- gia tăng băng thông.  

- tạo cơ chế căn bằng tải (nếu có thể thực hiện được). - cản lọc từ tầng IP (ít nhất là giới hạn số lượng request liên tục từ 1 IP trong một khoảng thời gian nào đó). - tối ưu hóa kernel (nếu dùng Linux hoặc hệ điều hành tương tự). - tối ưu hóa tcp stack. - tối ưu hóa web server (apache chẳng hạn).  

Nếu bạn dùng ứng dụng của silveryhat thì nên vào forum của silveryhat để hỏi ý kiến cụ thể về ứng dụng và trở ngại trên. Tôi chỉ có một ý kiến nhỏ là phương pháp chống mà silveryhat đưa ra chỉ có thể ngăn bị DDoS vào đường dẫn của forum và ngăn tình trạng tạo load trên máy chủ (do truy cập quá nhiều vào đường dẫn của forum tạo quá nhiều truy vấn đền CSDL). Nếu mức độ DDoS gia tăng, phương pháp dùng php để chống sẽ không còn hữu hiệu vì chính web service bị cạn kiệt và băng thông bị ngập lụt. Cách chống tôi cho rằng khá hữu hiệu là:  

Chúng tôi cũng đã post xin chỉ về code Firewall của silveryhat, bên ấy sẽ trả lời tròng 1-2 ngày nữa.  

- gia tăng băng thông.  

Chúng tôi đã liên hệ bên nhà cung cấp hosting, thì họ chỉ tăng băng thông khi chúng tôi mua gói mới cao hơn. Trong trường hợp nếu có nhu cầu quá thì họ xem xét lại. Bandwidth hiện tại là 30GB/ Tháng  

- tạo cơ chế căn bằng tải (nếu có thể thực hiện được). - cản lọc từ tầng IP (ít nhất là giới hạn số lượng request liên tục từ 1 IP trong một khoảng thời gian nào đó). - tối ưu hóa kernel (nếu dùng Linux hoặc hệ điều hành tương tự). - tối ưu hóa tcp stack. - tối ưu hóa web server (apache chẳng hạn).  

Những vấn đề này mình chưa hiểu rỏ vì chưa biết nhiều, nếu được xin bạn chỉ dẫn thêm giúp. Chân Thành cám ơn bnạ đã quan tâm. Thân ái ! 

Anh conmale đã góp cho bạn nhiều ý kiến. Theo tôi đó là những ý kiến quý báu. Tôi và các bạn khác sẽ góp thêm vài ý kiến nữa. Trong đó có thể có ý kiến thưc dụng. Nhưng có lẽ trứoc hết xin bạn gietbogia007 cảm phiền tạo một trang xác nhân tại webroot của website thanhca.net Thí dụ: http://www.thanhca.net/xacnhan.html Các thông tin trên post của bạn về cơ bản có lẽ cũng đã xác nhân bạn là admin của website thanhca.net. Nhưng cái nickname của bạn đọc thấy ...ghê ghê quá, chẳng thánh thiện chút nào phải không? Mà đạo Phật hay đạo Thiên chúa vốn rất thánh thiện. 

Xìn chào quý ACE. Website chúng tôi trong tuần này bị DDOS liên lục. Chúng tôi không biết nguyên nhân sao có người đi DDOS vào website tôn giáo. NhacThanh.Net là website cho cộng đồng người công giáo, Thảo luận suy niệm, nghe nhạc. Từ ngày trước ngày 02/09 chúng tôi treo cờ tổ quốc lên thì bị DDOS liên tục. Mà treo cờ tổ quốc thôi cũng bị DDOS. Một điều vô lý. Thánh Ca Thánh Nhạc: http://nhacthanh.net Trang Nhạc: http://nhacthanh.net/forums/music.php Địa chỉ DDOS: http://www.miennamvm.com/ddos/xxx.swf và http://70.37.24.46/ddos/xxx.swf.  

..... Thứ hai, việc chống DDOS không phải là trách nhiệm của chúng tôi và thực tế là DDOS gần như không có cách nào chống cả, anh cần phải hiểu rõ vấn đề anh đang gặp phải. Chúng tôi đã cố gắng hỗ trợ anh liên hệ với nơi quản lý hosting đặt flash đó và chỉ chờ họ phản hồi, ngoài ra không thể làm gì hơn. 

