Hầu hết những bạn trẻ theo nghiệp CNTT ở Việt Nam đều thiếu đi sự định hướng , đa số là tự phát và tự nghiệm ra cho bản thân ! Không phải ai cũng có may mắn được làm đúng công việc mình yêu thích trong một môi trường lành mạnh ! Những người đã và đang nhúng tay vào chàm nếu có được sự giáo dục kịp thời hơn có lẽ đã không như vậy ! CNTT >>> tuổi trẻ ...Tuổi trẻ mà ai cũng có lúc bồng bột và sai lầm ! [color=red]Hi vọng các bạn trẻ bi giờ có tầm nhìn rộng hơn chúng tôi có vậy CNTT Việt Nam mới thay đổi tốt lên được! [/color] 

veiska wrote:

Hầu hết những bạn trẻ theo nghiệp CNTT ở Việt Nam đều thiếu đi sự định hướng , đa số là tự phát và tự nghiệm ra cho bản thân ! Không phải ai cũng có may mắn được làm đúng công việc mình yêu thích trong một môi trường lành mạnh ! Những người đã và đang nhúng tay vào chàm nếu có được sự giáo dục kịp thời hơn có lẽ đã không như vậy ! CNTT >>> tuổi trẻ ...Tuổi trẻ mà ai cũng có lúc bồng bột và sai lầm ! [color=red]Hi vọng các bạn trẻ bi giờ có tầm nhìn rộng hơn chúng tôi có vậy CNTT Việt Nam mới thay đổi tốt lên được! [/color] 

Làm sao để các bạn trẻ có tầm nhìn rộng hơn đây? :) 

conmale wrote:

veiska wrote:

Hầu hết những bạn trẻ theo nghiệp CNTT ở Việt Nam đều thiếu đi sự định hướng , đa số là tự phát và tự nghiệm ra cho bản thân ! Không phải ai cũng có may mắn được làm đúng công việc mình yêu thích trong một môi trường lành mạnh ! Những người đã và đang nhúng tay vào chàm nếu có được sự giáo dục kịp thời hơn có lẽ đã không như vậy ! CNTT >>> tuổi trẻ ...Tuổi trẻ mà ai cũng có lúc bồng bột và sai lầm ! [color=red]Hi vọng các bạn trẻ bi giờ có tầm nhìn rộng hơn chúng tôi có vậy CNTT Việt Nam mới thay đổi tốt lên được! [/color] 

Làm sao để các bạn trẻ có tầm nhìn rộng hơn đây? :) 

Người dạy dỗ các bạn trẻ có tầm nhìn rộng hơn anh ạ ;)  

Theo đánh giá của một chuyên gia hàng đầu về an ninh mạng tại Việt Nam, “đàn botnet” đang được sử dụng để tấn công báo VietNamNet có quy mô lớn chưa từng có tại Việt Nam, với số lượng trên 50.000 máy tính bị nhiễm virus. Để “chăn” được đàn botnet này phải là hacker chuyên nghiệp, tạo được virus có khả năng ẩn mình rất tốt để tránh bị các phần mềm diệt virus phát hiện, cũng như đã phát tán từ rất lâu để lên được số lượng lớn như vậy. Nếu so sánh với cuộc tấn công vào hàng loạt website của chính phủ Mỹ và Hàn Quốc hồi tháng 7/2009, chuyên gia của US-CERT nhận định quy mô của mạng botnet cũng chỉ ở mức 40.000 đến 60.000 máy tính zombie. Nên sẽ không quá lời khi đánh giá vụ tấn công DOS đang nhằm vào VietNamNet không chỉ là chưa từng có ở Việt Nam, mà còn có thể so sánh với vụ tấn công DOS gây chấn động thế giới năm 2009. 

Vietnamnet nay có đoạn này,liệu có phải vậy không bác Conmale,hay họ nói quá vậy bác :( 

vụ này có liên quan tới việc chặn Fb không. Nếu có cả IP của VN chắc có liên quan tới FB vì từ đầu vụ hack tới giờ Fb bị chặn. gần như ko vào được 

Trước nay tớ thích đọc báo vietnamnet lắm, nhưng dạo này thấy đưa tin nhảm cũng nhiều quá! Chán ngấy khi mở trang báo nào ra toàn là tin hiếp dâm, cướp bóc, khoe hàng, ....! 

smokecoffe wrote:

Trước nay tớ thích đọc báo vietnamnet lắm, nhưng dạo này thấy đưa tin nhảm cũng nhiều quá! Chán ngấy khi mở trang báo nào ra toàn là tin hiếp dâm, cướp bóc, khoe hàng, ....! 

Lạc đề quá. Nói như bồ chẳng lẽ vị trang này đưa toàn là tin "hiếp dâm, cướp bóc, khoe hàng, ...." không thôi sao? Và cứ cho là chuyện này có thật đi thì đó cũng chẳng phải là lý do để bị DDoS nặng nề như vậy. 

Có vẻ các bác nhà ta đang akay vụ này rồi :D tướng tá họp báo rùi nhá :D http://www.cand.com.vn/vi-VN/trongmatdan/2011/1/142762.cand 

Các trinh sát nhận thấy, việc tổ chức thực hiện các trang web có nội dung đồi trụy thu hút đông người truy cập, gây nhiều tác động ảnh hưởng tiêu cực đến lối sống và quan điểm chính trị, xã hội của giới trẻ nói chung và cộng đồng mạng nói riêng. Hành vi của đối tượng vi phạm Tội Tuyên truyền văn hóa phẩm đồi trụy (theo Khoản 1 Điều 253 Bộ luật Hình sự).  

http://www.tin247.com/tim_thay_may_chu_dieu_khien_%E2%80%9Cdanh%E2%80%9D_vietnamnet-4-21709743.html 

Tuy nhiên, CMC InfoSec phát hiện Oxdex.com có IP 178.162.225.254, thuộc AS28753 quản lý bởi ISP Netdirekt – một Công ty của nước Đức. Đây cũng là đơn vị mang nhiều tai tiếng về dịch vụ đặt máy chủ rất nhiều mã độc, các trang lừa đảo và rác. 

holiganvn wrote:

http://www.tin247.com/tim_thay_may_chu_dieu_khien_%E2%80%9Cdanh%E2%80%9D_vietnamnet-4-21709743.html 

Cực kỳ lý thú:

Tuy nhiên, CMC InfoSec phát hiện Oxdex.com có IP 178.162.225.254, thuộc AS28753 quản lý bởi ISP Netdirekt – một Công ty của nước Đức. Đây cũng là đơn vị mang nhiều tai tiếng về dịch vụ đặt máy chủ rất nhiều mã độc, các trang lừa đảo và rác. 

 

smokecoffe wrote:

Trước nay tớ thích đọc báo vietnamnet lắm, nhưng dạo này thấy đưa tin nhảm cũng nhiều quá! Chán ngấy khi mở trang báo nào ra toàn là tin hiếp dâm, cướp bóc, khoe hàng, ....! 

Lạc đề quá. Nói như bồ chẳng lẽ vị trang này đưa toàn là tin "hiếp dâm, cướp bóc, khoe hàng, ...." không thôi sao? Và cứ cho là chuyện này có thật đi thì đó cũng chẳng phải là lý do để bị DDoS nặng nề như vậy. 

holiganvn wrote:

http://www.tin247.com/tim_thay_may_chu_dieu_khien_%E2%80%9Cdanh%E2%80%9D_vietnamnet-4-21709743.html 

Cực kỳ lý thú:

Tuy nhiên, CMC InfoSec phát hiện Oxdex.com có IP 178.162.225.254, thuộc AS28753 quản lý bởi ISP Netdirekt – một Công ty của nước Đức. Đây cũng là đơn vị mang nhiều tai tiếng về dịch vụ đặt máy chủ rất nhiều mã độc, các trang lừa đảo và rác. 

