Hi! Khi mà số lần "refresh", hoặc truy cập của 1 IP tăng đột biến thì có thể nghi ngờ nó DDOS chứ.
Mình ko hiểu câu này của bạn lắm. Bạn có thể đưa ra vài dẫn chứng hay quan điểm cụ thể để làm sáng tỏ cho cái "phát ngôn" của bạn ko
Theo bạn, nếu không xét số lần "refresh", "request" của 1 IP thì cách nào để tìm ra được IP đang DDOS mình? 

quỷ lệ wrote:

refresh là request àh?
 

Mỗi lần ấn refresh, trình duyệt sẽ gửi 1 http request tới web sever chứa website mà nó đang hiển thị 

Hì chả biết vụ này như thế nào nhưng mà có 2 điều rất thú vị:
- Một: Ai bắt thủ phạm? BKAV á? Ngộ àh nghen...
- Hai: Nhìn bức hình trong bài báo Dân Trí đăng tải sao thấy nó giống mã AutoIt thế
 

Bồ giải thích rõ hơn được không? ấn refresh là ấn cái gì mà lại gởi http request đến webserver? Nếu được thì tớ cũng thử ngồi "ấn refresh" để ddos cho bỏ ghé
 

Hì hì mình post thiếu câu: "BKIS đã dựng lên một hệ thống phòng thủ để đón lỏng tin tặc". Đúng là số lượng traffic của một IP tăng đột biến thì bạn phải nghi ngờ. Nhưng bạn đón lỏng tin tặc thế nào được khi có vài ngàn IP tấn công??? Trừ khi attacker quá sơ hở để lộ IP của mình, nhưng kể cả khi để lộ IP của mình thì việc tìm kiếm không phải là chuyện dễ.
Với lại nếu đã block IP thì các IP khác vẫn phải vào được bình thường và không lẽ BKIS đoán được ngày giờ và kể cả phương pháp DDoS nếu giả sử rằng cu cậu kia không xài backdoor mà định ngày giờ cụ thể. Mình thấy củ chuối là ở chỗ đó.
Ngoài ra bạn không thấy tào lao khi nói cái cơ chế block IP là "giải pháp tình thế" à? Có ai nói chuyện quan sát traffic rồi chặn IP có traffic tăng đột biến là một "giải pháp tình thế" để chống DDoS không?? Theo quan điểm của mình, cơ chế quan sát và hạn chế là kiến thức cơ bản trong việc phòng chống DDoS. Giải pháp tình thế tốt nhất để chống DDoS là tắt luôn server cho xong chuyện (không hiểu BKAV có xài chiêu này khi bị tấn công trong ngày 5/09 rồi nói là nâng cấp server gì gì đó không?).
 

-Vài ngàn IP cũng có thể đón lõng được, nếu phân tích đúng được kiểu tấn công, và dùng phần mềm hỗ trợ, mình ví dụ như IPS đã nói ở trên
-Theo mình khi ddos thì ip trong gói tin gửi tới server là ip của zoombie chứ ko phải ip của attacker (master), và nó cũng chẳng khác gì 1 máy tính thông thường cả, với kiến thức bảo mật còn hạn chế như mình thì mình nghĩ có thể thiết lập 1 luận là nếu 1 ip nào đó trong 1 giây gửi >=5 (10 - 15...) gói tin gì đó thì block ip đó lại??? He he, chẳng nhẽ các bác bkis cũng dùng cách này? Thế thì gà quá.
 

-Cái câu có chữ backdoor của bạn mình ko hiểu lắm, vì theo mình hiểu thì ông bạn này điều khiển botnet qua irc chứ ko liên quan gì tới backdoor cả (hay ý bạn là backdoor tại zoombie?)
- Thực sự thì mình cũng chưa biết được cách chống DDos nào là tốt nhất, có lẽ vẫn chỉ là thiết lập được những luật tốt và đối phó với từng cuộc tấn công thôi (
 

tớ thì tớ thấy mừng khi các khứa này bị bắt. ngày nào tớ cũng thắp nhang, cầu cho chúng nó sớm siêu thoát, nhưng mà chắc là dạo này kinh tế suy thoái, cô hồn mạng nhiều quá, cúng hoài mà cũng không hết.
nghĩ lại có bác Quảng cũng đỡ khổ, chúng nó cứ bu quanh bác ấy, thành ra công việc của tớ cũng khỏe hơn mấy phần. nói tóm lại là cảm ơn bác Quảng.
--m 

