Latest posts for the topic "Bị DDoS rất lạ"

Bị DDoS rất lạ

TND.VN — GMT

Con WebServer đặt ở CTY mình bị ddos thế này. Router thì lúc nào cũng 50 -80 % trong khi đó cpu của server chỉ có 0-1%. Bình thường các trận DDoS kiểu http flooder thì cpu máy chủ 100% router k hề hấn gì(cái này thì khắc phục đc). K hiểu có phải bị chơi DrDoS ko ? mình up 1 đoạn wireshark lên cho mọi người cùng ngâm cứu nhé :( http://www.mediafire.com/?9ty39dl2bn7h4m0

Bị DDoS rất lạ

xnohat — GMT

TND.VN wrote:

Con WebServer đặt ở CTY mình bị ddos thế này. Router thì lúc nào cũng 50 -80 % trong khi đó cpu của server chỉ có 0-1%. Bình thường các trận DDoS kiểu http flooder thì cpu máy chủ 100% router k hề hấn gì(cái này thì khắc phục đc). K hiểu có phải bị chơi DrDoS ko ? mình up 1 đoạn wireshark lên cho mọi người cùng ngâm cứu nhé :( http://www.mediafire.com/?9ty39dl2bn7h4m0

Sniff các gói tin trên router ( nếu có thể ) để xem các gói tin chạm vào router và bị chặn lại là dạng gói tin gì. Nhiều khả năng ( theo dự đoán của tôi ) bồ đang bị flood bởi các gói DNS reply bởi kĩ thuật flood dùng DNS Amplify

Bị DDoS rất lạ

sasser01052004 — GMT

sao nhiều continution thế nhỉ

Bị DDoS rất lạ

conmale — GMT

Dạng này hơi lạ. Toàn là Transport Protocol Data Unit Packet (TPKT) packets. Xem như một dạng packets sử dụng cho VoIP. Không thấy dấu hiệu bị DDoS dựa theo tính chất của TPKT packets ở đây vì packet fields, packet size không có gì bất thường. Chắc chắn không phải DrDoS vì không thấy hàng loạt ACK packets. Xem thử trên máy chủ có xài cái gì đụng với VoIP không? Nếu có, coi chừng software đó bị bug.

Bị DDoS rất lạ

conmale — GMT

Xem kỹ lại thì thấy 10.0.0.13 có source port toàn là 3389. Có thể server này có cung cấp (mở) RDP service và thằng ông nội 10.0.0.66 khởi điểm connects đến cổng 3389 của máy 10.0.0.13. Có thể đây là một dạng exploit dùng tool như metasploit chẳng hạn.