Hiện tại Server mình đang bị tấn công DDos

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận bảo mật

Hiện tại Server mình đang bị tấn công DDos

[Discussion] Hiện tại Server mình đang bị tấn công DDos	09/09/2010 12:36:21 (+0700) \| #1 \| 220328

nguago
Member

Joined: 19/08/2006 12:04:16
Messages: 43
Location: 127.0.0.1
Offline

Mình mới sử dụng Server nên không biết nhiều về config, biết vài command cơ bản để lấy thống kê thôi
Mình dùng "top" để kiểm tra Ram và CPU, Lúc server bình thường thì task tầm 40-50, cái dưới này là lấy thống kê lúc đang bị tấn công nhưng ở mức server còn hoạt động tốt, ngang với mức bình thường:

top - 13:31:51 up 1:02, 2 users, load average: 6.46, 6.74, 8.27
Tasks: 55 total, 6 running, 49 sleeping, 0 stopped, 0 zombie
Cpu(s): 94.7%us, 5.3%sy, 0.0%ni, 0.0%id, 0.0%wa, 0.0%hi, 0.0%si, 0.0%st
Mem: 2097152k total, 682304k used, 1414848k free, 0k buffers
Swap: 0k total, 0k used, 0k free, 0k cached

Nhưng khi bị tấn công thì có thể lên đến 100->300
Mình dùng lệnh netstat -nap |grep SYN để xem các SYN thì thấy rất nhiều IP trùng nhau, mình dùng htaccess chặn tạm các IP này thì thấy server giảm tải đáng kể, vậy là ngổi nhìn cái "top" cả buổi, cứ vọt lên quá 80 là check và chặn IP (Nó lại xuống bình thường). Hiện nay đã chặn 3 chục cái IP rồi smilie

Cách này hơi củ chuối nhưng mình ko còn cách nào khác, ai có cao kiến giúp mình với !

Đây là lúc bị tấn công:

top - 13:53:59 up 1:24, 2 users, load average: 66.82, 37.49, 19.92
Tasks: 232 total, 52 running, 72 sleeping, 0 stopped, 108 zombie
Cpu(s): 94.1%us, 5.9%sy, 0.0%ni, 0.0%id, 0.0%wa, 0.0%hi, 0.0%si, 0.0%st
Mem: 2097152k total, 2079644k used, 17508k free, 0k buffers
Swap: 0k total, 0k used, 0k free, 0k cached

HVA No 1 !
http://let.vn

[Discussion] Hiện tại Server mình đang bị tấn công DDos	09/09/2010 15:22:19 (+0700) \| #2 \| 220351

myquartz
Member

Joined: 04/01/2005 04:58:30
Messages: 563
Offline

nguago wrote:

Mình mới sử dụng Server nên không biết nhiều về config, biết vài command cơ bản để lấy thống kê thôi
Mình dùng "top" để kiểm tra Ram và CPU, Lúc server bình thường thì task tầm 40-50, cái dưới này là lấy thống kê lúc đang bị tấn công nhưng ở mức server còn hoạt động tốt, ngang với mức bình thường:

top - 13:31:51 up 1:02, 2 users, load average: 6.46, 6.74, 8.27
Tasks: 55 total, 6 running, 49 sleeping, 0 stopped, 0 zombie
Cpu(s): 94.7%us, 5.3%sy, 0.0%ni, 0.0%id, 0.0%wa, 0.0%hi, 0.0%si, 0.0%st
Mem: 2097152k total, 682304k used, 1414848k free, 0k buffers
Swap: 0k total, 0k used, 0k free, 0k cached

Nhưng khi bị tấn công thì có thể lên đến 100->300

Lúc bình thường, CPU đã bận tới 94%us+5%sy rồi (thông số dành cho us, và sys), như thế đã là quá tải.
Nếu bị tấn công, hoặc có khi đông khách hơn 1 chút thì chắc chắn chỉ cần thêm 1 chút là server lăn quay ra. Có khi ko phải do DOS đâu mà có khi là do khách hàng vào nhiều hơn đấy.
Nên tìm cách giảm tải (tuning ứng dụng hoặc DB), hoặc là tăng sức mạnh của máy lên, thêm CPU.
Bị DOS là thông thường server chạy 30, 40% tải, tự nhiên vọt lên 90-100% mới có khả năng là bị DoS.