 

do đội ngũ kĩ thuật kém nên bị tấn công là phải.thời buổi cntt mà còn chậm về kĩ thuật thì chỉ có bị tấn công thui. 

;) do đội ngũ kĩ thuật kém nên bị tấn công là phải.thời buổi cntt mà còn chậm về kĩ thuật thì chỉ có bị tấn công thui. 

conmale wrote:

holiganvn wrote:

http://www.tin247.com/tim_thay_may_chu_dieu_khien_%E2%80%9Cdanh%E2%80%9D_vietnamnet-4-21709743.html 

Cực kỳ lý thú:

Tuy nhiên, CMC InfoSec phát hiện Oxdex.com có IP 178.162.225.254, thuộc AS28753 quản lý bởi ISP Netdirekt – một Công ty của nước Đức. Đây cũng là đơn vị mang nhiều tai tiếng về dịch vụ đặt máy chủ rất nhiều mã độc, các trang lừa đảo và rác. 

 

Cái phải có tí liên quan tới STL không anh ;) 

CMC infosec có người của HVA nằm vùng ở trỏng đó :-) 

Có thể là sự trùng hợp ngẫu nhiên nhưng cần ghi nhận rằng theo profile của netdirekt.de thì hầu như không có khách hàng người Việt và không có website tiếng Việt host trên mạng do netdirekt quản lý. Các vụ tấn công đi từ mạng netdirekt chủ yếu nhắm tới khu vực châu Âu và bắc Mỹ. Trước giờ chưa hề có một report nào nói về tình trạng tấn công đi từ netdirekt trực tiếp đến các sites tiếng Việt ngoài vụ STL năm ngoái (mà tớ điều tra và ghi nhận) và vụ vietnamnet mà CMC tường trình ở trên. 

conmale wrote:

Có thể là sự trùng hợp ngẫu nhiên nhưng cần ghi nhận rằng theo profile của netdirekt.de thì hầu như không có khách hàng người Việt và không có website tiếng Việt host trên mạng do netdirekt quản lý. Các vụ tấn công đi từ mạng netdirekt chủ yếu nhắm tới khu vực châu Âu và bắc Mỹ. Trước giờ chưa hề có một report nào nói về tình trạng tấn công đi từ netdirekt trực tiếp đến các sites tiếng Việt ngoài vụ STL năm ngoái (mà tớ điều tra và ghi nhận) và vụ vietnamnet mà CMC tường trình ở trên. 

Hi.Em thì em nghĩ khác.Tại sao lại là netdirekt.de mà không phải là một mạng khác. Hay là quen dùng rồi nên thế nhỉ :-/ Theo anh, nếu anh là thấy bói "Xem Voi" anh đoán con "Voi" này thế nào?  

178.162.225.254 thuộc dải IP của ISP SANTREX-INTERNET-SERVICE. Chắc các anh ý thuê tại đây : http://www.santrex.net/dedicatedservers.php. ISP này có server đặt ở rất nhiều nơi tại Châu Âu. Thuê thoải mái luôn. Chắc hồi xưa các anh STL cũng thuê ở đây :D. 

nguoididingoaipho wrote:

178.162.225.254 thuộc dải IP của ISP SANTREX-INTERNET-SERVICE. Chắc các anh ý thuê tại đây : http://www.santrex.net/dedicatedservers.php. ISP này có server đặt ở rất nhiều nơi tại Châu Âu. Thuê thoải mái luôn. Chắc hồi xưa các anh STL cũng thuê ở đây :D. 

Hì hì, chỗ nào mà không "thuê thoải mái"? Có xiền là thuê thôi. Điều quan trọng là thuê xong, quậy xong có được công ty cho thuê kia chứa chấp (bằng cách ù lì với các than phiền hoặc dây dưa với nhà chức trách) hay không thôi. 

conmale wrote:

nguoididingoaipho wrote:

178.162.225.254 thuộc dải IP của ISP SANTREX-INTERNET-SERVICE. Chắc các anh ý thuê tại đây : http://www.santrex.net/dedicatedservers.php. ISP này có server đặt ở rất nhiều nơi tại Châu Âu. Thuê thoải mái luôn. Chắc hồi xưa các anh STL cũng thuê ở đây :D. 

Hì hì, chỗ nào mà không "thuê thoải mái"? Có xiền là thuê thôi. Điều quan trọng là thuê xong, quậy xong có được công ty cho thuê kia chứa chấp (bằng cách ù lì với các than phiền hoặc dây dưa với nhà chức trách) hay không thôi. 

Nhờ thế mà mềnh mới có được cái điều lý thú như bác nói ở trên đó :D. Mà chắc các anh ý cũng nghiên cứu ghê lắm mới quyết định thuê của netdirekt.de nhỉ.  

Theo thông tin từ báo điện tử này, có ít nhất 300 nghìn địa chỉ mạng (IP) phân bố rải rác khắp nơi và từ tất cả các nhà cung cấp dịch vụ Internet (ISP) ở Việt Nam tấn công vào VietnamNet. Chưa hết, số lượng IP tại mỗi thời điểm tấn công không lặp lại. 

Ở lúc cao điểm, chúng tôi chuyển 1/8 lưu lượng tấn công sang một hệ thống khác nhờ xử lý giúp, nhưng băng thông 2Gbps của hệ thống này lập tức bị nghẽn” – một chuyên gia bảo mật tham gia ứng cứu cùng VietnamNet cho biết (băng thông của VietnamNet được coi là “khủng” cũng mới lên đến 1Gbps – PV). 

... Các thiết bị Cisco, PIX, ngay cả trên BSD, Linux đều có thể có nhiều biện pháp tạo hoặc dùng /dev/null để chuyển hướng các packets "vi phạm" kia một cách nhanh chóng và gọn gàng.  

