Uchiha-Itachi wrote:

Tính năng Sandbox đã có từ lâu rồi, nhớ không nhầm là 1 chương trình Antivirus free.  

Của Comodo, xài free mà ngon nữa, bao gồm gói tường lửa 

StarGhost wrote:

conmale wrote:

Chuyển sang IPv6 thì 90% những kẻ hở của giao thức trong IPv4 sẽ bị loại bỏ và bởi thế, DDoS cũng bị loại bỏ 1 phần lớn.

Khi chuyển sang IPv6, mỗi thiết bị được gán cho 1 IP riêng và nếu IP ấy dùng để DDoS thì nó sẽ bị ban vĩnh viễn. Khỏi DDoS . 

Anh có thể cho một số ví dụ về kẽ hở của IPv4 mà sau khi được khắc phục bởi IPv6 thì DDoS sẽ bị hạn chế?
 

Một trong những tính năng quan trọng của IPv6 là IPSec hoàn toàn được hỗ trợ (natively). Vì tính năng này, những dạng DDoS sử dụng reflection không thể thực hiện được vì các packets refection không có giá trị. Những dạng DDoS sử dụng spoof addresses như với IPv4 sẽ không thực hiện được với IPv6. Các dạng DDoS sử dụng biện pháp spoofing và reflection chiếm tỉ lệ rất lớn ở IPv4.

Không may, với IPv6, dạng flood bằng TCP, UDP và ICMP vẫn không thể triệt tiêu vì cơ chế "bắt tay" vẫn không thay đổi. Tuy nhiên, vì IPv6 có thừa IP để assign cho mỗi device một static IP riêng biệt cho nên nếu sử dụng biện pháp ban IP vi phạm thì chỉ ảnh hưởng có 1 người thay vì ban 1 IPv4 IP như hiện nay có thể ban hàng chục, hàng trăm hay hàng ngàn người (vì sử dụng proxy, nat....).

StarGhost wrote:

Còn câu sau của anh thì em không đồng ý, có 3 lí do:
- một IP được sử dụng để DDoS không phải là do chủ nhân IP đó muốn, mà là do thiết bị sử dụng IP đó đã trở thành zombie. Nếu IP đó bị ban, thì lại nảy sinh một vấn đề DoS mới, mà anh tưởng tượng giả sử một botnet khoảng 100000 máy bị dùng làm DDoS, mà nếu ban IP của 100000 máy đó thì không phải là DoS trên diện rộng sao.
- nếu IP spoofing vẫn còn tồn tại, làm sao tìm ra chính xác 100000 máy trong botnet để ban IP
- kể cả tìm ra được, ai sẽ thực hiện việc ban IP? ISP chăng? Tier 3, tier 2, hay tier 1 chăng? Họ được lợi gì trong việc đó? 

- Nếu chủ nhân không muốn tham gia DDoS và là nạn nhân thì trước tiên chỉ có mỗi "nạn nhân" ấy bị block thay vì hàng loạt người bị block như tình trạng hiện nay. Cái này giúp giảm thiểu "từ chối dịch vụ" do chính biện pháp ban. Nếu 100000 static IPv6 IP bị ban thì chỉ 100000 IP đó bị ban thay vì 100000 x 10 hoặc x 100 bị ban như IPv4 hiện nay thì vẫn tốt hơn.

- IP Spoofing không tồn tại với IPv6 được.

- Người bị DDoS (chủ máy, chủ hệ thống) ban chớ chẳng có ISP nào ban cả. Người bị DDoS có trọn quyền cho phép hoặc ban bất cứ nguồn IP nào vi phạm. Nếu "nạn nhân" bị ban vì chính máy mình là zombie thì người bị ban phải có trách nhiệm tự xoá zombie, tự phục hồi để không bị ban.

Hãy xét ở góc độ "adaptive firewall" có khả năng tiếp tục ban một IP cho đến khi nào IP đó không còn tấn công với tính chất là một zombie. Như HVA hiện tại chẳng hạn, nếu một IP nào đó liên tục và dồn dập gởi quá giới hạn số requests trong vòng một khoảng thời gian (ngắn) thì nó bị ban. Quy chế ban có nhiều cấp độ khác nhau.

Ví dụ, nếu IP gởi cùng 5 requests đến /hvaonline/forums/list.html mà có User-Agent y hệt nhau trong vòng 10 giây thì drop request thứ 6 nhưng không block IP đó. Nếu tình trạng này tiếp tục thì tiếp tục drop requests. Nếu sau một khoảng thời gian hoặc sau một số lượng đếm nhất định nào đó thì ra lệnh cho firewall block IP này. Tuy nhiên, việc block IP sẽ không phải là block vĩnh viễn mà cứ sau bao nhiêu giây hoặc bao nhiêu phút kiểm tra và thấy IP ấy vẫn tiếp tục "dội bom" thì tiếp tục block nhưng nếu nó quay về tầng số truy cập như một người bình thường thì không block nó nữa. Nếu cũng cùng 1 IP nhưng có nhiều User-Agents khác nhau thì nới rộng giới hạn drop và block ra vì xem đó là 1 IP (proxy hoặc nat) có nhiều người dùng nhưng đến một lúc nào đó vẫn phải block vì nó đi quá giới hạn cho phép.