... Với tình hình hiện tại thì cho dù thuê Vitual Private Server hay Dedicated Server thì có lẽ cũng như nhau vì bên cty Host dã trả lời

..... Thứ hai, việc chống DDOS không phải là trách nhiệm của chúng tôi và thực tế là DDOS gần như không có cách nào chống cả, anh cần phải hiểu rõ vấn đề anh đang gặp phải. Chúng tôi đã cố gắng hỗ trợ anh liên hệ với nơi quản lý hosting đặt flash đó và chỉ chờ họ phản hồi, ngoài ra không thể làm gì hơn. 

 

Cách chống tôi cho rằng khá hữu hiệu là: - cản lọc từ tầng IP (ít nhất là giới hạn số lượng request liên tục từ 1 IP trong một khoảng thời gian nào đó). - tối ưu hóa web server (apache chẳng hạn). Thân mến. 

theo tớ 2 cách này là khá hữu hiệu trong việc chống ddos còn nếu thực hiện cơ chế cân bằng tải thì thật là tốt :lol:) nhưng mà túi tiền cũng phải thật là tốt :D) theo tớ cậu nên thuê 1 VPS (nếu có điều kiện hơn chút thì thuê Dedicated Server) vì bây giờ giá của 1 VPS cũng ko phải là cao lắm. tớ cũng sử dụng mod Limit Ip connections cho server của tớ và thấy cũng rất tốt, nếu thuê đc server riêng cậu nên thử xem sao

 

Tôi đề nghị một cách khá liều lĩnh mà tôi đã từng thực hiện là: Chiếm quyền kiểm soát server ( hay nói trắng ra là hack cái server ) để có quyền root mà cấu hình lại server cho phù hợp, dĩ nhiên làm cho cẩn trọng đừng để bị phát hiện là cuộc tấn công xuất hiện từ account của mình ( kĩ năng xóa dấu vết ). Khi có quyền root rồi thì chúng ta sẽ nói tiếp. 

Xin chào ! Bài viết phân tích rất hay, có thể chúng tôi không thể làm gì hơn được nhưng kiến thức được nghe từ anh thì rất thâm túy và hay, chúng tôi vẫn đang chờ giải pháp của anh đưa ra. Thân mến 

Tôi đề nghị một cách khá liều lĩnh mà tôi đã từng thực hiện là: Chiếm quyền kiểm soát server ( hay nói trắng ra là hack cái server ) để có quyền root mà cấu hình lại server cho phù hợp, dĩ nhiên làm cho cẩn trọng đừng để bị phát hiện là cuộc tấn công xuất hiện từ account của mình ( kĩ năng xóa dấu vết ). Khi có quyền root rồi thì chúng ta sẽ nói tiếp. 

Cũng có một giải pháp ít tốn kém hơn và phù hợp với hoàn cảnh VN là thiết lâp Home webserver, áp dụng Dynamic domain name ( tên miền năng động ). Home webserver với 2 CPU 800-1000 MHz, 1 GB RAM (giá khoảng 200 USD) là thừa sức gánh website cỡ nhacthanh.net. Có thể trang bị thêm một security router (loại second-hand), có cơ cấu load balancing, Firewall ngay trên router, giá cũng chĩ khoảng 200 USD. Với security router ta có thể chăn bớt các gói tin DDoS từ ngay vòng ngoài, tại modem-router. Việc áp dụng Dynamic domain name cho phép ta thiết lâp một weserver từ bất cứ nơi nào, trong trừong hợp khẩn cấp, thí dụ từ môt phòng tại khách sạn tỉnh xa, với một laptop, khi mà webserver chính bị tấn công DDoS và sụp đổ.  

to: bạn gietbogia007 Tôi đã gửi cho bạn một vài giải pháp nhỏ. Thư góp ý đã đựoc gửi thẳng vào mục "Góp ý" trên chính forum nhacthanh.net Best Regards 

Em xin phép không đưa ra giải pháp nào vì em cũng đang bị tấn công. Script tấn công site của anh cũng đã từng đc dùng để tấn công site em. Người viết code này (hay cái tên hiện lên) chỉ là 1 cậu bé cấp 3 tên là Phạm Minh Đức, 18 tuổi. Vì bị tấn công nên em điều tra ra đc cái tên đã viết cái code xflash này. Uất quá. Nếu anh cần thêm thông tin về tên này thì em sẽ PM cho anh sau. Em hiện dùng share hosting nhưng GĐ cty em thuê host là người quen nên có thể coi là có quyền root. Cho em hỏi cái cân bằng tải là phần mềm hay phần cứng. Thiết lập thế nào. Em có xem qua cái code của SilveryHat nhưng em thấy k hữu hiệu lắm. 

