Ký sự các vụ DDoS đến HVA - Phần 23

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận bảo mật

Ký sự các vụ DDoS đến HVA - Phần 23

[Question] Re: Ký sự các vụ DDoS đến HVA - Phần 23	21/10/2008 13:13:15 (+0700) \| #31 \| 156004

Giang Hồ Mạng
Member

Joined: 15/03/2008 18:53:14
Messages: 21
Offline

BachDuongTM wrote:

Hi

nếu như có file đó rùi, cần chi nữa không ? file config firewall nha ?

Thực ra mình kô nghĩ điều đó là cần thiết, vì Mr Commale cũng miêu tả rõ ràng rồi mà. Hơn nữa, sao bạn không thử chơi cờ tưởng nhỉ, hacker là mình thì sẽ DDOS nè, rồi mình sẽ chống thế này nè

Ask for more hay Deep thinking

Giang hồ có nói 1 câu thế này “Biết thì nói , không biết thì dựa cột mà nghe đừng phát biểu linh tinh” smilie

[Question] Re: Ký sự các vụ DDoS đến HVA - Phần 23	21/10/2008 17:12:36 (+0700) \| #32 \| 156022

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

Mr.Khoai wrote:

...
Vì sao iptables không thể "wwwect" input stream vào /dev/null bằng các cách như >, hoặc pipe vân vân? Lý do là iptables không cung cấp cho mình một interface để tương tác với /dev/null, và, input stream không thể ra vào trực tiếp trên các file stdin, stdout và stderr. Mình có thể chạy iptables bằng bash (script), và khi sử dụng các ký tự đặc biệt này thì chính bash sẽ open stdin, stdout, và stderr, rồi chính bash sẽ lo vụ wwwect. iptables khi nhận một gói tin sẽ open các files khác (socket, cho wwwect, hoặc /dev/eth1 nếu đang làm gateway chẳng hạn) và "wwwect" gói tin đến file đó.

Đúng vậy. Hay nói một cách khác, iptables / netfilter chỉ làm việc với IP (internet socket) và cho đến lúc này, hoàn toàn không có cách gì để đưa một packet mà iptables có thể kiểm soát từ socket sang một unix device được.

Mr.Khoai wrote:

Giả sử iptables có một target là -j NULL, ta có thể wwwect input stream trực tiếp từ socket vào /dev/null. Lúc này, chính iptables sẽ open /dev/null và tiến hành write dữ liệu vào đó. Việc hack netfilter và iptables để làm việc này thì không phải không làm được. Nhưng mình có thể sử dụng một cách khác để đạt kết quả tương tự.

khoai

Lúc trước có một tay đã thử viết NULL module cho netfilter nhưng đám netfilter chính thức không tiếp nhận vì lý do gì đó nên vụ này chìm luôn. Nếu anh nhớ không lầm, cách ứng dụng NULL module đó không wwwect vào /dev/null mà nó chỉ đơn giản tiếp nhận và xóa packet đó cũng tương tự như /dev/null nhưng thuần túy xử lý ngay trên netfilter. Có một số bàn cãi về sự giống và khác nhau giữa -j DROP và -j NULL trước đây nhưng chưa ngã ngũ. Có lẽ trọng tâm của netfilter hoàn toàn xoáy vào IP chớ không đi ra ngoài khuôn khổ ấy. Không biết về sau sẽ như thế nào.

to Giang Hồ Mạng: những thông tin cần thiết và trọng tâm nhất thì anh đã trình bày rồi nên nếu có mấy cái dump file đó cũng không để làm gì đâu em. Vả lại, những dump file này có thể có những thông tin nhạy cảm nên anh không thể "share" một cách rộng rãi được.

Thân.

What bringing us together is stronger than what pulling us apart.

[Question] Re: Ký sự các vụ DDoS đến HVA - Phần 23	02/11/2008 14:55:12 (+0700) \| #33 \| 157352

dabu
Elite Member

Joined: 03/03/2003 03:31:20
Messages: 226
Offline

Cho em chen ngang chút :
Trong router cisco có phải dủng câu lệnh này phải kô ạ:
Code:

ip route x.x.x.x x.x.x.x null0

It's time to build a new network.

[Question] Re: Ký sự các vụ DDoS đến HVA - Phần 23	02/11/2008 20:24:45 (+0700) \| #34 \| 157370

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

dabu wrote:

Cho em chen ngang chút :
Trong router cisco có phải dủng câu lệnh này phải kô ạ:
Code:
ip route x.x.x.x x.x.x.x null0

Để làm chi em?

What bringing us together is stronger than what pulling us apart.

[Question] Re: Ký sự các vụ DDoS đến HVA - Phần 23	02/11/2008 21:53:11 (+0700) \| #35 \| 157375

dabu
Elite Member

Joined: 03/03/2003 03:31:20
Messages: 226
Offline

conmale wrote:

dabu wrote:
Cho em chen ngang chút :
Trong router cisco có phải dủng câu lệnh này phải kô ạ:
Code:
ip route x.x.x.x x.x.x.x null0
Để làm chi em?