[Discussion] Hiện tại Server mình đang bị tấn công DDos	09/09/2010 16:14:02 (+0700) \| #3 \| 220356

K4i
Moderator

Joined: 18/04/2006 09:32:13
Messages: 635
Location: Underground
Offline

Có thể cho mình xem output của lệnh

Code:

cat /proc/cpuinfo

được không?

Còn cao kiến thì mấy cái này phải ngồi nghiền ngẫm Ký sự của conmale rồi. Cách chặn IP chỉ là giải pháp tình thế mà thôi

Sống là để không chết chứ không phải để trở thành anh hùng

[Discussion] Hiện tại Server mình đang bị tấn công DDos	09/09/2010 17:31:25 (+0700) \| #4 \| 220365

nguago
Member

Joined: 19/08/2006 12:04:16
Messages: 43
Location: 127.0.0.1
Offline

@myquartz : Mình chắc chắn là bị DDos, cái đầu mình đưa lên là trong lúc bị DDos nhưng giảm đi rồi, hệ thống vẫn nhảy loạn chứ bình thường chỉ có 20% thôi

@K4i Của cậu đây:

Hiện server đang bình thường, tranh thủ chụp lại smilie

Code:

top - 20:22:44 up  1:33,  2 users,  load average: 3.45, 3.64, 3.38
Tasks:  41 total,   5 running,  36 sleeping,   0 stopped,   0 zombie
Cpu(s): 26.9%us,  2.3%sy,  0.0%ni, 70.8%id,  0.0%wa,  0.0%hi,  0.0%si,  0.0%st
Mem:   2097152k total,   349324k used,  1747828k free,        0k buffers
Swap:        0k total,        0k used,        0k free,        0k cached

HVA No 1 !
http://let.vn

[Discussion] Hiện tại Server mình đang bị tấn công DDos	09/09/2010 22:43:36 (+0700) \| #5 \| 220392

myquartz
Member

Joined: 04/01/2005 04:58:30
Messages: 563
Offline

Nếu chỉ với tầm tải 30%, cà CPU cũng mạnh, bạn có thể dùng 1 tool có tên là fail2ban. Tuy nó ko bằng mod_security về mặt nhận dạng tấn công, nhưng nó khá đơn giản và dùng phối hợp với mod_sec nữa thì khá là ổn. Fail2ban tuy có tốn 1 ít CPU nhưng cũng còn đỡ hơn mod_sec.
Tớ hay sử dụng fail2ban để chặn IP nào gửi lượng request nhiều hơn bình thường khoảng 2 lần, nhất là nếu kết quả request là negative (file not found, forbid hoặc 1 lỗi nào đó). Tất nhiên có thể bạn sẽ chặn nhầm cả người dùng proxy hoặc NAT, ví dụ xài 3G, họ share chung Pubic IP, cái này bạn có thể dùng thêm white list trong fail2ban. Điều chỉnh liều lượng để chặn thì có thể "hạ tải" cho server bạn.
Muốn chống DOS chi tiết hơn thì loạt bài ký sự chống DOS của HVA này cũng cho biết rất nhiều thủ thuật. Nhưng cơ bản, là tăng sức mạnh phần cứng (nay khá là rẻ tiền), tuning ứng dụng sao cho đạt hiệu năng cao nhất có thể (cái này tốn rất nhiều ... công sức, cơ mà nó là biện pháp tốt nhất để chống DOS, bên cạnh việc dùng tool phụ trợ).

Go to:

Users currently in here
1 Anonymous