Giám sát an ninh mạng - Bàn về giải pháp chống DDoS

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận bảo mật

Giám sát an ninh mạng - Bàn về giải pháp chống DDoS

[Discussion] Giám sát an ninh mạng - Bàn về giải pháp chống DDoS	13/06/2011 08:05:44 (+0700) \| #61 \| 240533

quybeo83
Member

Joined: 15/07/2010 21:12:11
Messages: 35
Offline

bên em mới mượn được con Arbor chống ddos khá hiệu quả mỗi tội giá của nó mắc quá cỡ vài chục nghan là bé nhất. Tiện thể xin hỏi mọi người luôn cách chặn TCP SYN bởi vì bên mình mấy hôm nay bị ddos không sập nên bọn nó chuyển hướng sang TCP SYN. Mới nghiên cứu bảo mật thời gian ngắn nên mong mọi người giúp đỡ.

[Discussion] Giám sát an ninh mạng - Bàn về giải pháp chống DDoS	16/06/2011 15:03:07 (+0700) \| #62 \| 241067

anti-ddos
Member

Joined: 27/02/2011 11:44:00
Messages: 4
Offline

Hi,

1.Về Giao thức TCP:
* Trong hoạt động truyền dữ liệu của bộ giao thức TCP/IP, TCP sẽ đảm nhiệm tính chất có kết nối và truyền không lỗi.
* Để làm được điều này (có kết nối và truyền không lỗi) hoạt động của TCP chia làm 3 bước:
@ Thiết lập kết nối
Để thiết lập một kết nối, TCP sử dụng một quy trình bắt tay 3 bước (3-way handshake) Trước khi client thử kết nối với một server, server phải đăng ký một cổng và mở cổng đó cho các kết nối: đây được gọi là mở bị động. Một khi mở bị động đã được thiết lập thì một client có thể bắt đầu mở chủ động. Để thiết lập một kết nối, quy trình bắt tay 3 bước xảy ra như sau:
> Client yêu cầu mở cổng dịch vụ bằng cách gửi gói tin SYN (gói tin TCP) tới server, trong gói tin này, tham số sequence number được gán cho một giá trị ngẫu nhiên X.
> Server hồi đáp bằng cách gửi lại phía client bản tin SYN-ACK, trong gói tin này, tham số acknowledgment number được gán giá trị bằng X + 1, tham số sequence number được gán ngẫu nhiên một giá trị Y
> Để hoàn tất quá trình bắt tay ba bước, client tiếp tục gửi tới server bản tin ACK, trong bản tin này, tham số sequence number được gán cho giá trị bằng X + 1 còn tham số acknowledgment number được gán giá trị bằng Y + 1.
Tại thời điểm này, cả client và server đều được xác nhận rằng, một kết nối đã được thiết lập.
@ Truyền dữ liệu: Đảm bảo truyền:
> Truyền dữ liệu không lỗi (do có cơ chế sửa lỗi/truyền lại)
> Truyền các gói dữ liệu theo đúng thứ tự
> Truyền lại các gói dữ liệu mất trên đường truyền
> Loại bỏ các gói dữ liệu trùng lặp
> Cơ chế hạn chế tắc nghẽn đường truyền
@ Kết thúc kết nối
Để kết thúc kết nối hai bên sử dụng quá trình bắt tay 4 bước và chiều của kết nối kết thúc độc lập với nhau. Khi một bên muốn kết thúc, nó gửi đi một gói tin FIN và bên kia gửi lại tin báo nhận ACK. Vì vậy, một quá trình kết thúc tiêu biểu sẽ có 2 cặp gói tin trao đổi. Một kết nối có thể tồn tại ở dạng : một bên đã kết thúc gửi dữ liệu nên chỉ nhận thông tin, bên kia vẫn tiếp tục gửi.