Thực ra đón lỏng trong trường hợp này cũng không có tác dụng phát hiện ra attacker đúng không? Cho nên mình cũng chịu không hiểu các bác BKIS đón lỏng cái kiểu gì? Đến 90% công việc là của ISP và cơ quan công an rồi.
 

- Ừ, thì mình nói rõ vậy, bạn mở 1 trang web bằng browser, thì browser sẽ gửi 1 http request đến webserver đó. Mỗi lần ấn refresh, browser lại 1 lần gửi 1 http request đến webserver. Có điều theo mình mỗi lần gửi http request bằng browser (ấn refresh chẳng hạn) thì nó sẽ đợi http response của webserver trả về.
 

Nếu bạn có 10 000 máy tính, mỗi máy 1 giây ấn refresh trang web 1 lần thì chắc cũng tương tự dùng 1000 zoombie, mỗi zoombie request 10 gói tin 1 giây mà thôi (gói tin = gói http request)
 

c0mm3nt wrote:

- Ừ, thì mình nói rõ vậy, bạn mở 1 trang web bằng browser, thì browser sẽ gửi 1 http request đến webserver đó. Mỗi lần ấn refresh, browser lại 1 lần gửi 1 http request đến webserver. Có điều theo mình mỗi lần gửi http request bằng browser (ấn refresh chẳng hạn) thì nó sẽ đợi http response của webserver trả về.
 

Khi người dùng vào một Link và tha hồ F5 cũng không có ảnh hưởng gì xấu đâu vì lúc đó nó GET thông tin về , bạn có thể đọc thêm thông tin về POST và GET. Chỉ có POST mới gửi requet đến server thôi. 

Khi người dùng vào một Link và tha hồ F5 cũng không có ảnh hưởng gì xấu đâu vì lúc đó nó GET thông tin về , bạn có thể đọc thêm thông tin về POST và GET. Chỉ có POST mới gửi requet đến server thôi.
 

Có dùng FF không ? có sử dụng about:config không ? Có bao giờ thay đổi cái này không ?
network. http. max-connections Integer Determines the maximum number of simultaneous HTTP connections. Default value is 24. Valid values are between 1 and 65535 inclusive.
network. http. max-connections-per-server Integer Determines the maximum number of simultaneous HTTP connections that can be established per host. If a proxy server is configured, then the server is the proxy server. Default value is 8. Valid values are between 1 and 255 inclusive.
 

The semantics of the GET method change to a "partial GET" if the request message includes a Range header field. A partial GET requests that only part of the entity be transferred, as described in section 14.35. The partial GET method is intended to reduce unnecessary network usage by allowing partially-retrieved entities to be completed without transferring data already held by the client.

The response to a GET request is cacheable if and only if it meets the requirements for HTTP caching described in section 13.
 

refresh là request àh?
 

vikjava wrote:

sao các bác không phân tích làm thế nào bkav tìm ra thủ phạm,đi sâu phân tích chi tiết cho a em mở rộng tầm nhin. 

Hì hì, Bác Phương Đông đã nói rồi đấy thôi. BKAV lần ra thủ phạm như thế nào chỉ có họ biết, cũng giống như việc "nâng cấp server" hay "giăng bẫy đón tin tặc" hay là cơ chế "chặn IP".
Nhưng mà mình nghĩ mãi mà vẫn không hiểu nổi:

..."Với cơ chế này, khi ai đó truy cập vào website của BKIS nếu như refresh liên tục sẽ bị chặn IP, đây là giải pháp tình thế chúng tôi phải thực hiện để ngăn chặn tấn công vì việc refresh liên tục sẽ được hiểu như một hành động bất thường và rất có thể là việc tấn công của cơ chế DDOS"...  

phát ngôn kiểu này thì không biết sinh viên IT của ĐHBK Hà Nội nghĩ gì trong đầu...  

