English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Chống UDP Flood Attack  XML
  [Question]   Chống UDP Flood Attack 30/05/2013 01:53:44 (+0700) | #1 | 276120
1412luv
Member
[Minus]    0    [Plus]
Joined: 07/05/2009 01:23:22
Messages: 45
Offline
[Profile] [PM]
Chào mọi người. Hiện tại Server e đang chạy game mu. mới mở dịch vụ dc 2 ngày thì liên tiếp bị tấn công 5 ngày nay. Có thể nói Attacker không hề nản khi làm trò hạ lưu này

E dùng window 2008 Trên Server sử dụng các services sau :
- IIS, MSSQL, FTP
- Line 100Mbps FPT. Server và RAM ko có dấu hiệu tăng, chỉ thấy Network 100% và không thể kết nối được vào WEB cũng như Remote

capture wirehark thì gói tin lên đến 70k packets/s. chỉ trong 5h đã lên đến 100b packets

Đây là Log khi attack 1 thời gian trước, mọi người xem giúp em. Hiện tại thì đang attack thẳng vào port của FTP, không còn remote được Server nữa. E đã dùng window firewall tắt tất cả các dịch vụ thậm chí block ip trên window firewall nhưng vẫn không hiệu quả.



[Up] [Print Copy]
  [Question]   Chống UDP Flood Attack 31/05/2013 01:43:27 (+0700) | #2 | 276161
1412luv
Member
[Minus]    0    [Plus]
Joined: 07/05/2009 01:23:22
Messages: 45
Offline
[Profile] [PM]
Không ai giúp được sao??? E đã chặn any port cho IP này mà vẫn dính flood smilie Chắc phải đổi IP và die website vĩnh viễn quá smilie
[Up] [Print Copy]
  [Question]   Chống UDP Flood Attack 31/05/2013 10:10:49 (+0700) | #3 | 276167
[Avatar]
 Ky0
Moderator
Joined: 16/08/2009 23:09:08
Messages: 532
Offline
[Profile] [PM]

1412luv wrote:
Không ai giúp được sao??? E đã chặn any port cho IP này mà vẫn dính flood smilie Chắc phải đổi IP và die website vĩnh viễn quá smilie  

Firewall của windows không phải thiết kế để làm các việc này! Giải pháp duy nhất là bạn nên dụng một firewall Linux phía trước để bảo vệ Server của bạn.
UITNetwork.com
Let's Connect
[Up] [Print Copy]
  [Question]   Chống UDP Flood Attack 31/05/2013 18:29:58 (+0700) | #4 | 276172
1412luv
Member
[Minus]    0    [Plus]
Joined: 07/05/2009 01:23:22
Messages: 45
Offline
[Profile] [PM]
Không có cách nào sao anh??

Anh có thể giới thiệu cho e 1 vài firewall linux được ko??? Nếu có thể chống được, e sẽ xem xét và đầu tư. Ths anh đã trả lời, chờ mấy ngày bên phía data cũng ko hỗ trợ
[Up] [Print Copy]
  [Question]   Chống UDP Flood Attack 12/06/2013 00:52:51 (+0700) | #5 | 276517
[Avatar]
 mimy
Member
[Minus]    0    [Plus]
Joined: 13/09/2006 22:27:18
Messages: 29
Offline
[Profile] [PM]
bạn có thể dùng iptable cũng được, nó được tích hợp sẵn đó.
[Up] [Print Copy]
  [Question]   Chống UDP Flood Attack 21/06/2013 13:06:37 (+0700) | #6 | 276766
PXMMRF
Administrator
Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]
Bạn 1412luv cài Windows Server 2008 RC2 (64 bits )- (chắc là 64 bits?) cơ mà. Đưa Linux application vào đây không được hay sẽ rất rắc rối! Hì hì.

Trong trường hợp này để ngăn chặn các kết nối- tấn công sử dung các gói tin UDP thông qua giao thức HTTP thì chỉ cân cài một firewall (chạy trên nền Windows) rồi config. cho đúng là xong.

Firewall nào có thể dùng trong trường hợp này?