2.Tấn công tấn công theo TCP SYN, SYN-ACK (hay còn gọi là tấn công ngập lụt SYN, SYN-ACK):
> Bây giờ giả sử có N x Client gửi gói tin SYN tới Server.
> Vì cơ chế hoạt động của TCP nên Server sẽ trả lời với N gói SYN-ACK.
> Sau đó Server sẽ chờ N gói ACK xác nhận từ N x Client .
> Do chủ đích tấn công nên Nx Client này không trả lời ACK hoặc IP không tồn tại dẫn đến Server rơi vào trạng thái chờ đợi.
> Và NxClient lại tiếp tục gửi các N gói tin SYN tới Server, Server lại gửi lại N gói SYN-ACK và chờ, đến một lúc toàn bộ tài nguyên của Server sẽ phải sử dụng để nhận SYN, gửi SYN-ACK, chờ --> dẫn đến cạn kiệt --> treo máy.

3. Phòng chống tấn công TCP SYN, SYN-ACK cho Sever
- Phải có cơ chế xác thực sự bất thường trong kết nối TCP SYN, SYN-ACK giữa Client với Server.
- Một hệ thống ngăn chặn tấn công TCP SYN tốt có các cơ chế xác thực sau:
> TCP SYN Authentication with reset to Sever.
> TCP SYN Authentication with refresh sent to Sever.
> TCP SYN Authentication with Aplication(http, ftp…) Authentication.
> TCP SYN Authentication with safe reset to Sever.
> TCP SYN ACK Authentication
> Hệ thống phải đảm bảo các thông số cho các xác thực này có thể tự điều chỉnh hoặc tự động.

- Còn thuật toán để đưa ra các xác thực này thì tùy hệ thống sẽ khác nhau, nhưng cơ bản sẽ dựa vào:
* Thời gian trạng thái của socket: LISTEN, SYN-SENT, SYN-RECEIVED, ESTABLISHED, TIME-WAIT...
* Dựa vào thông số sequencing.
* Dựa vào baseline kết nối TCP giữa Client và Server.
* …. và nhiều thứ khác nữa, mình đang tìm hiểu, sẽ share lên tiếp....

Thân.

[Discussion] Giám sát an ninh mạng - Bàn về giải pháp chống DDoS	16/06/2011 17:01:10 (+0700) \| #63 \| 241088

Tony_nguyen19
Member

Joined: 25/01/2008 11:21:17
Messages: 7
Offline

bạn test thử con Arbor của bạn xong đi nếu mà ko OK thì chuyển wa dùng con Defense Pro của Radware, mình thấy nó cũng OK lắm. mấy cái TCP SYN .... block ngon lành cành đào

[Discussion] Giám sát an ninh mạng - Bàn về giải pháp chống DDoS	17/06/2011 11:26:49 (+0700) \| #64 \| 241161

anti-ddos
Member

Joined: 27/02/2011 11:44:00
Messages: 4
Offline

Nói thêm về Anti-DDOS:

Cơ bản nhất của các loại tấn công DDOS là làm cạn kiệt tài nguyên:
- Băng thông mạng.
- Năng lực xử lý của thiết bị.

Nếu chỉ bàn bề vấn đề kỹ thuật, thì hệ thống chống DDOS, tốt nhất:
- Chuyên dụng: Vì các thiết bị IPS, Firewall phải dành tài nguyên để tối ưu bảo mật cho rất nhiều hoạt động.
- Hệ thống phải có khả năng chặn được các cuộc tấn công phân tán, state-exhausting.
- Trong môi trường Cloud đang phát triển hiện nay thì hệ thống này cũng phải làm được.
- Hệ thống phải có cơ chế thông báo tự động hoặc thủ công cho các ISP, Tổ chức trên toàn thế giới kiểm tra
các IP, Source bất thường (tấn công DoS, hoặc có khả năng tham gia tấn công DoS).

