hạn) và mỗi IP trong 300 ngàn IP có người bấm, có người đọc, có người không bấm trong 10 phút...v...v... thì tính ra 300000 / 5 giây cũng chỉ mới có 60 ngàn IP cùng gởi request 1 lúc. Số còn lại (240 ngàn IP) có thể thuộc dạng zombie và có thể được triệt tiêu. Nói một cách khác, bất cứ IP nào gởi quá 1 packet trong 5 giây và tình trạng này kéo dài liên tục trong 60 giây thì đó chính là "chàng DDoS" chớ không chạy đi đâu được hết.
 

"Bạn có thể đọc nhanh bằng tốc độ ánh sáng" của HVA đây phải ko bác . Nhưng chắc phải thử nghiệm nhiều mới áp dụng. Chớ như VNN ăn chơi đến khi đụng chuyện thế này làm sao đủ tỉnh táo mà áp dụng cho mềm dẻo được.
Mà cái phương pháp này cũng ko làm người đọc hợp pháp dể chịu cho lắm.  

nguoididingoaipho wrote:

conmale wrote:

Trên thực tế, ngay trong tình trạng "slashdot" (có nghĩa là có số lượng người dùng hoàn toàn hợp lệ) cùng duyệt vnn quá nhiều đi chăng nữa, không thể có tình trạng 300 ngàn IP cùng ập vô 1 lượt bởi vì người dùng bình thường duyệt và đọc. Bởi vậy, request rate (cho mỗi giây hoặc mỗi phút) đi từ mỗi IP rất thấp (ví dụ, không thể có chuyện người đọc bài báo nhanh đến độ cứ mỗi 5 giây đọc hết 1 trang được). Từ logic này mới hình thành ra cái gọi là: packet rate. Packet rate này là thước đo gần như trung thực cho nhu cầu đọc báo của những độc giả (là con người) và những gì đi quá packet rate thì tạm coi là bất hợp lệ. Nếu vậy, giả sử packet rate được xem hợp lý là 5 giây / 1 request (chẳng hạn) và mỗi IP trong 300 ngàn IP có người bấm, có người đọc, có người không bấm trong 10 phút...v...v... thì tính ra 300000 / 5 giây cũng chỉ mới có 60 ngàn IP cùng gởi request 1 lúc. Số còn lại (240 ngàn IP) có thể thuộc dạng zombie và có thể được triệt tiêu. Nói một cách khác, bất cứ IP nào gởi quá 1 packet trong 5 giây và tình trạng này kéo dài liên tục trong 60 giây thì đó chính là "chàng DDoS" chớ không chạy đi đâu được hết.
 

"Bạn có thể đọc nhanh bằng tốc độ ánh sáng" của HVA đây phải ko bác . Nhưng chắc phải thử nghiệm nhiều mới áp dụng. Chớ như VNN ăn chơi đến khi đụng chuyện thế này làm sao đủ tỉnh táo mà áp dụng cho mềm dẻo được.
Mà cái phương pháp này cũng ko làm người đọc hợp pháp dể chịu cho lắm.  

"Người đọc hợp pháp" mà chuyển từ link này sang link khác trong vòng vài giây thì trở thành "người đọc bất hợp pháp" mất rồi . 

conmale wrote:

nguoididingoaipho wrote:

conmale wrote:

Trên thực tế, ngay trong tình trạng "slashdot" (có nghĩa là có số lượng người dùng hoàn toàn hợp lệ) cùng duyệt vnn quá nhiều đi chăng nữa, không thể có tình trạng 300 ngàn IP cùng ập vô 1 lượt bởi vì người dùng bình thường duyệt và đọc. Bởi vậy, request rate (cho mỗi giây hoặc mỗi phút) đi từ mỗi IP rất thấp (ví dụ, không thể có chuyện người đọc bài báo nhanh đến độ cứ mỗi 5 giây đọc hết 1 trang được). Từ logic này mới hình thành ra cái gọi là: packet rate. Packet rate này là thước đo gần như trung thực cho nhu cầu đọc báo của những độc giả (là con người) và những gì đi quá packet rate thì tạm coi là bất hợp lệ. Nếu vậy, giả sử packet rate được xem hợp lý là 5 giây / 1 request (chẳng hạn) và mỗi IP trong 300 ngàn IP có người bấm, có người đọc, có người không bấm trong 10 phút...v...v... thì tính ra 300000 / 5 giây cũng chỉ mới có 60 ngàn IP cùng gởi request 1 lúc. Số còn lại (240 ngàn IP) có thể thuộc dạng zombie và có thể được triệt tiêu. Nói một cách khác, bất cứ IP nào gởi quá 1 packet trong 5 giây và tình trạng này kéo dài liên tục trong 60 giây thì đó chính là "chàng DDoS" chớ không chạy đi đâu được hết.
 