Phuongdong wrote:

c0mm3nt wrote:

- Ừ, thì mình nói rõ vậy, bạn mở 1 trang web bằng browser, thì browser sẽ gửi 1 http request đến webserver đó. Mỗi lần ấn refresh, browser lại 1 lần gửi 1 http request đến webserver. Có điều theo mình mỗi lần gửi http request bằng browser (ấn refresh chẳng hạn) thì nó sẽ đợi http response của webserver trả về.
 

Khi người dùng vào một Link và tha hồ F5 cũng không có ảnh hưởng gì xấu đâu vì lúc đó nó GET thông tin về , bạn có thể đọc thêm thông tin về POST và GET. Chỉ có POST mới gửi requet đến server thôi. 

Thì client cũng phải gởi cái gì lên để báo cho server biết là: "giờ tao GET info về nhá" chứ  

@c0mm3nt : ở đây mình đang nói đến trườnng hợp bạn nói khi vào một trang nếu F5 liên tục thì việc đấy sẽ không coi như một hành động tấn công DoS. Vì khi đó bạn sử dụng GET mà GET thì không làm thay đổi nội dung trên server nên có thể nói là server cũng sẽ không bị ảnh hưởng gì => Không thể nói vào một trang cứ ấn F5 liên tục là bị coi là đang DoS được. 

Chỉ có POST thì mới gửi một request làm thay đổi gì đó trên server và server sẽ phải xử lý => sử dụng phương thức này để DoS  

GET lần đầu tiên --> 1 session mới được tạo --> cũng có thể xem là thay đổi.  

Vậy nếu 1000 IP request tá lả liên miên và mỗi lần GET kẻ tấn công đều gởi thông tin lên server kiểu "tôi lần đầu tiên ghé thăm đây" thì session mới sẽ được tạo liên tục. Server mà yếu là cũng có thể sụm lắm.
 

nbthanh wrote:

GET lần đầu tiên --> 1 session mới được tạo --> cũng có thể xem là thay đổi.  

Đây đang nói đến trường hợp là khi vào một trang rồi F5 liên tục, tức là trừ lần đầu tiên ( sau khi tạo lập ra session )ra thì các lần sau việc xử lý khi User ấn F5 có thể coi như rất nhỏ => 1 người vào một trang mà ấn F5 liên tục thì không coi là DoS được. Chỗ này nói nhau về phương thức GET vì khi ấn F5 chính là sử dụng GET để lấy thông tin từ server về. 

Trung tâm Phần mềm và Giải pháp An ninh mạng – gọi tắt là Trung tâm An ninh mạng Bkis - là Trung tâm tiên phong trong lĩnh vực nghiên cứu, triển khai phần mềm và các giải pháp an ninh mạng tại Việt Nam
 

Thôi chết

Trung tâm Phần mềm và Giải pháp An ninh mạng – gọi tắt là Trung tâm An ninh mạng Bkis - là Trung tâm tiên phong trong lĩnh vực nghiên cứu, triển khai phần mềm và các giải pháp an ninh mạng tại Việt Nam
 

Mulan vào xin lỗi các anh đi 

Có dịp tôi sẽ viết kỹ về quá trình DDoS theo cơ chế Master-Zombie dùng DoS tool Trino.
 

Tác giả (bây giờ có lẽ đang ngồi uống trà với pc15 ) đã khẳng định nếu kiên trì thêm 1 khoảng thời gian nữa thì Google còn phải die. 

Đây là link download toàn bộ bài tường thuật lại cách ddos bằng botnet của Llykil. Có thể nhiều bạn coi sẽ không hiểu, nhưng sẽ nhìn thấy mức độ tấn công cực mạnh của nó, chỉ trong 30s mà toàn bộ server của truongton.net (một diễn đàn đứng top tại việt nam) hoàn toàn tê liệt (503 Error). Tác giả (bây giờ có lẽ đang ngồi uống trà với pc15 ) đã khẳng định nếu kiên trì thêm 1 khoảng thời gian nữa thì Google còn phải die .