[Discussion] Giám sát an ninh mạng - Bàn về giải pháp chống DDoS	20/06/2011 18:45:36 (+0700) \| #65 \| 241503

quybeo83
Member

Joined: 15/07/2010 21:12:11
Messages: 35
Offline

đa phần nếu bị DDos thì vấn đề sập mạng chỉ là thời gian nếu không có một hệ thống phân tích log tốt và có 1 người quản trị có kinh nghiệm. ở nước mình thì băng thông internet là vấn đề lớn đối với các công ty bởi vấn đề kinh phí bởi vậy nếu không có 1 thiết bị chuyên dụng để lọc và ngăn chặn thì nhiều nhất là vài tiếng thì full đường truyền. đã đến lúc các nhà cung cấp dịch vụ internet cần có các thiết bị lọc từ trên để bảo vệ người dùng về các vấn đề tương tự như DDos. có lẽ phải đến khi nào một nhà cung cấp dịch vụ bị tấn công ddos thì lúc đấy vấn đề mới được giải quyết.

[Discussion] Giám sát an ninh mạng - Bàn về giải pháp chống DDoS	06/08/2011 20:29:59 (+0700) \| #66 \| 244663

trycatch
Member

Joined: 07/12/2010 20:00:36
Messages: 15
Offline

This post is set hidden by a moderator because it may be violating forum's guideline or it needs modification before setting visible to members.

[Discussion] Giám sát an ninh mạng - Bàn về giải pháp chống DDoS	31/03/2012 01:22:36 (+0700) \| #67 \| 260436

soi_hoang84
Member

Joined: 19/04/2005 06:16:29
Messages: 4
Offline

Hic , Bác nào Rành về DDos Giúp em vụ này với !

Site bên em Bị DDos mấy ngày hôm nay. mà không có cách nào chặn được
Cũng chẳng biêt xuất phát từ đâu để. Mà mình làm gì sai để ngừoi ta đánh nữa. Hic.
t
Bác nào có giải pháp gì giúp em không , Em chỉ có lưu được mỗi log của host thôi ,

Site: http://cuumaytinh.com .( em vừa chuyển sang server khác nhưng không biết cầm cự đến bao giờ nữa)

Thanks các bác

[Discussion] Giám sát an ninh mạng - Bàn về giải pháp chống DDoS	31/03/2012 16:22:54 (+0700) \| #68 \| 260463

chiro8x
Member

Joined: 26/09/2010 00:38:37
Messages: 661
Location: /home/chiro8x
Offline

Bạn chỉ năn nĩ như vậy có ích gì ? Nếu bạn đề cập đến một vấn đề kỹ thuật thì phải có dẫn chững và hiện tượng cụ thể, nói chung chu thì nhận được mấy lời an ủi thôi. Điều đầu tiên bạn cần làm là :

1. Phân tích hệ thống của bạn, tìm hiểu nguyên nhân dẫn tới quá tải cho hệ thống của bạn.
2. Bắt các gói tin phân tích chúng.
3. Suy nghĩ về giải pháp.

Bạn cần cung cấp các file log, hoặc các bằng chứng cần thiết chứng minh bạn bị D.o.S.

while(1){}

[Discussion] Giám sát an ninh mạng - Bàn về giải pháp chống DDoS	21/10/2012 09:17:23 (+0700) \| #69 \| 270329

boyfriends
Member

Joined: 13/10/2012 02:43:16
Messages: 1
Offline

This post is set hidden by a moderator because it may be violating forum's guideline or it needs modification before setting visible to members.

[Discussion] Giám sát an ninh mạng - Bàn về giải pháp chống DDoS	10/11/2012 22:34:51 (+0700) \| #70 \| 270884

tuandoi1
Member

Joined: 10/07/2009 13:49:17
Messages: 1
Offline

Em chào cả nhà.
Em thì là người không chuyên về quản trị mạng, lại nhất là mấy vụ DDOS này.
Nhưng độ này website của nhóm em bị BOTNET đánh. 1 Lần trước đã bị đánh gần 1 tuần.
Sau khoảng hơn nửa tháng thì lại bị đánh tiếp. Thực sự là anh em trong nhóm không biết là tại sao bị đánh.