"Bạn có thể đọc nhanh bằng tốc độ ánh sáng" của HVA đây phải ko bác . Nhưng chắc phải thử nghiệm nhiều mới áp dụng. Chớ như VNN ăn chơi đến khi đụng chuyện thế này làm sao đủ tỉnh táo mà áp dụng cho mềm dẻo được.
Mà cái phương pháp này cũng ko làm người đọc hợp pháp dể chịu cho lắm.  

"Người đọc hợp pháp" mà chuyển từ link này sang link khác trong vòng vài giây thì trở thành "người đọc bất hợp pháp" mất rồi . 

Lý thuyết là như thế, nhưng thật sự đa số người đọc báo đều bấm liên tù tì, nên sẽ có rất nhiều người sẽ dính . Nên áp dụng 1 cách mềm dẻo trong cho giải pháp này thì cần 1 thời gian theo dỏi, đánh giá và áp dụng, tránh gây phiền hà cho người đọc. Báo điện tử mà vào cứ thấy "Bạn có thể đọc nhanh bằng tốc độ ánh sáng" thì sao nhỉ  

Đây là giải pháp anh đã từng dùng cho HVA (2 nodes trong cái "constellation" thay vì nhiều nodes như bài viết) và anh dùng Apache "worker" (thread thay vì process như prefork) làm proxy thay vì Nginx nhưng nguyên tắc căn bản thì như nhau. Tất nhiên biện pháp "chẻ" nguồn tấn công ra thành nhiều nhánh nhỏ để chịu đựng là biện pháp hữu lý và logical nhất. Giá trị quan trọng của bài viết trên là việc vận dụng VM có giá trị kinh tế (đỡ tốn kém). Chi tiết kỹ thuật trong bài viết không nhiều, đặc biệt chức năng limit_reg và limit_rate của nginx và những kernel parameters quan trọng cho việc đối phó vời DDoS. Ngoài ra, nếu chạy trên Linux thì có những netfilter modules và những iptable rules quan trọng nhằm kiểm soát DDoS.

Thật ra chống đỡ DDoS rất khó. Mình phải theo dõi, phân tích và tách rời những tính chất đặc thù của dạng DDoS đang tấn công mình càng cụ thể càng tốt thì mới có biện phải khả dĩ. Gia tăng tài nguyên là điều tối quan trọng và hình thành biện pháp cản lọc cụ thể cũng quan trọng không kém. 

conmale wrote:

Đây là giải pháp anh đã từng dùng cho HVA (2 nodes trong cái "constellation" thay vì nhiều nodes như bài viết) và anh dùng Apache "worker" (thread thay vì process như prefork) làm proxy thay vì Nginx nhưng nguyên tắc căn bản thì như nhau. Tất nhiên biện pháp "chẻ" nguồn tấn công ra thành nhiều nhánh nhỏ để chịu đựng là biện pháp hữu lý và logical nhất. Giá trị quan trọng của bài viết trên là việc vận dụng VM có giá trị kinh tế (đỡ tốn kém). Chi tiết kỹ thuật trong bài viết không nhiều, đặc biệt chức năng limit_reg và limit_rate của nginx và những kernel parameters quan trọng cho việc đối phó vời DDoS. Ngoài ra, nếu chạy trên Linux thì có những netfilter modules và những iptable rules quan trọng nhằm kiểm soát DDoS.

Thật ra chống đỡ DDoS rất khó. Mình phải theo dõi, phân tích và tách rời những tính chất đặc thù của dạng DDoS đang tấn công mình càng cụ thể càng tốt thì mới có biện phải khả dĩ. Gia tăng tài nguyên là điều tối quan trọng và hình thành biện pháp cản lọc cụ thể cũng quan trọng không kém. 

Biện pháp chẻ nguồn tấn công như trên sử dụng Round Robin ở DNS server để chia đều tải cho các nginx server đứng phía sau nó như vậy cái DNS server này của mình hay là của Service Provider vậy anh?
Liệu như cái DNS server của mình thì anh có thể cho em một phép tính tổng quát về các gói DNS request tới cái dns server của mình khi DDOS diễn ra để có thể biết dc server dns đó như thế nào thì chịu đựoc không ?
 

