Messages posted by: Abe

@mrro: Hầy hầy.. mình đâu có ý nói là mrro bịa ra đâu.. Mình có nói là do nói *vắn tắt* hoặc là *ví dụ* (có thể dựa trên thực tế) để trình bày cách giải quyết của mrro mà. Vì mình thấy thế nên các con số nó mới "tròn trịa" như thế, tất nhiên con số ở đây mà để chính xác là mười vạn tám ngàn chín trăm năm mươi mốt IP thì cũng chẳng để làm gì. Mà kể cả *bịa* ra như vậy trong tình huống như thế này cũng đâu có vấn đề gì đâu.

Sorry là trong topic thảo luận mình có chút không nghiêm túc, nhưng ý mình là:

- Từ *đầu vào* là 10.000 IP DDoS, (sau một loạt biện pháp nghiệp vụ), đùng một cái đưa ra ngay chính sách và chạy script để lấy những IP có tần suất là 100 request/s (con số thực sự rất lớn - IMHO - ngay cả trong tâm bão). Nên mình nghĩ là trong quá trình này phải có một loạt các động tác thì mới đạt được kết quả như ý, và con số 100 req/s sẽ phải thay đổi liên tục và liên tục được làm mịn thì mức độ hiệu quả mới thật sự cao.

- Như trên mình đã nói, nếu chỉ giải quyết như vậy thì mình nghĩ biểu đồ nó sẽ tương tự như thế này, vì việc làm của mình là offline chứ không phải online và tần suất chạy cronjob (như mrro nói) cũng không dày.

[i]Note:
1. Mình xin nhấn mạnh lại là mình không có suy nghĩ hay có ý nói là con số hay các thông tin mrro cung cấp là bịa đặt này kia.
2. Tất cả những điều mình nói ở trên dựa theo suy nghĩ của riêng mình với các con số và giả định mình đang ở trong tình huống đấy.
3. (Sẽ điền vào đây khi nhớ ra smilie

)

Nhắc lại, một khách hàng của chúng tôi từng bị tấn công DDoS trên diện rộng vào hệ thống máy chủ Internet Banking. Ở thời điểm cao trào, có hơn 10000 IP gửi hàng ngàn request/s đến máy chủ của họ. Làm thế nào để nhanh chóng lấy ra được danh sách 10000 IP này, ngăn chặn chúng trên hệ thống firewall, mà không chặn nhầm khách hàng? Làm thế nào để có thể tự động hóa quá trình trên, chẳng hạn như cứ mỗi 15' sẽ lấy ra danh sách các IP đang tấn công, cập nhật bộ lọc của tường lửa?

Với hệ thống này, chúng tôi chỉ cần soạn thảo một đoạn script ngắn để lấy ra danh sách IP đang gửi hơn 100 request/s rồi cài đặt chương trình để tự động cập nhật bộ lọc của firewall mỗi 15'. Một vấn đề tưởng như nan giải có thể giải quyết nhanh gọn lẹ và rất rẻ.

Đoạn này là hơi "tào lao" nha smilie

Jk, có lẽ ở đây bạn mrro nói hơi vắn tắt hoặc có thể chỉ là đưa ra ví dụ là như thế.. thế nên con số về cả attacker IP lẫn "sample signature" cũng đều đẹp và đều có thể...nghĩ ngay ra được như thế

Chứ tình huống thật thì nó khác từ nhiều cho tới rất nhiều nha smilie

Công nhận là yêu cầu này "thuộc dạng" lạ nhưng mà không phải là chưa gặp. Cách như bạn mrro nói thì "chuẩn" về mặt nguyên tắc và mail flow rồi nhưng mà làm thế nào lại là chuyện khác =D

Tuy nhiên nếu mà làm nhiều về mail system rồi và đặc biệt là "tách riêng" bạn MSE ra ngoài coi như không quan tâm thì "tự dưng" nghĩ ra cách ngay.

Có nhiều cách làm lắm, nhưng mà cách làm dễ nhất là làm 1 thằng Mail Gateway hoặc một thằng Message Archive Gateway, phi tất cả vào đấy, rồi cái nào mà approve thì tick tick..phi xuống cho User.

Hoặc không thì mod ngay thằng Dspam ý..

Thật ra thì cái yêu cầu củ khoai này đừng mong có giải pháp thương mại vì chẳng có cái privacy nào như thế cả smilie

1. Quá trình xử lý vẫn như bình thường, khi request đến .1.3 mà .1.3 down thì request vẫn "hoàn thành", nhưng mà "the server doesn't respond".

2. Nếu delete record đó đi và DNS có khả năng update *real-time* thì giải pháp đó cũng.. chưa tối ưu. Trừ phi quá trình monitor và thực hiện thao tác delete record hoàn toàn tự động.

Trên thực tế thì không ai thực hiện giải pháp như thế này để làm HA cả, ngoại trừ SMTP.

3. It's not a good question, I guess.