Nhóm em có nhờ bên cung cấp dịch vụ máy chủ hỗ trợ. Thì họ bảo là các ip đánh theo kiểu "bắt tay 3 bước" nếu em không nhớ nhầm hay đại khái nó là thế.

Vậy có bác nào làm ơn chỉ dùm em cách "đỡ" hoặc tài liệu(tiếng việt) để em nghiên cứu được không ạ.
Em học lập trình nên mù về quản trị mạng. Mong các anh chỉ chi tiết 1 chút. Em xin cảm ơn.

[Discussion] Giám sát an ninh mạng - Bàn về giải pháp chống DDoS	11/11/2012 00:07:31 (+0700) \| #71 \| 270888

Ky0
Moderator

Joined: 16/08/2009 23:09:08
Messages: 532
Offline

tuandoi1 wrote:

Em chào cả nhà.
Em thì là người không chuyên về quản trị mạng, lại nhất là mấy vụ DDOS này.
Nhưng độ này website của nhóm em bị BOTNET đánh. 1 Lần trước đã bị đánh gần 1 tuần.
Sau khoảng hơn nửa tháng thì lại bị đánh tiếp. Thực sự là anh em trong nhóm không biết là tại sao bị đánh.

Nhóm em có nhờ bên cung cấp dịch vụ máy chủ hỗ trợ. Thì họ bảo là các ip đánh theo kiểu "bắt tay 3 bước" nếu em không nhớ nhầm hay đại khái nó là thế.

Vậy có bác nào làm ơn chỉ dùm em cách "đỡ" hoặc tài liệu(tiếng việt) để em nghiên cứu được không ạ.
Em học lập trình nên mù về quản trị mạng. Mong các anh chỉ chi tiết 1 chút. Em xin cảm ơn.

Nếu bạn không có kiến thức gì về mạng thì tốt nhất nên để cho người nào đó có khả năng. Chống đỡ DDOS không phải là việc của những người không nắm rõ hệ thống! Và nên nhớ trong kỹ thuật các thứ step by step không bao giờ áp dụng được vào thực tế!

- Ky0 -

UITNetwork.com
Let's Connect

[Discussion] Giám sát an ninh mạng - Bàn về giải pháp chống DDoS	06/04/2013 23:03:00 (+0700) \| #72 \| 274743

tieutukho92
Member

Joined: 06/04/2009 10:22:12
Messages: 1
Offline

This post is set hidden by a moderator because it may be violating forum's guideline or it needs modification before setting visible to members.

[Discussion] Giám sát an ninh mạng - Bàn về giải pháp chống DDoS	21/04/2013 11:54:10 (+0700) \| #73 \| 275116

trjeunguyen
Member

Joined: 01/04/2013 13:40:22
Messages: 10
Offline

This post is set hidden by a moderator because it may be violating forum's guideline or it needs modification before setting visible to members.

[Discussion] Giám sát an ninh mạng - Bàn về giải pháp chống DDoS	17/07/2013 01:07:12 (+0700) \| #74 \| 277502

tuan_delete
Member

Joined: 26/06/2006 17:18:53
Messages: 2
Offline

Hiện nay mình thấy các thiết bị phòng chống tấn công IPS ở việt nam rất nhiều hãng , thông số IPS đưa trên catalog rất cao có hãng lên tới 10Gbps nhưng khi bật full IPS còn có 850 Mbps -1,5Gbps. Mình thấy ở Nga , Pháp người ta sử dụng thiết bị IPS thực của hãng NETASQ theo mình biết NETASQ cũng là nhà sản xuất duy nhất đạt chứng chỉ EAL4+ cho cả phần Firewall/IPS và VPN ( Hiện NETASQ VPN được NATO, EU chứng nhận để sử dụng trong các cơ quan chính quyền EU, NATO).

Go to:

Users currently in here
1 Anonymous