Vietnamnet cần tài trợ cho CMC Infosec thiết lập một công cụ quét trên mạng để chủ động phát hiện các máy tính bị nhiễm DDoS tool trên mạng và thông báo cho chủ máy tính diệt trừ chúng, như là cách các nước hiện đại đã làm. Việc này cần có sự hỗ trợ của một số ISP (Viettel, VNPT, FPT...)



 

PXMMRF wrote:

Vietnamnet cần tài trợ cho CMC Infosec thiết lập một công cụ quét trên mạng để chủ động phát hiện các máy tính bị nhiễm DDoS tool trên mạng và thông báo cho chủ máy tính diệt trừ chúng, như là cách các nước hiện đại đã làm. Việc này cần có sự hỗ trợ của một số ISP (Viettel, VNPT, FPT...)



 

Câu này nghe như quảng cáo cho CMC vậy 

- Theo dõi về việc vietnamnet bị hack thì ngoài việc bị DDOS, vietnamnet còn bị "nội bộ" đánh tơi bời. Và theo phần tích thì việc đánh sập hơn 10 server thì phải là người nắm rõ topology của hệ thống mạng vietnamnet. Vì thế theo mình nghĩ những đề xuất của bác PXMMRF cũng xuất phát từ những thông tin trên ==> yêu cầu phải làm "sạch" lại toàn bộ hệ thống.

- Đề xuất của xnohat là một giải pháp nhưng theo mình là không khả thi, vietnamnet đang bị tấn công trên nhiều phương diện chứ không riêng gì DDOS. Và vietnamnet cũng không thể so sánh với mấy cái công ty đa quốc gia to đùng kia được.

p/s: sao vietnamnet không thuê bên CMC kết hợp với anh conmale, PXMMRF, mrro ...đối phó nhỉ.  

Thêm nữa, đội ngũ đó không phải là những kẻ không biết gì, họ còn hơn rất nhiều người trong số các bạn.
Nếu hệ thống của bạn có "cơ hội" nhận được một cuộc tấn công tương tự, bạn sẽ biết rằng Vietnamnet đã làm rất tốt việc của mình.
Những kẻ chỉ biết nói mồm thì luôn chỉ có thế mà thôi
 

Rõ ràng nhiều công ty (Không chỉ riêng ở VN) chưa sẵn sàng, và có kinh nghiệm với tấn công từ chối dịch vụ. Hãy thử đặt mình vào vị trí những người vận hành hệ thống Vietnamnet, bạn có làm tốt hơn họ không? Bất cứ ai có khả năng như anh list ra ở trên, đều đã nếm mùi thế nào là bị tấn công một cách không thể chống đỡ được trong một khoảng thời gian nào đó. HVA cũng từng bị như thế, và cường độ bị tấn công của HVA (theo nhận định chủ quan) là bé hơn rất nhiều so với Vietnamnet hiện tại, cứ cho rằng hệ thống của Vietnamnet khủng hơn rất nhiều so với máy chủ của HVA.

Chưa có kinh nghiệm thì tỏ ra lúng túng là hoàn toàn hợp lí, và trong lúc bị tấn công, Vietnamnet vẫn cố gắng khắc phục và tìm ra cách để người đọc có thể truy cập Vietnamnet một cách thoải mái, như thời điểm em đang trả lời bài này. Rõ ràng khả năng của họ càng ngày càng tăng lên rõ rệt và ứng phó ngày một nhanh hơn.

Nếu Vietnamnet chịu chia hướng tấn công sang các máy chủ khác bằng Round Robin DNS (VTC, VNG) thì họ sẽ thoải mái hơn rất nhiều. Tuy nhiên, nếu theo dõi kĩ, thì có lúc traffic sẽ "lọt" sang máy chủ của các công ty khác, có lúc họ hứng trọn lượng traffic đó. Những lúc như thế, họ đang thử nghiệm cách chống DDOS của mình.
Và không phải kẻ tấn công kia chỉ dùng đúng một cách để đánh hoài đánh mãi.
Nói như thế để các bạn hiểu rằng không phải đội ngũ của Vietnamnet chỉ biết thụ động hứng chịu tấn công, mà họ đang làm hết sức của mình. Thêm nữa, đội ngũ đó không phải là những kẻ không biết gì, họ còn hơn rất nhiều người trong số các bạn.
Nếu hệ thống của bạn có "cơ hội" nhận được một cuộc tấn công tương tự, bạn sẽ biết rằng Vietnamnet đã làm rất tốt việc của mình.
Những kẻ chỉ biết nói mồm thì luôn chỉ có thế mà thôi
 

@Mr.Bi: theo bạn thì "VietnamNet đã làm rất tốt công việc của mình" hay là hai đối tác VNG & VTC nhỉ?