1- Tiny Firewall Pro 6.5.126 for server
Firewall này chạy rất tốt trên nền Windows server Enterprise 2003 và chạy tạm được trên Win server 2008.
2- CA Firewall
(CA mua lại công ty Tiny, một công rất nổi tiếng về Firewall trước đây)
3- CA Internet security set (trong đó tích hợp 1 Firewall).

Config. Firewall thế nào?

Với các firewall trên, config. lại HTTP protocol (cổng 80): chỉ cho các gói tin TCP đi qua, không cho các gói tin UDP đi qua, là xong.


The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Question]   Chống UDP Flood Attack 22/06/2013 17:17:17 (+0700) | #7 | 276800
[Avatar]
 mylove14129
Member
[Minus]    0    [Plus]
Joined: 27/04/2008 19:07:19
Messages: 106
Offline
[Profile] [PM]

PXMMRF wrote:

Trong trường hợp này để ngăn chặn các kết nối- tấn công sử dung các gói tin UDP thông qua giao thức HTTP thì chỉ cân cài một firewall (chạy trên nền Windows) rồi config. cho đúng là xong.
 

Hình như theo trường hợp bạn này mô tả thì đây không phải là tấn công UDP thông qua giao thức HTTP anh.
To : 1412luv, những thông tin bạn đưa ra quá sơ sài, không thể khẳng định là tấn công kiểu gì và vào đâu được.
[Up] [Print Copy]
  [Question]   Chống UDP Flood Attack 24/06/2013 12:16:10 (+0700) | #8 | 276840
PXMMRF
Administrator
Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

mylove14129 wrote:

PXMMRF wrote:

Trong trường hợp này để ngăn chặn các kết nối- tấn công sử dung các gói tin UDP thông qua giao thức HTTP thì chỉ cân cài một firewall (chạy trên nền Windows) rồi config. cho đúng là xong.
 

Hình như theo trường hợp bạn này mô tả thì đây không phải là tấn công UDP thông qua giao thức HTTP anh.
To : 1412luv, những thông tin bạn đưa ra quá sơ sài, không thể khẳng định là tấn công kiểu gì và vào đâu được. 


Ừ, có thể đúng như mylove14129 đã nói, mặc dù bạn 1412luv mô tả hiện tượng không rõ và không có chi tiết cụ thể.

Tuy nhiên nếu căn cứ vào dòng cuối trên WireShark cache mà 1412luv đã post lên:

"User Datagram Protocol, Src Port: blackjack (1025), Dst Port: ms-wxx-server (3389)" 


thì thấy là máy tính có host name là "blackjack" có IP là 168.63.237.176 từ cổng 1025 đã tấn công (gửi các gói tin UDP) vào cổng 3389 UDP của server của bạn 1412luv, chứ không phải cổng 80 UDP. Hacker có thể đã sử dụng một tool UDP DoS nào đó.

Có vấn đề gì ở đây?
Vấn đề là webserver của bạn 1412luv không hiểu vì sao đang mở một số cổng UDP, trong khi có thể không cần thiết như vậy.
Bạn 1412luv phải kiềm tra và đóng hết các cổng UDP (kể cả TCP) không cần thiết. Tốt nhất là từ bên ngoài truy cập đến webserver của mình để kiểm tra thưc tế.

Ngoài ra bạn 1412luv đã xoá IP tĩnh mà webserver của mình đang dùng trên WireShark cache, mà lại quên xoá hostname (hay computer name): ms-wxx-server. Hì hì.


The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Question]   Chống UDP Flood Attack 27/06/2013 12:39:34 (+0700) | #9 | 276951
[Avatar]
 nhuhoang
Elite Member
[Minus]    0    [Plus]
Joined: 27/06/2007 00:49:10
Messages: 111
Location: /dev/null
Offline
[Profile] [PM] [WWW]

PXMMRF wrote:

Ngoài ra bạn 1412luv đã xoá IP tĩnh mà webserver của mình đang dùng trên WireShark cache, mà lại quên xoá hostname (hay computer name): ms-wxx-server. Hì hì.
 