conmale$ traceroute vietnamnet.vn
traceroute: Warning: vietnamnet.vn has multiple addresses; using 117.103.197.249
traceroute to vietnamnet.vn (117.103.197.249), 64 hops max, 52 byte packets
 1  172.16.1.99 (172.16.1.99)  3.256 ms  2.376 ms  2.266 ms
 2  10.64.0.1 (10.64.0.1)  9.551 ms  12.110 ms  8.239 ms
 3  riv3-ge1-2.gw.optusnet.com.au (198.142.192.161)  8.504 ms  7.963 ms  7.733 ms
 4  mas1-ge13-0-0-905.gw.optusnet.com.au (211.29.125.21)  18.982 ms  9.850 ms  11.522 ms
 5  mas3-ge2-0.gw.optusnet.com.au (211.29.125.237)  9.214 ms  9.339 ms  10.057 ms
 6  203.208.192.169 (203.208.192.169)  169.115 ms  179.886 ms  182.649 ms
 7  ge-0-0-0-0.laxow-dr1.ix.singtel.com (203.208.171.65)  178.756 ms
    203.208.149.33 (203.208.149.33)  169.686 ms
    ge-0-0-0-0.laxow-dr1.ix.singtel.com (203.208.171.65)  168.359 ms
 8  xe-0-1-0-0.laxow-dr3.ix.singtel.com (203.208.149.117)  174.514 ms
    203.208.152.202 (203.208.152.202)  614.025 ms
    xe-0-1-0-0.laxow-dr3.ix.singtel.com (203.208.149.117)  175.219 ms
 9  xe-1-0-0-0.hkgcw-cr3.ix.singtel.com (203.208.152.125)  473.260 ms  613.086 ms  616.756 ms
10  203.208.149.2 (203.208.149.2)  184.680 ms
    xe-1-0-0-0.hkgcw-cr3.ix.singtel.com (203.208.152.125)  612.929 ms
    203.208.149.2 (203.208.149.2)  189.302 ms
11  d1-98-230-143-118-on-nets.com (118.143.230.98)  729.025 ms
    203.208.171.130 (203.208.171.130)  614.731 ms  611.874 ms
12  xe-1-0-0-0.hkgcw-cr3.ix.singtel.com (203.208.152.125)  615.272 ms
    user244-0.enet.vn (125.214.0.244)  614.363 ms
    xe-1-0-0-0.hkgcw-cr3.ix.singtel.com (203.208.152.125)  615.712 ms
13  117.103.228.93 (117.103.228.93)  611.763 ms
    203.208.190.82 (203.208.190.82)  528.150 ms
    user244-0.enet.vn (125.214.0.244)  614.636 ms
14  d1-98-230-143-118-on-nets.com (118.143.230.98)  613.326 ms
    117.103.197.249 (117.103.197.249)  612.069 ms
    d1-98-230-143-118-on-nets.com (118.143.230.98)  613.976 ms

[geek@germany ~]$ traceroute vietnamnet.vn
traceroute to vietnamnet.vn (117.103.197.249), 20 hops max, 40 byte packets
1 router144-1.muc1.mivitec.net (91.90.144.1) 2.956 ms
2 62.140.25.41 (62.140.25.41) 0.689 ms
3 ae-11-11.car1.Munich1.Level3.net (4.69.133.253) 173.829 ms
4 ae-4-4.ebr1.Frankfurt1.Level3.net (4.69.134.2) 6.415 ms
5 ae-91-91.csw4.Frankfurt1.Level3.net (4.69.140.14) 17.151 ms
6 ae-72-72.ebr2.Frankfurt1.Level3.net (4.69.140.21) 6.898 ms
7 ae-44-44.ebr2.Washington1.Level3.net (4.69.137.62) 97.086 ms
8 ae-92-92.csw4.Washington1.Level3.net (4.69.134.158) 93.577 ms
9 ae-84-84.ebr4.Washington1.Level3.net (4.69.134.185) 99.814 ms
10 ae-4-4.ebr3.LosAngeles1.Level3.net (4.69.132.81) 159.520 ms
11 ae-4-90.edge3.LosAngeles1.Level3.net (4.69.144.201) 159.757 ms
12 cr1.lax1.us.packetexchange.net (4.71.136.2) 168.744 ms
13 te4-1.cr1.lax1.us.packetexchange.net (69.174.120.141) 177.229 ms
14 218.189.31.25 (218.189.31.25) 160.724 ms
15 218.189.5.138 (218.189.5.138) 160.963 ms
16 d1-1-224-143-118-on-nets.com (118.143.224.1) 314.368 ms
17 218.189.5.39 (218.189.5.39) 322.274 ms
18 d1-98-230-143-118-on-nets.com (118.143.230.98) 374.891 ms
19 user244-0.enet.vn (125.214.0.244) 366.511 ms
20 117.103.228.93 (117.103.228.93) 365.514 ms

13:06:39.771 0.042 380 0 GET null Redirect http://www.vietnamnet.vn/ 13:06:40.278 6.449 427 182 GET 302 Redirect to: http://vietnamnet.vn http://www.vietnamnet.vn/ 13:06:46.732 2.143 458 406 GET 302 Redirect to: /vn/index.html http://vietnamnet.vn/ 13:06:48.882 40.536 436 19 GET 200 text/html http://vietnamnet.vn/vn/index.html 13:07:29.473 0.033 357 (1406) GET (Cache) image/x-icon http://vietnamnet.vn/favicon.ico 

conmale$ dig a vietnamnet.vn ; <<>> DiG 9.6.0-myBuild <<>> a vietnamnet.vn ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 7119 ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;vietnamnet.vn. IN A ;; ANSWER SECTION: vietnamnet.vn. 3600 IN A 222.255.122.157 vietnamnet.vn. 3600 IN A 117.103.197.249 ;; Query time: 659 msec ;; SERVER: 139.130.4.4#53(139.130.4.4) ;; WHEN: Thu Jan 20 08:45:16 2011 ;; MSG SIZE rcvd: 63 

conmale$ dig a www.vietnamnet.vn ; <<>> DiG 9.6.0-myBuild <<>> a www.vietnamnet.vn ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 61465 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;www.vietnamnet.vn. IN A ;; ANSWER SECTION: www.vietnamnet.vn. 3600 IN A 117.103.197.249 ;; Query time: 499 msec ;; SERVER: 139.130.4.4#53(139.130.4.4) ;; WHEN: Thu Jan 20 08:45:24 2011 ;; MSG SIZE rcvd: 51 

em vào vietnamnet.vn thì rất chậm hoặc vào không được,còn vào english.vietnamnet.vn thì lại vào tốt,không lẽ 2 địa chỉ này tách biệt nhau nên không ảnh hưởng gì đến nhau cả :-/  

Dạo thời gian 2 tuần trở lại đây 2sao được đưa sang 1 máy chủ khác và hoạt động cũng chập chờn không kém. Theo thông báo của ban biên tập 2sao là chỉ các user sử dụng dịch vụ của ISP FPT vào không được và mất ổn định. Đối với các ISP khác thì 2 sao hoạt động bình thường  

Thanks anh conmale vì đã bỏ công ra phân tích hết sức cụ thể và thuyết phục. Và em cũng có một số thắc mắc sau: Theo như những gì anh đã đưa ra thì dường như vietnamnet không có biện pháp gì hữu hiệu để chống lại DDoS ( hay nói cách khác là đưa lưng ra ăn đấm)?? Em thử đưa 1 url sai vào trình duyệt (vietnamnet.vn/abc) thì nhận được kết quả là một cái IIS. Trong trường hợp vnn sử dụng windows server và IIS thì có cách nào ngăn chặn DDOS hiệu quả không?  

Em cũng có đọc qua một số giải pháp cho việc chống DDoS và cũng thấy 1 số cái khá hay thí dụ như: http://blog.unixy.net/2010/08/the-penultimate-guide-to-stopping-a-ddos-attack-a-new-approach/ Mọi người có thể cùng đọc qua và thảo luận xem giả sử áp dụng giải pháp này cho vnn thì liệu có stop được DDOS kiểu này không?  

Các forum hay sử dụng 1 trang đệm trứoc khi vào trang chính để chống DDOS, sao VNN ko dùng nhỉ? 

