Latest posts for the topic "DDoS SYN Flood with Spoof IP (số lượng lớn)"

DDoS SYN Flood with Spoof IP (số lượng lớn)

S_ThuCoDon — GMT

Chào mọi người. Mình có tham khảo các topic về ddos nhưng hầu hết là các loại như X-Flash và HTTP DoS/DDoS. Mình đang gặp vấn đề với kiểu SYN FLOOD + Spoof IP (rất nhiều IP và có thể fake theo ý muốn). Đây là các thông tin mình lấy được khi bị tấn công. Mong mọi người giúp đỡ. tcpdump http://tinypaste.com/daf608 netstat http://tinypaste.com/01b22 netstat2 http://tinypaste.com/47c18d Cảm ơn mọi người rất nhiều!

DDoS SYN Flood with Spoof IP (số lượng lớn)

mapthulu — GMT

Mới nhìn phần DUMP sơ qua của bạn thôi IP Source: 4.x.y.z | 5.x.y.z | 6.x.y.z | 7.x.y.z | 8.x.y.z Source Port: cadlock2 [1000] Sửa thêm: hỗm nay mấy máy chủ VN cũng hay gặp dạng tấn công này. Đặc điểm này

DDoS SYN Flood with Spoof IP (số lượng lớn)

conmale — GMT

S_ThuCoDon wrote:

Chào mọi người. Mình có tham khảo các topic về ddos nhưng hầu hết là các loại như X-Flash và HTTP DoS/DDoS. Mình đang gặp vấn đề với kiểu SYN FLOOD + Spoof IP (rất nhiều IP và có thể fake theo ý muốn). Đây là các thông tin mình lấy được khi bị tấn công. Mong mọi người giúp đỡ. tcpdump http://tinypaste.com/daf608 netstat http://tinypaste.com/01b22 netstat2 http://tinypaste.com/47c18d Cảm ơn mọi người rất nhiều!

iptables -I INPUT -p tcp --sport 1000 --dport 80 -j DROP iptables -I INPUT -p tcp --syn --dport 80 -m limit --limit 5/s --limit-burst 3 -j DROP Điều chỉnh /etc/sysctl.conf và thêm mấy dòng: net.netfilter.nf_conntrack_tcp_timeout_syn_sent = 30 net.netfilter.nf_conntrack_tcp_timeout_syn_recv = 5 net.ipv4.tcp_syn_retries = 5 net.ipv4.tcp_synack_retries = 2 net.ipv4.tcp_fin_timeout = 10 save nó và chạy: sysctl -p (với chủ quyền root).

DDoS SYN Flood with Spoof IP (số lượng lớn)

S_ThuCoDon — GMT

Chào anh, Theo như em biết thì đoạn iptables trên chặn các IP với port 1000. Em thắc mắc là giả sử port này random? Dường như đoạn ở trên chỉ mang tính chất tạm thời? Ngoài ra, đoạn "iptables -I INPUT -p tcp --syn --dport 80 -m limit --limit 5/s --limit-burst 3 -j DROP" hình như sẽ làm chậm site thì phải? Cảm ơn anh.

DDoS SYN Flood with Spoof IP (số lượng lớn)

conmale — GMT

S_ThuCoDon wrote:

Chào anh, Theo như em biết thì đoạn iptables trên chặn các IP với port 1000. Em thắc mắc là giả sử port này random? Dường như đoạn ở trên chỉ mang tính chất tạm thời?

Nếu source port random thì tìm những đặc điểm khác trong gói tin sniff được để hình thành luật khác. Trong trường hợp này, source port 1000 là đặc điểm nổi bật nhất. Không có firewall nào mà không có tính chất tạm thời hết (ngoại trừ một số rất ít những đặc điểm đã được nhận biết và đã quá thông dụng như SYN FLOOD, Half open FLOOD, ICMP FLOOD....). Không có firewall nào mà "set & forget" hết.

S_ThuCoDon wrote:

Ngoài ra, đoạn "iptables -I INPUT -p tcp --syn --dport 80 -m limit --limit 5/s --limit-burst 3 -j DROP" hình như sẽ làm chậm site thì phải? Cảm ơn anh.

Cái này tuỳ thuộc vào nhiều yếu tố trên máy chủ và bồ nên đọc "Ký sự những vụ DDoS HVA" để hiểu sâu hơn.

DDoS SYN Flood with Spoof IP (số lượng lớn)

leuxua — GMT

conmale wrote:

S_ThuCoDon wrote:

Chào mọi người. Mình có tham khảo các topic về ddos nhưng hầu hết là các loại như X-Flash và HTTP DoS/DDoS. Mình đang gặp vấn đề với kiểu SYN FLOOD + Spoof IP (rất nhiều IP và có thể fake theo ý muốn). Đây là các thông tin mình lấy được khi bị tấn công. Mong mọi người giúp đỡ. tcpdump http://tinypaste.com/daf608 netstat http://tinypaste.com/01b22 netstat2 http://tinypaste.com/47c18d Cảm ơn mọi người rất nhiều!
iptables -I INPUT -p tcp --sport 1000 --dport 80 -j DROP iptables -I INPUT -p tcp --syn --dport 80 -m limit --limit 5/s --limit-burst 3 -j DROP Điều chỉnh /etc/sysctl.conf và thêm mấy dòng: net.netfilter.nf_conntrack_tcp_timeout_syn_sent = 30 net.netfilter.nf_conntrack_tcp_timeout_syn_recv = 5 net.ipv4.tcp_syn_retries = 5 net.ipv4.tcp_synack_retries = 2 net.ipv4.tcp_fin_timeout = 10 save nó và chạy: sysctl -p (với chủ quyền root).