Mình có cách chứng minh cho bạn thấy là VietnamNet chưa làm tốt công việc của mình.  

PXMMRF wrote:

Vietnamnet cần tài trợ cho CMC Infosec thiết lập một công cụ quét trên mạng để chủ động phát hiện các máy tính bị nhiễm DDoS tool trên mạng và thông báo cho chủ máy tính diệt trừ chúng, như là cách các nước hiện đại đã làm. Việc này cần có sự hỗ trợ của một số ISP (Viettel, VNPT, FPT...)

 

Câu này nghe như quảng cáo cho CMC vậy 

vikjava wrote:

- Theo dõi về việc vietnamnet bị hack thì ngoài việc bị DDOS, vietnamnet còn bị "nội bộ" đánh tơi bời. Và theo phần tích thì việc đánh sập hơn 10 server thì phải là người nắm rõ topology của hệ thống mạng vietnamnet. Vì thế theo mình nghĩ những đề xuất của bác PXMMRF cũng xuất phát từ những thông tin trên ==> yêu cầu phải làm "sạch" lại toàn bộ hệ thống.

- Đề xuất của xnohat là một giải pháp nhưng theo mình là không khả thi, vietnamnet đang bị tấn công trên nhiều phương diện chứ không riêng gì DDOS. Và vietnamnet cũng không thể so sánh với mấy cái công ty đa quốc gia to đùng kia được.

p/s: sao vietnamnet không thuê bên CMC kết hợp với anh conmale, PXMMRF, mrro ...đối phó nhỉ.  

Đừng gán ghép vụ Vietnamnet bị tấn công lấy mất database và vụ bị tấn công từ chối dịch vụ. Nó chẳng mang lại lợi ích gì cho topic này cả.
Vietnamnet chả phải bị ddos mà sập 10 servers (anh lấy đâu ra con số này vậy?), khi hệ thống bị tấn công từ chối dịch vụ, thì dịch vụ (cụ thể ở đây là dịch vụ cung cấp website) ngưng trệ, không thể hoặc chậm trễ cung cấp dịch vụ cho người đọc báo, không có nghĩa là hệ thống của Vietnamnet bị đánh sập.

Rõ ràng nhiều công ty (Không chỉ riêng ở VN) chưa sẵn sàng, và có kinh nghiệm với tấn công từ chối dịch vụ. Hãy thử đặt mình vào vị trí những người vận hành hệ thống Vietnamnet, bạn có làm tốt hơn họ không? Bất cứ ai có khả năng như anh list ra ở trên, đều đã nếm mùi thế nào là bị tấn công một cách không thể chống đỡ được trong một khoảng thời gian nào đó. HVA cũng từng bị như thế, và cường độ bị tấn công của HVA (theo nhận định chủ quan) là bé hơn rất nhiều so với Vietnamnet hiện tại, cứ cho rằng hệ thống của Vietnamnet khủng hơn rất nhiều so với máy chủ của HVA.

Chưa có kinh nghiệm thì tỏ ra lúng túng là hoàn toàn hợp lí, và trong lúc bị tấn công, Vietnamnet vẫn cố gắng khắc phục và tìm ra cách để người đọc có thể truy cập Vietnamnet một cách thoải mái, như thời điểm em đang trả lời bài này. Rõ ràng khả năng của họ càng ngày càng tăng lên rõ rệt và ứng phó ngày một nhanh hơn.

Nếu Vietnamnet chịu chia hướng tấn công sang các máy chủ khác bằng Round Robin DNS (VTC, VNG) thì họ sẽ thoải mái hơn rất nhiều. Tuy nhiên, nếu theo dõi kĩ, thì có lúc traffic sẽ "lọt" sang máy chủ của các công ty khác, có lúc họ hứng trọn lượng traffic đó. Những lúc như thế, họ đang thử nghiệm cách chống DDOS của mình.
Và không phải kẻ tấn công kia chỉ dùng đúng một cách để đánh hoài đánh mãi.
Nói như thế để các bạn hiểu rằng không phải đội ngũ của Vietnamnet chỉ biết thụ động hứng chịu tấn công, mà họ đang làm hết sức của mình. Thêm nữa, đội ngũ đó không phải là những kẻ không biết gì, họ còn hơn rất nhiều người trong số các bạn.
Nếu hệ thống của bạn có "cơ hội" nhận được một cuộc tấn công tương tự, bạn sẽ biết rằng Vietnamnet đã làm rất tốt việc của mình.
Những kẻ chỉ biết nói mồm thì luôn chỉ có thế mà thôi