Bạn vừa gởi bài xong (hoặc hệ thống nhận thấy như thế) cho nên không thể thực hiện việc "gởi" trong cùng chủ đề. Bạn nên xem qua vài chủ đề khác trước khi gởi bài mới. Cám ơn. 

nếu gietbogia007 vẫn còn dùng firewall của silverhat thì bạn có thể dùng regular expression để vào được www và các tên miền cấp 1 khác, code như sau : Code:

session_start();
$URL_OF_FORUM = '/w*\.?nhacthanh\.(net|com|biz|org)\/forum/';
$TEN_COOKIE = 'dnp_firewall';

if ( strstr($_SERVER["HTTP_USER_AGENT"] ,'Googlebot')||strstr($_SERVER["HTTP_USER_AGENT"] ,'msnbot')||strstr($_SERVER["HTTP_USER_AGENT"] ,'slurp'))
{}
else{

if(!ereg($URL_OF_FORUM,$_SERVER['HTTP_REFERER'])) {
if (empty($_SESSION['{$TEN_COOKIE}']))
{
    if (!empty($_POST['{$TEN_COOKIE}']))
    {
        session_register('{$TEN_COOKIE}');
        $_SESSION['{$TEN_COOKIE}']='myforum_protection';
        header("location: ".$_SERVER['REQUEST_URI']);
        exit();
    }

    $sform='<ht ..............................

Lưu ý : đoạn code có bỏ một số chỗ thừa của silverhat, có lẽ do silverhat edit lại từ một code nào đó. Còn code này có hiệu quả không thì tôi chưa test. Nhưng nếu bạn không thể can thiệp vào các tầng thấp hơn thì cũng phải thử các biện pháp ở tầng Application thôi To hrockvn : cân bằng tải (load balancing) là kĩ thuật dùng nhiều host khác nhau, các request sẽ được phân bố đều cho các host để giảm tải. Gần giống kĩ thuật Load balancing của các router 1/. Một ví dụ điển hình là trang 24h.com, cứ www1,www17,... thì chả ai ddos vào làm gì cho mất công  

... Cám ơn bạn đã quan tâm. Hiện tại mình đang dùng firewall của silverhat, nhưng nếu có code chống DDOS hiệu quả hơn thì mình nên dùng. (Nếu có thì cho mình xin).  

Các bác bảo thủ quá, gietbogia007 đã nói rằng không đủ money để chạy dedicate server hoặc VPS thì sao can thiệp được vào tầng ip và transport. Có cách dùng mod rewrite của DantruongX, không biết bạn thử chưa: http://vietnamnet.vn/cntt/2006/05/568109/ Còn về dùng load banlancing, thực ra là bạn không thể dùng được vì nó cũng cần một số quyền để chạy script, application. Và nhiều khi nó còn đắt hơn so với thuê một dedicate server. 

<?php
phpinfo();
?>

.htaccess ******************************************************** RewriteEngine on RewriteCond %{HTTP_REFERER} !^http://(www\.)?nhacthanh.net [NC] RewriteRule \.(php)$ http://sitefirewall.com [NC,R,L] ******************************************************** 

Một câu hỏi hơi ngoài lề chút, mình muốn save cái file swf đó lại mà ko cách nào làm đc ??? 

có @ sẽ làm cho xflash không thể vượt qua được vì server sẽ hiểu nhầm và không chấp nhận cách nhập pass này

http://@username:@password@domain.com 

 

Mình không biết cách sau có hiệu quả không? Ép tất cả thông tin trên web phải đi qua https, tất cả request không hợp lệ ( link sai, http, ... ) đều đẩy về trang chủ https. Đang tính làm như vậy với cái site của mình. Mấy bạn cho mình biết với hén.