Cái ms-wxx-server đấy là dst port đấy chứ, IP dst thì bạn ấy đã xoá hết rồi

Với kiểu tấn công này thì attacker làm flush network lên 100% nên nếu chặn ở server mình cũng không có nhiều tác dụng. Các router trung gian vẫn cho gói tin UDP đi qua và làm ngập đường truyền.

Giải pháp tốt nhất và có lẽ duy nhất là liên hệ với data center, đề nghị họ chặn toàn bộ gói tin UDP gửi đến địa chỉ server của bạn ấy, ngay tại router biên của data center
[Up] [Print Copy]
  [Question]   Chống UDP Flood Attack 27/06/2013 13:11:24 (+0700) | #10 | 276952
[Avatar]
 mylove14129
Member
[Minus]    0    [Plus]
Joined: 27/04/2008 19:07:19
Messages: 106
Offline
[Profile] [PM]
Theo nhận định của mình thì có thể sv của bạn bị UDP flood vào port 3389( do bạn mở remote desktop)

nhuhoang wrote:

Giải pháp tốt nhất và có lẽ duy nhất là liên hệ với data center, đề nghị họ chặn toàn bộ gói tin UDP gửi đến địa chỉ server của bạn ấy, ngay tại router biên của data
 

Giải pháp này khó mà thực hiện được, do trên sv của bạn 1412luv còn chạy một vài dịch vụ khác cần UDP( ex: game sv). Giải pháp của mình:
1. Không dùng remote desktop( cách này tốt nhất vì port 3389 thường xuyên bị tấn công, cả bruteforce)
2. Nếu vẫn dùng remote desktop.
Mở cửa sổ cmd dưới quyền administrator gõ thêm command sau( Win server 2008):
Code:
netsh advfirewall firewall add rule name="block_udp_3389" protocol=UDP localport = 3389 action=block dir=in
[Up] [Print Copy]
  [Question]   Chống UDP Flood Attack 28/06/2013 14:29:28 (+0700) | #11 | 276967
[Avatar]
 nhuhoang
Elite Member
[Minus]    0    [Plus]
Joined: 27/06/2007 00:49:10
Messages: 111
Location: /dev/null
Offline
[Profile] [PM] [WWW]

mylove14129 wrote:
Theo nhận định của mình thì có thể sv của bạn bị UDP flood vào port 3389( do bạn mở remote desktop)

nhuhoang wrote:

Giải pháp tốt nhất và có lẽ duy nhất là liên hệ với data center, đề nghị họ chặn toàn bộ gói tin UDP gửi đến địa chỉ server của bạn ấy, ngay tại router biên của data
 

Giải pháp này khó mà thực hiện được, do trên sv của bạn 1412luv còn chạy một vài dịch vụ khác cần UDP( ex: game sv). Giải pháp của mình:
1. Không dùng remote desktop( cách này tốt nhất vì port 3389 thường xuyên bị tấn công, cả bruteforce)
2. Nếu vẫn dùng remote desktop.
Mở cửa sổ cmd dưới quyền administrator gõ thêm command sau( Win server 2008):
Code:
netsh advfirewall firewall add rule name="block_udp_3389" protocol=UDP localport = 3389 action=block dir=in
 


1. RDP cho win2k8 chỉ dùng TCP3389 chứ không dùng UDP3389
2. add thêm firewall rule vào windows trong trường hợp này cũng không có tác dụng gì bởi vì gói tin UDP đi đến server mới bị drop, trong lúc đấy thì network bandwidth đã full 100% rồi thì người dùng bt cũng không thể vào được. Đây là đòn hy sinh khi attacker có bandwidth bằng hoặc lớn hơn của victim

Theo như mình quan sát trên hình thì server có IP 168.63.237.176 chính là nguồn gốc của cuộc tấn công, có location tại singapore, vậy thì mình đoán máy chủ của bạn 1412luv cũng không phải ở VN thì mới bị flush như vậy. Kiểu tấn công này nếu được thực hiện từ 1 số IP nhất định thì bạn chỉ cần thu thập các evidence rồi gửi cho DC bảo họ block đi là xong
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|