English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Xin trợ giúp định hướng xây dựng hệ thống.  XML
  [Question]   Xin trợ giúp định hướng xây dựng hệ thống. 03/07/2011 11:43:48 (+0700) | #1 | 242689
MrDoA
Member
[Minus]    0    [Plus]
Joined: 28/03/2010 11:21:55
Messages: 21
Offline
[Profile] [PM]
Chào các anh, chị em cô gì chú bác trong HVAonline, mở dầu xin được chúc mọi người sức khoẻ và công tác tốt , hì hì.

Chả là thế này, mình có đảm nhận trọng trách quản lý 1 diễn đàn, sử dụng mã nguồn VBulletin 3.8, gần đây do được nhà trường cử về quê canh tác nên mới sờ mó đến cái server 1 chút, thử sử dụng 1 vài phần mềm được chia sẻ trên internet để sờ gáy chính mình, thì quả là, cái server Centos chạy forum của mình tan xác pháo, kèm theo đó trong 1 trận ddos là khoảng 1000 email được gửi đến Gmail của mình (do mình sử dụng SMTP của Gmail, mỗi khi mysql có vấn đề là có 1 mail được gửi đến).

Đi vào vấn đề chính, mình cũng đã thử kết hợp modsecurity với iptables để chặn và drop luôn các gói tin, nhưng tình hình vẫn không khả thi hơn nhiều.

Mình có đọc đến việc sử dụng Reverse Proxy để cản lọc, tuy nhiên, vì không có đủ điều kiện sắm thêm 1 server khác nên mình định rằng sẽ thực hiện chúng ngay trên 1 server và có thể làm việc trong trường hợp sau đây:

1. Internet ===> Reverse Proxy (Nginx, port80) ====> wwwect to port 8080 ==> apache + modsecurity ==> PHP + Mysql
2. Internet ===> Reverse Proxy (Apache + Mod security port 80) ==>Redirect to port 8080 ==> Nginx ==> PHP+ Mysql
3. Internet ===> Reverse Proxy (Apache + Modsecurity port80) ==> Redirect to port 8080 ==> Apache ==> PHP+ Mysql

......

Mọi người có kinh nghiệm hãy trợ giúp mình với, mình cũng là người mới làm quen với các khái niệm trên, chưa được thực nghiệm nhiều do đó nếu có gì sai sót, xin được lượng thứ....
[Up] [Print Copy]
  [Question]   Xin trợ giúp định hướng xây dựng hệ thống. 04/07/2011 11:32:44 (+0700) | #2 | 242730
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Bồ cần nắm rõ một reverse proxy nào đó có thể cản lọc những gì và có độ bền bỉ như thế nào rồi mới có thể hình thành một mô hình thích hợp. Cho dù apache đứng trước, nginx đứng sau hay ngược lại nhưng mỗi cái không có tác dụng cụ thể nào đó thì chúng vẫn chỉ là những dịch vụ thông thường mà thôi. Không phải tự nhiên dựng một mô hình là có thể khắc chế được tình trạng bị tấn công.

Thứ nhất, bồ cần xét đến phương diện băng thông. Nếu băng thông không đủ thì có thêm bao nhiêu lớp cũng chẳng giúp được gì hết.

Thứ nhì, bồ cần xét xem trong tình trang bị DDoS (ở dạng cụ thể nào đó) thì apache có khả năng hoặc tính năng nào giúp kháng cự. Tương tự, nginx có khả năng và tính năng nào trước tình trạng bị DDoS?

Thứ ba, khi bồ nhắc tới php thì bồ nên hiểu hạn chế của các trang web chạy php trong tình trạng bị DDoS như thế nào và lý do tại sao. Từ chỗ hiểu được khía cạnh này, bồ mới có thể tìm cách khắc phục được.

Thứ tư, khi bị DDoS, bồ phải nắm rõ bồ đang bị DDoS cụ thể ở dạng nào để tuỳ đó mà có phương án cụ thể. Không bao giờ có một cấu hình nào có thể đỡ hết mọi dạng DDoS.


Hãy bắt đầu bằng câu hỏi: sự khác nhau giữa một reverse proxy chạy bằng apache và một web service chạy bằng apache nằm ở đâu?
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Xin trợ giúp định hướng xây dựng hệ thống. 04/07/2011 15:21:01 (+0700) | #3 | 242742
MrDoA
Member
[Minus]    0    [Plus]
Joined: 28/03/2010 11:21:55
Messages: 21
Offline
[Profile] [PM]
Cám ơn anh conmale đã ngó ngàng tới bài viết này smilie.

Về vấn đề băng thông thì em cũng không sợ lắm, không phải vì em có một đường truyền quá lớn mà vì diễn đàn em quá bé để huy động 1 lượng lớn lưu lượng làm tắc nghẽn băng thông. smilie

Hãy bắt đầu bằng câu hỏi: sự khác nhau giữa một reverse proxy chạy bằng apache và một web service chạy bằng apache nằm ở đâu? 


Em đọc trong phòng đọc của HVA thì thấy reverse proxy và web service cùng chạy bằng apache khác nhau cơ bản là reverse porxy nhận nhiệm vụ kiểm soát, lọc bỏ các request không hợp lệ, và luân chuyển các request hợp lệ đến đích cuối cùng là webservice.

Theo em nghĩ thì nguyên nhân chủ yếu gây ra tình trạng DoS là do Mysql, vì duy chỉ 1 request đến trang chủ cũng đã có ít nhất 6 queries rồi.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|