Trên thực tế, ngay trong tình trạng "slashdot" (có nghĩa là có số lượng người dùng hoàn toàn hợp lệ) cùng duyệt vnn quá nhiều đi chăng nữa, không thể có tình trạng 300 ngàn IP cùng ập vô 1 lượt bởi vì người dùng bình thường duyệt và đọc. Bởi vậy, request rate (cho mỗi giây hoặc mỗi phút) đi từ mỗi IP rất thấp (ví dụ, không thể có chuyện người đọc bài báo nhanh đến độ cứ mỗi 5 giây đọc hết 1 trang được). Từ logic này mới hình thành ra cái gọi là: packet rate. Packet rate này là thước đo gần như trung thực cho nhu cầu đọc báo của những độc giả (là con người) và những gì đi quá packet rate thì tạm coi là bất hợp lệ. Nếu vậy, giả sử packet rate được xem hợp lý là 5 giây / 1 request (chẳng hạn) và mỗi IP trong 300 ngàn IP có người bấm, có người đọc, có người không bấm trong 10 phút...v...v... thì tính ra 300000 / 5 giây cũng chỉ mới có 60 ngàn IP cùng gởi request 1 lúc. Số còn lại (240 ngàn IP) có thể thuộc dạng zombie và có thể được triệt tiêu. Nói một cách khác, bất cứ IP nào gởi quá 1 packet trong 5 giây và tình trạng này kéo dài liên tục trong 60 giây thì đó chính là "chàng DDoS" chớ không chạy đi đâu được hết.  

conmale wrote:

Trên thực tế, ngay trong tình trạng "slashdot" (có nghĩa là có số lượng người dùng hoàn toàn hợp lệ) cùng duyệt vnn quá nhiều đi chăng nữa, không thể có tình trạng 300 ngàn IP cùng ập vô 1 lượt bởi vì người dùng bình thường duyệt và đọc. Bởi vậy, request rate (cho mỗi giây hoặc mỗi phút) đi từ mỗi IP rất thấp (ví dụ, không thể có chuyện người đọc bài báo nhanh đến độ cứ mỗi 5 giây đọc hết 1 trang được). Từ logic này mới hình thành ra cái gọi là: packet rate. Packet rate này là thước đo gần như trung thực cho nhu cầu đọc báo của những độc giả (là con người) và những gì đi quá packet rate thì tạm coi là bất hợp lệ. Nếu vậy, giả sử packet rate được xem hợp lý là 5 giây / 1 request (chẳng hạn) và mỗi IP trong 300 ngàn IP có người bấm, có người đọc, có người không bấm trong 10 phút...v...v... thì tính ra 300000 / 5 giây cũng chỉ mới có 60 ngàn IP cùng gởi request 1 lúc. Số còn lại (240 ngàn IP) có thể thuộc dạng zombie và có thể được triệt tiêu. Nói một cách khác, bất cứ IP nào gởi quá 1 packet trong 5 giây và tình trạng này kéo dài liên tục trong 60 giây thì đó chính là "chàng DDoS" chớ không chạy đi đâu được hết.  

"Bạn có thể đọc nhanh bằng tốc độ ánh sáng" của HVA đây phải ko bác :D. Nhưng chắc phải thử nghiệm nhiều mới áp dụng. Chớ như VNN ăn chơi đến khi đụng chuyện thế này làm sao đủ tỉnh táo mà áp dụng cho mềm dẻo được. Mà cái phương pháp này cũng ko làm người đọc hợp pháp dể chịu cho lắm.  

nguoididingoaipho wrote:

conmale wrote:

Trên thực tế, ngay trong tình trạng "slashdot" (có nghĩa là có số lượng người dùng hoàn toàn hợp lệ) cùng duyệt vnn quá nhiều đi chăng nữa, không thể có tình trạng 300 ngàn IP cùng ập vô 1 lượt bởi vì người dùng bình thường duyệt và đọc. Bởi vậy, request rate (cho mỗi giây hoặc mỗi phút) đi từ mỗi IP rất thấp (ví dụ, không thể có chuyện người đọc bài báo nhanh đến độ cứ mỗi 5 giây đọc hết 1 trang được). Từ logic này mới hình thành ra cái gọi là: packet rate. Packet rate này là thước đo gần như trung thực cho nhu cầu đọc báo của những độc giả (là con người) và những gì đi quá packet rate thì tạm coi là bất hợp lệ. Nếu vậy, giả sử packet rate được xem hợp lý là 5 giây / 1 request (chẳng hạn) và mỗi IP trong 300 ngàn IP có người bấm, có người đọc, có người không bấm trong 10 phút...v...v... thì tính ra 300000 / 5 giây cũng chỉ mới có 60 ngàn IP cùng gởi request 1 lúc. Số còn lại (240 ngàn IP) có thể thuộc dạng zombie và có thể được triệt tiêu. Nói một cách khác, bất cứ IP nào gởi quá 1 packet trong 5 giây và tình trạng này kéo dài liên tục trong 60 giây thì đó chính là "chàng DDoS" chớ không chạy đi đâu được hết.  

"Bạn có thể đọc nhanh bằng tốc độ ánh sáng" của HVA đây phải ko bác :D. Nhưng chắc phải thử nghiệm nhiều mới áp dụng. Chớ như VNN ăn chơi đến khi đụng chuyện thế này làm sao đủ tỉnh táo mà áp dụng cho mềm dẻo được. Mà cái phương pháp này cũng ko làm người đọc hợp pháp dể chịu cho lắm.  

"Người đọc hợp pháp" mà chuyển từ link này sang link khác trong vòng vài giây thì trở thành "người đọc bất hợp pháp" mất rồi ;). 

conmale wrote:

nguoididingoaipho wrote:

conmale wrote:

Trên thực tế, ngay trong tình trạng "slashdot" (có nghĩa là có số lượng người dùng hoàn toàn hợp lệ) cùng duyệt vnn quá nhiều đi chăng nữa, không thể có tình trạng 300 ngàn IP cùng ập vô 1 lượt bởi vì người dùng bình thường duyệt và đọc. Bởi vậy, request rate (cho mỗi giây hoặc mỗi phút) đi từ mỗi IP rất thấp (ví dụ, không thể có chuyện người đọc bài báo nhanh đến độ cứ mỗi 5 giây đọc hết 1 trang được). Từ logic này mới hình thành ra cái gọi là: packet rate. Packet rate này là thước đo gần như trung thực cho nhu cầu đọc báo của những độc giả (là con người) và những gì đi quá packet rate thì tạm coi là bất hợp lệ. Nếu vậy, giả sử packet rate được xem hợp lý là 5 giây / 1 request (chẳng hạn) và mỗi IP trong 300 ngàn IP có người bấm, có người đọc, có người không bấm trong 10 phút...v...v... thì tính ra 300000 / 5 giây cũng chỉ mới có 60 ngàn IP cùng gởi request 1 lúc. Số còn lại (240 ngàn IP) có thể thuộc dạng zombie và có thể được triệt tiêu. Nói một cách khác, bất cứ IP nào gởi quá 1 packet trong 5 giây và tình trạng này kéo dài liên tục trong 60 giây thì đó chính là "chàng DDoS" chớ không chạy đi đâu được hết.  

"Bạn có thể đọc nhanh bằng tốc độ ánh sáng" của HVA đây phải ko bác :D. Nhưng chắc phải thử nghiệm nhiều mới áp dụng. Chớ như VNN ăn chơi đến khi đụng chuyện thế này làm sao đủ tỉnh táo mà áp dụng cho mềm dẻo được. Mà cái phương pháp này cũng ko làm người đọc hợp pháp dể chịu cho lắm.  

"Người đọc hợp pháp" mà chuyển từ link này sang link khác trong vòng vài giây thì trở thành "người đọc bất hợp pháp" mất rồi ;). 

