Latest posts for the topic "Chống UDP Flood Attack"

Chống UDP Flood Attack

1412luv — GMT

Chào mọi người. Hiện tại Server e đang chạy game mu. mới mở dịch vụ dc 2 ngày thì liên tiếp bị tấn công 5 ngày nay. Có thể nói Attacker không hề nản khi làm trò hạ lưu này E dùng window 2008 Trên Server sử dụng các services sau : - IIS, MSSQL, FTP - Line 100Mbps FPT. Server và RAM ko có dấu hiệu tăng, chỉ thấy Network 100% và không thể kết nối được vào WEB cũng như Remote capture wirehark thì gói tin lên đến 70k packets/s. chỉ trong 5h đã lên đến 100b packets Đây là Log khi attack 1 thời gian trước, mọi người xem giúp em. Hiện tại thì đang attack thẳng vào port của FTP, không còn remote được Server nữa. E đã dùng window firewall tắt tất cả các dịch vụ thậm chí block ip trên window firewall nhưng vẫn không hiệu quả.

Chống UDP Flood Attack

1412luv — GMT

Không ai giúp được sao??? E đã chặn any port cho IP này mà vẫn dính flood :( Chắc phải đổi IP và die website vĩnh viễn quá :(

Chống UDP Flood Attack

Ky0 — GMT

1412luv wrote:

Không ai giúp được sao??? E đã chặn any port cho IP này mà vẫn dính flood :( Chắc phải đổi IP và die website vĩnh viễn quá :(

Firewall của windows không phải thiết kế để làm các việc này! Giải pháp duy nhất là bạn nên dụng một firewall Linux phía trước để bảo vệ Server của bạn.

Chống UDP Flood Attack

1412luv — GMT

Không có cách nào sao anh?? Anh có thể giới thiệu cho e 1 vài firewall linux được ko??? Nếu có thể chống được, e sẽ xem xét và đầu tư. Ths anh đã trả lời, chờ mấy ngày bên phía data cũng ko hỗ trợ

Chống UDP Flood Attack

mimy — GMT

bạn có thể dùng iptable cũng được, nó được tích hợp sẵn đó.

Chống UDP Flood Attack

PXMMRF — GMT

Bạn 1412luv cài Windows Server 2008 RC2 (64 bits )- (chắc là 64 bits?) cơ mà. Đưa Linux application vào đây không được hay sẽ rất rắc rối! Hì hì. Trong trường hợp này để ngăn chặn các kết nối- tấn công sử dung các gói tin UDP thông qua giao thức HTTP thì chỉ cân cài một firewall (chạy trên nền Windows) rồi config. cho đúng là xong. Firewall nào có thể dùng trong trường hợp này? 1- Tiny Firewall Pro 6.5.126 for server Firewall này chạy rất tốt trên nền Windows server Enterprise 2003 và chạy tạm được trên Win server 2008. 2- CA Firewall (CA mua lại công ty Tiny, một công rất nổi tiếng về Firewall trước đây) 3- CA Internet security set (trong đó tích hợp 1 Firewall). Config. Firewall thế nào? Với các firewall trên, config. lại HTTP protocol (cổng 80): chỉ cho các gói tin TCP đi qua, không cho các gói tin UDP đi qua, là xong.

Chống UDP Flood Attack

mylove14129 — GMT

PXMMRF wrote:

Trong trường hợp này để ngăn chặn các kết nối- tấn công sử dung các gói tin UDP thông qua giao thức HTTP thì chỉ cân cài một firewall (chạy trên nền Windows) rồi config. cho đúng là xong.

Hình như theo trường hợp bạn này mô tả thì đây không phải là tấn công UDP thông qua giao thức HTTP anh. To : 1412luv, những thông tin bạn đưa ra quá sơ sài, không thể khẳng định là tấn công kiểu gì và vào đâu được.

Chống UDP Flood Attack

PXMMRF — GMT

mylove14129 wrote:

PXMMRF wrote:

Trong trường hợp này để ngăn chặn các kết nối- tấn công sử dung các gói tin UDP thông qua giao thức HTTP thì chỉ cân cài một firewall (chạy trên nền Windows) rồi config. cho đúng là xong.
Hình như theo trường hợp bạn này mô tả thì đây không phải là tấn công UDP thông qua giao thức HTTP anh. To : 1412luv, những thông tin bạn đưa ra quá sơ sài, không thể khẳng định là tấn công kiểu gì và vào đâu được.