Bởi vậy, với IPv6 và với hoàn toàn static IP thì block một IP (theo cơ chế đã giải thích ở trên) vẫn tốt hơn là block 1 IPv4 IP.

 

Network nhiều thành lắm, web là 1 services, thành phần nằm trong cái network đó. Lấy 1 cái nhỏ so với 1 cái lớn. 

Nếu HVA mở lớp thì những khóa học với các môn học nào có thể được mở?
Nếu học phí có giá trên trời như của học viện SANS đến Việt Nam thì chắc chắn không phù hợp với khả năng tài chính của số đông bạn đọc:
http://force.vnsecurity.net/download/SANS-560-VN.pdf 

S_ThuCoDon wrote:

Chào mọi người.

Mình có tham khảo các topic về ddos nhưng hầu hết là các loại như X-Flash và HTTP DoS/DDoS.

Mình đang gặp vấn đề với kiểu SYN FLOOD + Spoof IP (rất nhiều IP và có thể fake theo ý muốn). Đây là các thông tin mình lấy được khi bị tấn công.

Mong mọi người giúp đỡ.

tcpdump http://tinypaste.com/daf608
netstat http://tinypaste.com/01b22
netstat2 http://tinypaste.com/47c18d

Cảm ơn mọi người rất nhiều! 

iptables -I INPUT -p tcp --sport 1000 --dport 80 -j DROP

iptables -I INPUT -p tcp --syn --dport 80 -m limit --limit 5/s --limit-burst 3 -j DROP


Điều chỉnh /etc/sysctl.conf và thêm mấy dòng:
net.netfilter.nf_conntrack_tcp_timeout_syn_sent = 30
net.netfilter.nf_conntrack_tcp_timeout_syn_recv = 5
net.ipv4.tcp_syn_retries = 5
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_fin_timeout = 10

save nó và chạy: sysctl -p (với chủ quyền root).
 

Mình thấy việc các bạn không mở quá trình đăng ký thành viên diễn đàn không hay lắm (phải cung cấp họ tên, thông tin về bản thân):

Topic: Đăng ký | BKITSEC
http://bkitsec.vn/?topic=dang-ky

Để tham gia thảo luận trên diễn đàn, các bạn cần phải đăng ký cho mình một tên tham dự.

Việc đăng ký hết sức đơn giản, các bạn cần gửi thông tin theo mẫu sau về hộp thư admin at bkitsec dot vn :

Tên tham dự :
Họ :
Tên :
Giới thiệu sơ về bản thân :

Chúng tôi sẽ tạo tài khoản cho các bạn và gửi thông tin về hộp thư bạn dùng để gửi thông tin trên.

Thân chào ! 

Có lẽ đây là lí do:
Topic: Nội dung diễn đàn | BKITSEC
http://bkitsec.vn/?topic=n%e1%bb%99i-dung-di%e1%bb%85n-dan

Cũng chính vì những nguyên nhân trên mà nhóm quyết định chỉ cho đăng kí thông qua email, sẽ giúp cho tụi mình nắm được số liệu về các bạn, và tránh tình trạng đăng kí tràn lan mà không có chất lượng, tuy nhiên nếu như trong một thời gian dài các bạn không hoạt động ( không thảo luận, không đưa ra chủ đề..) thì tụi mình cũng sẽ có biện pháp xử lí hiệu quả, tất cả nhằm nâng cao chất lượng diễn đàn, tạo ra sân chơi hữu ích cho mọi người. 

Topic: [1st Chal] Targeted Attack level 1 | BKITSEC
http://bkitsec.vn/?topic=1st-chal-targeted-attack-level-1

Chi tiết và challenges có trong mục Private cho members…. 

Có vẻ diễn đàn này sẽ là một diễn đàn đóng. 

comale wrote:

Cho rằng (các phiên bản đưa ra ở đây hoàn toàn là ngẫu nhiên): trang web ấy chạy trên hệ điều hành Windows 2003, sử dụng IIS làm reverse proxy, Apache phiên bản 2.2.15, PHP phiên bản 5.3, sử dụng software thương mại là vBulletin có phiên bản 4.1.5 và cơ sở dữ liệu là mysql phiên bản 5.1. Tất cả các dịch vụ đều chạy trên cùng một máy chủ (dedicated server) và được firewall của ISP bảo vệ.
Vui lòng khai triển ở góc độ "forensics" để từ đó mới có thể đưa đến biện pháp.
 