Lý thuyết là như thế, nhưng thật sự đa số người đọc báo đều bấm liên tù tì, nên sẽ có rất nhiều người sẽ dính :D. Nên áp dụng 1 cách mềm dẻo trong cho giải pháp này thì cần 1 thời gian theo dỏi, đánh giá và áp dụng, tránh gây phiền hà cho người đọc. Báo điện tử mà vào cứ thấy "Bạn có thể đọc nhanh bằng tốc độ ánh sáng" thì sao nhỉ :D 

Đây là giải pháp anh đã từng dùng cho HVA (2 nodes trong cái "constellation" thay vì nhiều nodes như bài viết) và anh dùng Apache "worker" (thread thay vì process như prefork) làm proxy thay vì Nginx nhưng nguyên tắc căn bản thì như nhau. Tất nhiên biện pháp "chẻ" nguồn tấn công ra thành nhiều nhánh nhỏ để chịu đựng là biện pháp hữu lý và logical nhất. Giá trị quan trọng của bài viết trên là việc vận dụng VM có giá trị kinh tế (đỡ tốn kém). Chi tiết kỹ thuật trong bài viết không nhiều, đặc biệt chức năng limit_reg và limit_rate của nginx và những kernel parameters quan trọng cho việc đối phó vời DDoS. Ngoài ra, nếu chạy trên Linux thì có những netfilter modules và những iptable rules quan trọng nhằm kiểm soát DDoS. Thật ra chống đỡ DDoS rất khó. Mình phải theo dõi, phân tích và tách rời những tính chất đặc thù của dạng DDoS đang tấn công mình càng cụ thể càng tốt thì mới có biện phải khả dĩ. Gia tăng tài nguyên là điều tối quan trọng và hình thành biện pháp cản lọc cụ thể cũng quan trọng không kém. 

conmale wrote:

Đây là giải pháp anh đã từng dùng cho HVA (2 nodes trong cái "constellation" thay vì nhiều nodes như bài viết) và anh dùng Apache "worker" (thread thay vì process như prefork) làm proxy thay vì Nginx nhưng nguyên tắc căn bản thì như nhau. Tất nhiên biện pháp "chẻ" nguồn tấn công ra thành nhiều nhánh nhỏ để chịu đựng là biện pháp hữu lý và logical nhất. Giá trị quan trọng của bài viết trên là việc vận dụng VM có giá trị kinh tế (đỡ tốn kém). Chi tiết kỹ thuật trong bài viết không nhiều, đặc biệt chức năng limit_reg và limit_rate của nginx và những kernel parameters quan trọng cho việc đối phó vời DDoS. Ngoài ra, nếu chạy trên Linux thì có những netfilter modules và những iptable rules quan trọng nhằm kiểm soát DDoS. Thật ra chống đỡ DDoS rất khó. Mình phải theo dõi, phân tích và tách rời những tính chất đặc thù của dạng DDoS đang tấn công mình càng cụ thể càng tốt thì mới có biện phải khả dĩ. Gia tăng tài nguyên là điều tối quan trọng và hình thành biện pháp cản lọc cụ thể cũng quan trọng không kém. 

Biện pháp chẻ nguồn tấn công như trên sử dụng Round Robin ở DNS server để chia đều tải cho các nginx server đứng phía sau nó như vậy cái DNS server này của mình hay là của Service Provider vậy anh? Liệu như cái DNS server của mình thì anh có thể cho em một phép tính tổng quát về các gói DNS request tới cái dns server của mình khi DDOS diễn ra để có thể biết dc server dns đó như thế nào thì chịu đựoc không ?  

Vietnamnet cần tài trợ cho CMC Infosec thiết lập một công cụ quét trên mạng để chủ động phát hiện các máy tính bị nhiễm DDoS tool trên mạng và thông báo cho chủ máy tính diệt trừ chúng, như là cách các nước hiện đại đã làm. Việc này cần có sự hỗ trợ của một số ISP (Viettel, VNPT, FPT...)  

PXMMRF wrote:

Vietnamnet cần tài trợ cho CMC Infosec thiết lập một công cụ quét trên mạng để chủ động phát hiện các máy tính bị nhiễm DDoS tool trên mạng và thông báo cho chủ máy tính diệt trừ chúng, như là cách các nước hiện đại đã làm. Việc này cần có sự hỗ trợ của một số ISP (Viettel, VNPT, FPT...)  

Câu này nghe như quảng cáo cho CMC vậy 

- Theo dõi về việc vietnamnet bị hack thì ngoài việc bị DDOS, vietnamnet còn bị "nội bộ" đánh tơi bời. Và theo phần tích thì việc đánh sập hơn 10 server thì phải là người nắm rõ topology của hệ thống mạng vietnamnet. Vì thế theo mình nghĩ những đề xuất của bác PXMMRF cũng xuất phát từ những thông tin trên ==> yêu cầu phải làm "sạch" lại toàn bộ hệ thống. - Đề xuất của xnohat là một giải pháp nhưng theo mình là không khả thi, vietnamnet đang bị tấn công trên nhiều phương diện chứ không riêng gì DDOS. Và vietnamnet cũng không thể so sánh với mấy cái công ty đa quốc gia to đùng kia được. p/s: sao vietnamnet không thuê bên CMC kết hợp với anh conmale, PXMMRF, mrro ...đối phó nhỉ. -:-)  

Thêm nữa, đội ngũ đó không phải là những kẻ không biết gì, họ còn hơn rất nhiều người trong số các bạn. Nếu hệ thống của bạn có "cơ hội" nhận được một cuộc tấn công tương tự, bạn sẽ biết rằng Vietnamnet đã làm rất tốt việc của mình. Những kẻ chỉ biết nói mồm thì luôn chỉ có thế mà thôi  

Rõ ràng nhiều công ty (Không chỉ riêng ở VN) chưa sẵn sàng, và có kinh nghiệm với tấn công từ chối dịch vụ. Hãy thử đặt mình vào vị trí những người vận hành hệ thống Vietnamnet, bạn có làm tốt hơn họ không? Bất cứ ai có khả năng như anh list ra ở trên, đều đã nếm mùi thế nào là bị tấn công một cách không thể chống đỡ được trong một khoảng thời gian nào đó. HVA cũng từng bị như thế, và cường độ bị tấn công của HVA (theo nhận định chủ quan) là bé hơn rất nhiều so với Vietnamnet hiện tại, cứ cho rằng hệ thống của Vietnamnet khủng hơn rất nhiều so với máy chủ của HVA. Chưa có kinh nghiệm thì tỏ ra lúng túng là hoàn toàn hợp lí, và trong lúc bị tấn công, Vietnamnet vẫn cố gắng khắc phục và tìm ra cách để người đọc có thể truy cập Vietnamnet một cách thoải mái, như thời điểm em đang trả lời bài này. Rõ ràng khả năng của họ càng ngày càng tăng lên rõ rệt và ứng phó ngày một nhanh hơn. Nếu Vietnamnet chịu chia hướng tấn công sang các máy chủ khác bằng Round Robin DNS (VTC, VNG) thì họ sẽ thoải mái hơn rất nhiều. Tuy nhiên, nếu theo dõi kĩ, thì có lúc traffic sẽ "lọt" sang máy chủ của các công ty khác, có lúc họ hứng trọn lượng traffic đó. Những lúc như thế, họ đang thử nghiệm cách chống DDOS của mình. Và không phải kẻ tấn công kia chỉ dùng đúng một cách để đánh hoài đánh mãi. Nói như thế để các bạn hiểu rằng không phải đội ngũ của Vietnamnet chỉ biết thụ động hứng chịu tấn công, mà họ đang làm hết sức của mình. Thêm nữa, đội ngũ đó không phải là những kẻ không biết gì, họ còn hơn rất nhiều người trong số các bạn. Nếu hệ thống của bạn có "cơ hội" nhận được một cuộc tấn công tương tự, bạn sẽ biết rằng Vietnamnet đã làm rất tốt việc của mình. Những kẻ chỉ biết nói mồm thì luôn chỉ có thế mà thôi ;-)  

@Mr.Bi: theo bạn thì "VietnamNet đã làm rất tốt công việc của mình" hay là hai đối tác VNG & VTC nhỉ? B-) Mình có cách chứng minh cho bạn thấy là VietnamNet chưa làm tốt công việc của mình. :P  

PXMMRF wrote:

Vietnamnet cần tài trợ cho CMC Infosec thiết lập một công cụ quét trên mạng để chủ động phát hiện các máy tính bị nhiễm DDoS tool trên mạng và thông báo cho chủ máy tính diệt trừ chúng, như là cách các nước hiện đại đã làm. Việc này cần có sự hỗ trợ của một số ISP (Viettel, VNPT, FPT...)  