Ừ, có thể đúng như mylove14129 đã nói, mặc dù bạn 1412luv mô tả hiện tượng không rõ và không có chi tiết cụ thể. Tuy nhiên nếu căn cứ vào dòng cuối trên WireShark cache mà 1412luv đã post lên:

"User Datagram Protocol, Src Port: blackjack (1025), Dst Port: ms-wxx-server (3389)"

thì thấy là máy tính có host name là "blackjack" có IP là 168.63.237.176 từ cổng 1025 đã tấn công (gửi các gói tin UDP) vào cổng 3389 UDP của server của bạn 1412luv, chứ không phải cổng 80 UDP. Hacker có thể đã sử dụng một tool UDP DoS nào đó. Có vấn đề gì ở đây? Vấn đề là webserver của bạn 1412luv không hiểu vì sao đang mở một số cổng UDP, trong khi có thể không cần thiết như vậy. Bạn 1412luv phải kiềm tra và đóng hết các cổng UDP (kể cả TCP) không cần thiết. Tốt nhất là từ bên ngoài truy cập đến webserver của mình để kiểm tra thưc tế. Ngoài ra bạn 1412luv đã xoá IP tĩnh mà webserver của mình đang dùng trên WireShark cache, mà lại quên xoá hostname (hay computer name): ms-wxx-server. Hì hì.

Chống UDP Flood Attack

nhuhoang — GMT

PXMMRF wrote:

Ngoài ra bạn 1412luv đã xoá IP tĩnh mà webserver của mình đang dùng trên WireShark cache, mà lại quên xoá hostname (hay computer name): ms-wxx-server. Hì hì.

Cái ms-wxx-server đấy là dst port đấy chứ, IP dst thì bạn ấy đã xoá hết rồi Với kiểu tấn công này thì attacker làm flush network lên 100% nên nếu chặn ở server mình cũng không có nhiều tác dụng. Các router trung gian vẫn cho gói tin UDP đi qua và làm ngập đường truyền. Giải pháp tốt nhất và có lẽ duy nhất là liên hệ với data center, đề nghị họ chặn toàn bộ gói tin UDP gửi đến địa chỉ server của bạn ấy, ngay tại router biên của data center

Chống UDP Flood Attack

mylove14129 — GMT

Theo nhận định của mình thì có thể sv của bạn bị UDP flood vào port 3389( do bạn mở remote desktop)

nhuhoang wrote:

Giải pháp tốt nhất và có lẽ duy nhất là liên hệ với data center, đề nghị họ chặn toàn bộ gói tin UDP gửi đến địa chỉ server của bạn ấy, ngay tại router biên của data

Giải pháp này khó mà thực hiện được, do trên sv của bạn 1412luv còn chạy một vài dịch vụ khác cần UDP( ex: game sv). Giải pháp của mình: 1. Không dùng remote desktop( cách này tốt nhất vì port 3389 thường xuyên bị tấn công, cả bruteforce) 2. Nếu vẫn dùng remote desktop. Mở cửa sổ cmd dưới quyền administrator gõ thêm command sau( Win server 2008): Code:

netsh advfirewall firewall add rule name="block_udp_3389" protocol=UDP localport = 3389 action=block dir=in

Chống UDP Flood Attack

nhuhoang — GMT

mylove14129 wrote:

Theo nhận định của mình thì có thể sv của bạn bị UDP flood vào port 3389( do bạn mở remote desktop)
nhuhoang wrote:

Giải pháp tốt nhất và có lẽ duy nhất là liên hệ với data center, đề nghị họ chặn toàn bộ gói tin UDP gửi đến địa chỉ server của bạn ấy, ngay tại router biên của data
Giải pháp này khó mà thực hiện được, do trên sv của bạn 1412luv còn chạy một vài dịch vụ khác cần UDP( ex: game sv). Giải pháp của mình: 1. Không dùng remote desktop( cách này tốt nhất vì port 3389 thường xuyên bị tấn công, cả bruteforce) 2. Nếu vẫn dùng remote desktop. Mở cửa sổ cmd dưới quyền administrator gõ thêm command sau( Win server 2008): Code:
netsh advfirewall firewall add rule name="block_udp_3389" protocol=UDP localport = 3389 action=block dir=in

1. RDP cho win2k8 chỉ dùng TCP3389 chứ không dùng UDP3389 2. add thêm firewall rule vào windows trong trường hợp này cũng không có tác dụng gì bởi vì gói tin UDP đi đến server mới bị drop, trong lúc đấy thì network bandwidth đã full 100% rồi thì người dùng bt cũng không thể vào được. Đây là đòn hy sinh khi attacker có bandwidth bằng hoặc lớn hơn của victim Theo như mình quan sát trên hình thì server có IP 168.63.237.176 chính là nguồn gốc của cuộc tấn công, có location tại singapore, vậy thì mình đoán máy chủ của bạn 1412luv cũng không phải ở VN thì mới bị flush như vậy. Kiểu tấn công này nếu được thực hiện từ 1 số IP nhất định thì bạn chỉ cần thu thập các evidence rồi gửi cho DC bảo họ block đi là xong