Theo em thấy thì website đã bị hack thì uy tín đã sứt mẻ rồi, việc còn lại là làm sao để không sứt mẻ thêm và phục hồi nó.

Dưới "góc độ forensic" thì việc tối quan trọng là tìm ra lỗ hổng và vá lỗi kịp thời. Nhưng cái khó ở đây là vừa tìm được lỗ hổng vừa phải đảm bảo việc làm ăn vẫn thuận lợi, đối với 1 công ty lớn chỉ cần đặt server offline 1p có thể thiệt hại nhiều tỉ đồng. Do đó cái một chiến lược tốt sẽ là một chiến lược "nhanh" mà vẫn "chắc". Ngoài những thứ các bạn khác đã nói ở trên thì mình xin bổ xung theo quan điểm của mình:

1) Luôn có 1 máy chủ dự phòng và thiết lập ở chế độ DEBUG mode và SAFE mode (disable các tính năng không cần thiết). Khi bị hack lập tức switch qua máy chủ này và lưu lại toàn bộ traffic vào ra để điều tra nếu hacker có ý quay lại.

2) Trong lúc đó khoanh vùng các application có khả năng bị lỗi cao. Cái này tùy thuộc nhiều vào dấu hiệu bị hack mà attacker để lại. (qua access log, event log của window, thời gian loggin, ip loggin). Ví dụ:
Nếu bị hack vào database thì khả năng cao là :
- sql injection trong vbulletin forums, các pluggin, app v.v..
- lỗi 0-day mysql server
Nếu bị deface / upload file lạ trên hệ thống:
- xem khả năng bị chiếm quyền root của server vì các ứng dụng webserver, php có lỗi 0-day
- khả năng admin bị cài virus và mất mật khẩu
- khả năng webserver bị lỗi cho upload file hay thay đổi file

3) Cùng lúc chạy các ứng dụng tìm rootkit kết hợp audit manually các file bị thay đổi trong hệ thống trong khoảng thời gian bị tấn công.

4) Sửa lỗi và thông báo cho các cơ quan chức năng, đặc biệt quan trọng theo mình là phải luôn trung thực, cầu tiến và bình tĩnh trong phát ngôn với các tổ chức bên ngoài.
 

@rickb: Theo mình nghĩ định nghĩa stable kernel dựa trên cái kernel chạy gần nhất mà trên Windows định nghĩa là: Last good known configuration.
Nói nôm na thì có thể mô tả như vầy:
Đầu tiên, khi server boot, hoàn tất tới shell, kernel #1. ID = #1, recoveryState = 0.
Reboot server, nếu người dùng không tự chọn kernel thì dùng lại kernel #1 (ID = #1). Nếu boot với kernel khác (#2), tới shell, ID = #2. recoveryState = 0.
Recompile kernel, reboot với kernel #3, kernel panic, set recoveryState = 1. server tự reboot.
Khi server đang reboot, check thấy giá trị recoveryState = 1 thì dùng last kernel version, ở đây là #2. Như vậy hầu như tự khắc vào được version gần nhất khởi động được. Trong trường hợp không giải quyết được triệt để thì cũng giảm thiểu 1 phần đáng kể của việc gọi điện lên DC kêu NOC fix. 

Tui đang suy nghĩ, tại sao tụi GRUB team không modify cho grub boot loader, nếu kernel panic thì khi reboot lại nó sẽ tự động chọn stable kernel trước đó mà boot nhỉ. Chứ mỗi lần server từ xa reboot lại sợ gần chết. 

dexxa wrote:

Tâm huyết và đam mê CNTT em CÓ. Năng khiếu em CÓ.  

Ai chứng minh , ai chứng nhận được 2 cái ý này ? 

Đó là cái mà em có thể tự tin nói ra. 

Chào thupt86,

Theo khoai biết, định nghĩa về firewall rất không rõ ràng. Một số người đồng ý là packet filter cũng có thể được xem là firewall, trong khi một số khác đòi hỏi phải có stateful packet inspection.

Proxy rõ ràng là để nằm giữa "đệm" cho hai bên client và server thật nói chuyện với nhau. Nếu proxy có thêm một cơ chế nào đó để lọc ra chỉ chấp nhận một số client, hoặc một dãy subnet, vân vân thì khoai vẫn xem nó hoạt động như một firewall.

khoai vẫn không rõ các dạng proxy mà bạn nói có nghĩa gì. Dạng "vô hình" khoai đoán là transparent proxy. Vậy còn dạng kết nối trực tiếp là sao?

khoai