Câu này nghe như quảng cáo cho CMC vậy 

vikjava wrote:

- Theo dõi về việc vietnamnet bị hack thì ngoài việc bị DDOS, vietnamnet còn bị "nội bộ" đánh tơi bời. Và theo phần tích thì việc đánh sập hơn 10 server thì phải là người nắm rõ topology của hệ thống mạng vietnamnet. Vì thế theo mình nghĩ những đề xuất của bác PXMMRF cũng xuất phát từ những thông tin trên ==> yêu cầu phải làm "sạch" lại toàn bộ hệ thống. - Đề xuất của xnohat là một giải pháp nhưng theo mình là không khả thi, vietnamnet đang bị tấn công trên nhiều phương diện chứ không riêng gì DDOS. Và vietnamnet cũng không thể so sánh với mấy cái công ty đa quốc gia to đùng kia được. p/s: sao vietnamnet không thuê bên CMC kết hợp với anh conmale, PXMMRF, mrro ...đối phó nhỉ. -:-)  

Đừng gán ghép vụ Vietnamnet bị tấn công lấy mất database và vụ bị tấn công từ chối dịch vụ. Nó chẳng mang lại lợi ích gì cho topic này cả. Vietnamnet chả phải bị ddos mà sập 10 servers (anh lấy đâu ra con số này vậy?), khi hệ thống bị tấn công từ chối dịch vụ, thì dịch vụ (cụ thể ở đây là dịch vụ cung cấp website) ngưng trệ, không thể hoặc chậm trễ cung cấp dịch vụ cho người đọc báo, không có nghĩa là hệ thống của Vietnamnet bị đánh sập. Rõ ràng nhiều công ty (Không chỉ riêng ở VN) chưa sẵn sàng, và có kinh nghiệm với tấn công từ chối dịch vụ. Hãy thử đặt mình vào vị trí những người vận hành hệ thống Vietnamnet, bạn có làm tốt hơn họ không? Bất cứ ai có khả năng như anh list ra ở trên, đều đã nếm mùi thế nào là bị tấn công một cách không thể chống đỡ được trong một khoảng thời gian nào đó. HVA cũng từng bị như thế, và cường độ bị tấn công của HVA (theo nhận định chủ quan) là bé hơn rất nhiều so với Vietnamnet hiện tại, cứ cho rằng hệ thống của Vietnamnet khủng hơn rất nhiều so với máy chủ của HVA. Chưa có kinh nghiệm thì tỏ ra lúng túng là hoàn toàn hợp lí, và trong lúc bị tấn công, Vietnamnet vẫn cố gắng khắc phục và tìm ra cách để người đọc có thể truy cập Vietnamnet một cách thoải mái, như thời điểm em đang trả lời bài này. Rõ ràng khả năng của họ càng ngày càng tăng lên rõ rệt và ứng phó ngày một nhanh hơn. Nếu Vietnamnet chịu chia hướng tấn công sang các máy chủ khác bằng Round Robin DNS (VTC, VNG) thì họ sẽ thoải mái hơn rất nhiều. Tuy nhiên, nếu theo dõi kĩ, thì có lúc traffic sẽ "lọt" sang máy chủ của các công ty khác, có lúc họ hứng trọn lượng traffic đó. Những lúc như thế, họ đang thử nghiệm cách chống DDOS của mình. Và không phải kẻ tấn công kia chỉ dùng đúng một cách để đánh hoài đánh mãi. Nói như thế để các bạn hiểu rằng không phải đội ngũ của Vietnamnet chỉ biết thụ động hứng chịu tấn công, mà họ đang làm hết sức của mình. Thêm nữa, đội ngũ đó không phải là những kẻ không biết gì, họ còn hơn rất nhiều người trong số các bạn. Nếu hệ thống của bạn có "cơ hội" nhận được một cuộc tấn công tương tự, bạn sẽ biết rằng Vietnamnet đã làm rất tốt việc của mình. Những kẻ chỉ biết nói mồm thì luôn chỉ có thế mà thôi ;-)  

vikjava wrote:

- Theo dõi về việc vietnamnet bị hack thì ngoài việc bị DDOS, vietnamnet còn bị "nội bộ" đánh tơi bời. Và theo phần tích thì việc đánh sập hơn 10 server thì phải là người nắm rõ topology của hệ thống mạng vietnamnet. Vì thế theo mình nghĩ những đề xuất của bác PXMMRF cũng xuất phát từ những thông tin trên ==> yêu cầu phải làm "sạch" lại toàn bộ hệ thống. - Đề xuất của xnohat là một giải pháp nhưng theo mình là không khả thi, vietnamnet đang bị tấn công trên nhiều phương diện chứ không riêng gì DDOS. Và vietnamnet cũng không thể so sánh với mấy cái công ty đa quốc gia to đùng kia được. p/s: sao vietnamnet không thuê bên CMC kết hợp với anh conmale, PXMMRF, mrro ...đối phó nhỉ. -:-)  

Đừng gán ghép vụ Vietnamnet bị tấn công lấy mất database và vụ bị tấn công từ chối dịch vụ. Nó chẳng mang lại lợi ích gì cho topic này cả. Vietnamnet chả phải bị ddos mà sập 10 servers (anh lấy đâu ra con số này vậy?), khi hệ thống bị tấn công từ chối dịch vụ, thì dịch vụ (cụ thể ở đây là dịch vụ cung cấp website) ngưng trệ, không thể hoặc chậm trễ cung cấp dịch vụ cho người đọc báo, không có nghĩa là hệ thống của Vietnamnet bị đánh sập. Rõ ràng nhiều công ty (Không chỉ riêng ở VN) chưa sẵn sàng, và có kinh nghiệm với tấn công từ chối dịch vụ. Hãy thử đặt mình vào vị trí những người vận hành hệ thống Vietnamnet, bạn có làm tốt hơn họ không? Bất cứ ai có khả năng như anh list ra ở trên, đều đã nếm mùi thế nào là bị tấn công một cách không thể chống đỡ được trong một khoảng thời gian nào đó. HVA cũng từng bị như thế, và cường độ bị tấn công của HVA (theo nhận định chủ quan) là bé hơn rất nhiều so với Vietnamnet hiện tại, cứ cho rằng hệ thống của Vietnamnet khủng hơn rất nhiều so với máy chủ của HVA. Chưa có kinh nghiệm thì tỏ ra lúng túng là hoàn toàn hợp lí, và trong lúc bị tấn công, Vietnamnet vẫn cố gắng khắc phục và tìm ra cách để người đọc có thể truy cập Vietnamnet một cách thoải mái, như thời điểm em đang trả lời bài này. Rõ ràng khả năng của họ càng ngày càng tăng lên rõ rệt và ứng phó ngày một nhanh hơn. Nếu Vietnamnet chịu chia hướng tấn công sang các máy chủ khác bằng Round Robin DNS (VTC, VNG) thì họ sẽ thoải mái hơn rất nhiều. Tuy nhiên, nếu theo dõi kĩ, thì có lúc traffic sẽ "lọt" sang máy chủ của các công ty khác, có lúc họ hứng trọn lượng traffic đó. Những lúc như thế, họ đang thử nghiệm cách chống DDOS của mình. Và không phải kẻ tấn công kia chỉ dùng đúng một cách để đánh hoài đánh mãi. Nói như thế để các bạn hiểu rằng không phải đội ngũ của Vietnamnet chỉ biết thụ động hứng chịu tấn công, mà họ đang làm hết sức của mình. Thêm nữa, đội ngũ đó không phải là những kẻ không biết gì, họ còn hơn rất nhiều người trong số các bạn. Nếu hệ thống của bạn có "cơ hội" nhận được một cuộc tấn công tương tự, bạn sẽ biết rằng Vietnamnet đã làm rất tốt việc của mình. Những kẻ chỉ biết nói mồm thì luôn chỉ có thế mà thôi ;-)  