Nếu share host mình có điều chỉnh được /ect/sysctl.conf ko bro?

DDoS SYN Flood with Spoof IP (số lượng lớn)

conmale — GMT

leuxua wrote:

conmale wrote:

S_ThuCoDon wrote:

Chào mọi người. Mình có tham khảo các topic về ddos nhưng hầu hết là các loại như X-Flash và HTTP DoS/DDoS. Mình đang gặp vấn đề với kiểu SYN FLOOD + Spoof IP (rất nhiều IP và có thể fake theo ý muốn). Đây là các thông tin mình lấy được khi bị tấn công. Mong mọi người giúp đỡ. tcpdump http://tinypaste.com/daf608 netstat http://tinypaste.com/01b22 netstat2 http://tinypaste.com/47c18d Cảm ơn mọi người rất nhiều!
iptables -I INPUT -p tcp --sport 1000 --dport 80 -j DROP iptables -I INPUT -p tcp --syn --dport 80 -m limit --limit 5/s --limit-burst 3 -j DROP Điều chỉnh /etc/sysctl.conf và thêm mấy dòng: net.netfilter.nf_conntrack_tcp_timeout_syn_sent = 30 net.netfilter.nf_conntrack_tcp_timeout_syn_recv = 5 net.ipv4.tcp_syn_retries = 5 net.ipv4.tcp_synack_retries = 2 net.ipv4.tcp_fin_timeout = 10 save nó và chạy: sysctl -p (với chủ quyền root).
Nếu share host mình có điều chỉnh được /ect/sysctl.conf ko bro?

Nếu "share host" và mình có quyền root thì có thể điều chỉnh được /etc/sysctl.conf.

DDoS SYN Flood with Spoof IP (số lượng lớn)

rickb — GMT

conmale wrote:

S_ThuCoDon wrote:

Chào mọi người. Mình có tham khảo các topic về ddos nhưng hầu hết là các loại như X-Flash và HTTP DoS/DDoS. Mình đang gặp vấn đề với kiểu SYN FLOOD + Spoof IP (rất nhiều IP và có thể fake theo ý muốn). Đây là các thông tin mình lấy được khi bị tấn công. Mong mọi người giúp đỡ. tcpdump http://tinypaste.com/daf608 netstat http://tinypaste.com/01b22 netstat2 http://tinypaste.com/47c18d Cảm ơn mọi người rất nhiều!
iptables -I INPUT -p tcp --sport 1000 --dport 80 -j DROP iptables -I INPUT -p tcp --syn --dport 80 -m limit --limit 5/s --limit-burst 3 -j DROP Điều chỉnh /etc/sysctl.conf và thêm mấy dòng: net.netfilter.nf_conntrack_tcp_timeout_syn_sent = 30 net.netfilter.nf_conntrack_tcp_timeout_syn_recv = 5 net.ipv4.tcp_syn_retries = 5 net.ipv4.tcp_synack_retries = 2 net.ipv4.tcp_fin_timeout = 10 save nó và chạy: sysctl -p (với chủ quyền root).

Sao trong phần hardening trên em không thấy anh conmale đề cập đến 1 thông số phổ biến khi prevent SYN DoS là "SYN cookies" nhỉ ? Phải chăng là do nó đã được enable default nên anh không care nữa hay là nó không còn hiệu quả nữa ? -rickb

DDoS SYN Flood with Spoof IP (số lượng lớn)

conmale — GMT

rickb wrote:

conmale wrote:

S_ThuCoDon wrote:

Chào mọi người. Mình có tham khảo các topic về ddos nhưng hầu hết là các loại như X-Flash và HTTP DoS/DDoS. Mình đang gặp vấn đề với kiểu SYN FLOOD + Spoof IP (rất nhiều IP và có thể fake theo ý muốn). Đây là các thông tin mình lấy được khi bị tấn công. Mong mọi người giúp đỡ. tcpdump http://tinypaste.com/daf608 netstat http://tinypaste.com/01b22 netstat2 http://tinypaste.com/47c18d Cảm ơn mọi người rất nhiều!
iptables -I INPUT -p tcp --sport 1000 --dport 80 -j DROP iptables -I INPUT -p tcp --syn --dport 80 -m limit --limit 5/s --limit-burst 3 -j DROP Điều chỉnh /etc/sysctl.conf và thêm mấy dòng: net.netfilter.nf_conntrack_tcp_timeout_syn_sent = 30 net.netfilter.nf_conntrack_tcp_timeout_syn_recv = 5 net.ipv4.tcp_syn_retries = 5 net.ipv4.tcp_synack_retries = 2 net.ipv4.tcp_fin_timeout = 10 save nó và chạy: sysctl -p (với chủ quyền root).
Sao trong phần hardening trên em không thấy anh conmale đề cập đến 1 thông số phổ biến khi prevent SYN DoS là "SYN cookies" nhỉ ? Phải chăng là do nó đã được enable default nên anh không care nữa hay là nó không còn hiệu quả nữa ? -rickb

SynCookie chỉ có tác dụng khi DDoS chủ yếu ở dạng SynFlood nhưng ở cấp độ nhẹ mà thôi. Khi bị tấn công cỡ vài ngàn requests / giây thì SynCookie đôi khi còn làm cho kernel trì trệ hơn nữa.