vietnamnet vẫn bị DDoS khiến dịch vụ máy chủ bị trì trệ:

http://community.tuanvietnam.vietnamnet.vn/?vnnid=7643 00:06:09.632 1.433 473 337 GET 302 Redirect to: http://tuanvietnam.vietnamnet.vn/2011-01-25-van-hoa-nhan-cach-lanh-dao-va-van-menh-dat-nuoc http://community.tuanvietnam.vietnamnet.vn/?vnnid=7643 00:06:11.068 0.005 491 0 GET null Redirect (cached) http://tuanvietnam.vietnamnet.vn/2011-01-25-van-hoa-nhan-cach-lanh-dao-va-van-menh-dat-nuoc 00:06:11.098 3.964 510 5837 GET 200 text/html http://tuanvietnam.vietnamnet.vn/2011-01-25-van-hoa-nhan-cach-lanh-dao-va-van-menh-dat-nuoc 00:06:13.850 164.014 515 18952 GET 200 text/css http://tuanvietnam.vietnamnet.vn/themes/flexibility/css/layout-base.css?m=1294643487 00:06:13.855 3.985 526 497 GET 200 text/css http://tuanvietnam.vietnamnet.vn/mysite/javascript/simpletooltip/simpletooltip.css?m=1289227024 00:06:13.860 20.240 510 19 GET 200 text/css http://tuanvietnam.vietnamnet.vn/mysite/javascript/share/share.css?m=1289227024 00:06:13.866 0.705 504 978 GET 200 text/css http://tuanvietnam.vietnamnet.vn/mod_adwords/css/AdWords.css?m=1289231023 00:06:13.908 0.709 369 1389 GET 200 application/octet-stream http://tuanvietnam.vietnamnet.vn/favicon.ico 00:06:13.966 19.476 499 867 GET 200 text/css http://tuanvietnam.vietnamnet.vn/mod_votes/css/vote.css?m=1289227023 00:06:13.969 1.096 515 1400 GET 200 text/css http://tuanvietnam.vietnamnet.vn/mod_articleman/css/frontend_search.css?m=1289229732 00:06:13.972 2.629 506 862 GET 200 text/css http://tuanvietnam.vietnamnet.vn/mod_mostarticles/css/tabs.css?m=1289227026 00:06:13.974 20.311 518 2191 GET 200 text/css http://tuanvietnam.vietnamnet.vn/themes/flexibility/css/Page___Content.css?m=1294643487 00:06:14.453 174.668 515 33500 GET 200 image/jpeg http://tuanvietnam.vietnamnet.vn/assets/Uploads/1nguoi-xua-xu-the.jpg 00:06:14.536 137.819 515 23133 GET 200 image/jpeg http://tuanvietnam.vietnamnet.vn/assets/Uploads/2nguoi-xua-xu-the.jpg 00:06:14.539 84.642 515 37710 GET 200 image/jpeg http://tuanvietnam.vietnamnet.vn/assets/Uploads/3nguoi-xua-xu-the.jpg 

những request bôi đỏ ở trên toàn là đến các static contents mà chậm như vậy chứng tỏ dịch vụ web không kịp phục vụ. Những biện pháp dùng javascript sẽ không giúp cản lọc bots được đâu. 

Bác conmale có biết khi nào thì ISP được quyền block IP bị nhiễm vi rút gây thiệt hại cho mạng không? Nhờ ISP là ổn và tiết kiệm nhất. ISP chắc giữ điện thoại của mọi khách hàng, cử 5 người đi gọi điện, mỗi người làm 8 giờ/ngày, 30 giây 1 khách hàng (bảo họ tải antivirus về cài), thì 1 ngày là xong 5K. Khoảng 1 tuần là xong hết. 

ISP chắc giữ điện thoại của mọi khách hàng, cử 5 người đi gọi điện, mỗi người làm 8 giờ/ngày, 30 giây 1 khách hàng (bảo họ tải antivirus về cài), thì 1 ngày là xong 5K. Khoảng 1 tuần là xong hết. 

Tớ không rõ quy chế kiểm soát mạng của các ISP ở VN như thế nào chớ ở Úc thì ISP hoàn toàn không block IP của người dùng ngay cả trường hợp mass attack (như thời code red) ISP cũng không cản lọc mà họ chỉ khuyến cáo người dùng cập nhật antivirus và tìm biện pháp ngăn chặn. Lý do rất đơn giản là ở mức độ ISP hoặc mức độ carrier thì mỗi phút có hàng trăm triêu packets đi xuyên qua hệ thống mạng thì làm cách nào cản lọc để không bị false positive? Ở VN theo tớ thấy trở ngại lớn nhất là các quán internet cafe. Họ "đóng băng" một bản nào đó và mỗi khi khách hàng vô thì họ "roll out" bản đó cho khách hàng. Không biết bao lâu thì họ mới cập nhật (các bản vá và antivirus) cho bản "đóng băng" đó? Nếu bản "đóng băng" đó dính trojan và bị biến thành zombie thì việc "diệt" con trojan ấy không đơn giản tí nào và mỗi khách hàng vô tiệm net đều dính chấu hết. Trung bình một quán cafe internet có khoảng 30 máy và một thành phố cỡ như Nha Trang theo tớ nhẩm tính thì có khoảng không dưới 5 ngàn quán (5000 x 30 = 150000). Cứ cho 20% cơ hội bị dính zombie thì có ít nhất là 1000 ngàn IP (đằng sau đó là 30 ngàn máy) cho một thành phố. Cỡ như SG hoặc HN thì con số này ít nhất gấp 5 lần. Khắp VN có 300 ngàn con zombies là chuyện hoàn toàn có thể. 

jcisio wrote:

ISP chắc giữ điện thoại của mọi khách hàng, cử 5 người đi gọi điện, mỗi người làm 8 giờ/ngày, 30 giây 1 khách hàng (bảo họ tải antivirus về cài), thì 1 ngày là xong 5K. Khoảng 1 tuần là xong hết. 

Cách này đúng là hay, nhưng đúng trong giả định 50k Zombies kia là máy tại VN, còn xui xẻo nó phần lớn ở hải ngoại thì sao ? :*-  

^ còn 1 trường hợp nữa là có phải 100% biết cài anti-virut về diệt , và có phải 100% nữa thực hiện theo các cú điện thoại kia đâu , hay họ chỉ " à ừ " cúp máy và lờ đi 

Việc đóng băng mình nghĩ cài xong phần mềm cần thiết là đóng băng luôn, nên nhiễm vi rút là hơi khó. Với lại quản lí phòng máy dù sao cũng dễ hơn quản lí các khách hàng riêng lẻ. 

jcisio wrote:

Việc đóng băng mình nghĩ cài xong phần mềm cần thiết là đóng băng luôn, nên nhiễm vi rút là hơi khó. Với lại quản lí phòng máy dù sao cũng dễ hơn quản lí các khách hàng riêng lẻ. 

Nếu con trojan này chưa được phần mềm chống virus nhận ra lúc đóng băng và chính con virus cũng được "đóng băng" luôn thì sao? Tớ nói đây là nói tới trường hợp đã bị dính trojan trước khi đóng băng chớ không phải sau khi đóng băng. 

conmale wrote:

jcisio wrote:

Việc đóng băng mình nghĩ cài xong phần mềm cần thiết là đóng băng luôn, nên nhiễm vi rút là hơi khó. Với lại quản lí phòng máy dù sao cũng dễ hơn quản lí các khách hàng riêng lẻ. 

Nếu con trojan này chưa được phần mềm chống virus nhận ra lúc đóng băng và chính con virus cũng được "đóng băng" luôn thì sao? Tớ nói đây là nói tới trường hợp đã bị dính trojan trước khi đóng băng chớ không phải sau khi đóng băng. 

Mình hiểu ý mà. Nhưng chỉ cài máy tính và cài phần mềm, thì rất khó dính vi rút. Trừ khi kẻ phát tán rất công phu, nhúng vi rút vào bộ crack của các trò chơi thông dụng, sau đó tìm cách lây lan cho các phòng máy theo đường riêng. Đây không phải là đường mà con vi rút hiện tại nó lây (qua email), và cũng rất khó khăn. Vì theo mình biết thì tiệm net họ chỉ mang đĩa game (đã crack, mua ngoài tiệm) về cài. Để nhét vi rút vào đó và tuồn ra tiệm thì... 

Ví dụ một bộ gõ tiếng Việt phổ biến và cần thiết cần được cài vô "base" trước khi đóng băng và bộ gõ tiếng Việt đó bị dính trojan mà hầu hết các antivirus ở thời điểm ấy chưa phát hiện được thì sao? Có gì bảo đảm các software đã được crack mà tiệm net dùng để cài hoàn toàn không có trojan? 

conmale wrote:

Ví dụ một bộ gõ tiếng Việt phổ biến và cần thiết cần được cài vô "base" trước khi đóng băng và bộ gõ tiếng Việt đó bị dính trojan mà hầu hết các antivirus ở thời điểm ấy chưa phát hiện được thì sao? Có gì bảo đảm các software đã được crack mà tiệm net dùng để cài hoàn toàn không có trojan? 

Xác suất những trường hợp như vậy cực thấp. Mình chưa đọc thấy trường hợp nào phần mềm tải từ nguồn tin cậy lại có vi rút (kể cả các loại chưa phát hiện). Còn đồ crack, những ai có kinh nghiệm thì rất khó dính khi tải từ các website chuyên cung cấp hàng crack/keygen. Chủ yếu là những người không rành máy tính, và bị nhiễm qua email hoặc Internet (khi đi chơi mà quên "áo mưa") - đó là 2 con đường phổ biến nhất mà vi rút lây lan. Do vậy, nên việc tiệm net dính vi rút trước khi đóng băng là rất thấp. Xác suất mà dính đúng con đang dùng để DDoS lại là siêu siêu thấp. 

Chào các bạn, mình xin phép được post 1 đường link mới về thông tin của Botnet tên Oxdex được 1 thành viên của trang web virusvn.com post, URL : http://virusvn.com/forum/showthread.php?3088-Doi-dieu-ve-oxdex-botnet&p=17636#post17636 Các bạn có thể theo dõi và thảo luận ! 

Virus trên có nhiều biến thể khác nhau và CMC kô biết điều này. Có vẻ như CMC đã quá vội vàng khi kết luận đây chính là botnet tấn công Vietnamnet ? 

Có vẻ như CMC đã quá vội vàng khi kết luận đây chính là botnet tấn công Vietnamnet ? 

VietNamNet vừa xác nhận, từ ngày 15/8/2011, báo điện tử này cùng các chuyên trang Tuần Việt Nam, Diễn đàn Kinh tế Việt Nam xuất hiện tình trạng khó truy cập do bị quá tải và kéo dài trong hơn một tháng qua, khiến người đọc gặp nhiều khó khăn. Báo VietNamNet đã bị tấn công từ chối dịch vụ hơn một tháng qua - Ảnh chụp màn hình. Các cơ quan chức năng, đơn vị về an toàn thông tin và đội ngũ kỹ thuật của báo VietNamNet xác định nguyên nhân sự cố là do các website của VietNamNet, Tuần Việt Nam và Diễn đàn Kinh tế Việt Nam bị tấn công từ chối dịch vụ phân tán (D-DOS) ở cấp độ lớn, từ đó dẫn tới tình trạng quá tải. Theo VietNamNet, lượng truy cập khổng lồ này do một mạng lưới botnet gồm hàng chục ngàn máy tính cá nhân bị nhiễm virus chiếm quyền điều khiển và huy động vào cuộc tấn công. Các đơn vị an toàn thông tin đã phân tích mẫu virus này và nhận thấy đây là loại "sâu" được thủ phạm viết để tấn công từ chối dịch vụ vào các website trong nước như VietNamNet. Do là loại virus được viết tinh vi, không phá hoại ngay máy tính bị nhiễm mà ẩn náu vào các chương trình hay được người dùng trong nước chia sẻ nhiều trên Internet như Unikey, Acrobat Reader... nên có khả năng lây lan rất rộng mà không bị các phần mềm diệt virus phổ biến của thế giới phát hiện. Tuy nhiên đây không phải là loại virus khó diệt, sau khi phân tích mẫu virus, các phần mềm diệt virus nội như CMC Antivirus phiên bản miễn phí cũng đều có thể phát hiện và diệt được virus này. VietNamNet vẫn đang nỗ lực cùng các cơ quan chức năng, đơn vị chuyên môn khắc phục sự cố. Tuy nhiên do lượng dữ liệu của botnet tấn công quá lớn nên vẫn ảnh hưởng đến khả năng truy cập. Ngoài sự ứng cứu của các đơn vị như VDC, VTC, Zing, CMC TI, CMC Infosec… báo cũng nhờ đến hỗ trợ của các đơn vị có hạ tầng lớn như FPT Telecom, và thử các phương án khác. Tờ báo trực thuộc Bộ Thông tin và Truyền thông cho biết, phương án giải quyết triệt để nhất thời gian tới là tìm ra và diệt được hết các virus tham gia vào mạng botnet tấn công D-DOS. VietNamNet bày tỏ mong muốn độc giả thông cảm về sự cố và hỗ trợ cho báo trong việc cài đặt, cập nhật phiên bản diệt virus mới nhất để phát hiện và diệt loại virus tấn công nói trên. Theo VnEconomy