Để chuyển tất cả traffic từ một IP nào đó hoặc một range ip nào đó [range ip này hoặc ip này đang DoS đến HVA bằng những gói UDP], vào một interface ảo null để làm giảm độ xử lý[performance] của router đến mức tối đa.

p/s : Còn vấn đề anh đang bàn với Mr.Khoai là để wwwect vào "device" /dev/null dựa trên tầng mấy của mô hỉnh OSI, iptables làm việc ở tầng nào ? dạng dữ liệu stream/ socket khác nhau thế nào? tiếp nhận dòng dữ liệu stream này phải làm gì? smilie

Đó là mớ "kiến thức" em lụm được qua topic này. smilie

It's time to build a new network.

[Question] Re: Ký sự các vụ DDoS đến HVA - Phần 23	05/11/2008 01:17:06 (+0700) \| #36 \| 157625

Mr.Khoai
Moderator

Joined: 27/06/2006 01:55:07
Messages: 954
Offline

Dabu,

khoai nghĩ cái lệnh trên tương tự như khái niệm null routing mà BachDuongTM đã đề cập ở trang 1. Nhưng, khoai nghĩ nó không giúp ích gì trong trường hợp này. Lý do:

1. Tương tự như anh conmale đã nói, bạn phải filter tất cả source network/address và route vào device là null0. Như vậy không khả thi

2. Routing engine vẫn phải process ip headers, performance hit khoai nghĩ vẫn rất cao, cho dù không có cái Cisco router nào kế bên để test smilie

khoai

[Question] Re: Ký sự các vụ DDoS đến HVA - Phần 23	05/11/2008 06:46:59 (+0700) \| #37 \| 157690

lQ
Moderator

Joined: 29/03/2005 17:06:20
Messages: 494
Offline

hi anh conmale,
ngoài việc bị flood đường truyền, hình như công đoạn log của iptables cũng làm cho server load cao. Phải vậy ko anh?

[Question] Re: Ký sự các vụ DDoS đến HVA - Phần 23	05/11/2008 22:53:03 (+0700) \| #38 \| 157741

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

lQ wrote:

hi anh conmale,
ngoài việc bị flood đường truyền, hình như công đoạn log của iptables cũng làm cho server load cao. Phải vậy ko anh?

Đúng vậy em. Log càng chi tiết, càng nhanh thì càng "mệt" cho server. Đây là tình trạng còn gọi là "tự từ chối dịch vụ" (self denial of service). Chẳng những thế, nếu kích thước gia tăng quá nhanh và quá nhiều thì có thể dẫn đến tình trạng hết chỗ chứa (hầu hết các *nix server được tạo mount point / chung cho mọi thứ) và dẫn đến chỗ server tê liệt.

What bringing us together is stronger than what pulling us apart.

[Question] Re: Ký sự các vụ DDoS đến HVA - Phần 23	07/11/2008 03:14:39 (+0700) \| #39 \| 157953

tranhuuphuoc
Moderator

Joined: 05/09/2004 06:08:09
Messages: 865
Location: Lầu Xanh
Offline

Em đọc được đến dòng này, em suy nghĩ HVA phòng thủ logs hướng như thế này smilie

Logs cho ta cái nhìn tổng quan về thiết bị , nhờ vào logs ta có thể truy tìm được thủ phạm, khắc phục sự cố,... log chia ra làm 2 loại : log được sản sinh từ phần mềm, log được sản sinh từ kernel và logs được sản sinh từ iptabales, webserver hay database không ngoại lệ trong 2 loại logs trên.

Theo em đoán HVA dùng 1 script , tác dụng của script này cứ qua 1 ngày các log sẽ được nén thành 1 tập tin nào đó được lưu trên một đường dẫn đã được ấn định trước, tự động kiểm tra tiến trình đang hoạt động trên server, loại bỏ những log không cần thiết và có thể nó chính là 1 công cụ theo dõi log hữu hiệu nhất (logtail) đơn cữ anh dùng LogCheck hoặc OSSEC .

Em "bắt bệnh" như thế có đúng mạch không anh smilie

[Question] Re: Ký sự các vụ DDoS đến HVA - Phần 23	09/11/2008 00:32:58 (+0700) \| #40 \| 158144

lQ
Moderator

Joined: 29/03/2005 17:06:20
Messages: 494
Offline

hi conmale,

vậy thì gần như nguyên nhân làm cho server chập chờn chính là việc ghi logs của iptables làm tốn quá nhiều resources, ở đây có lẽ là lưu lương đĩa và tốc độ ghi đĩa. Theo em, cách tốt nhất đó là iptables chỉ nên ghi những cái gì quan trọng nhất. Với logs denied, em nghĩ ko cần phải ghi, vì cùng lắm, chúng chỉ giúp HVA xác định nguồn tấn công DDOS, chưa kể nguồn tấn công có thể thay đổi thường xuyên.

Nói về cách thức chuyển các UDP packets vào trong cho 01 ứng dụng nào đó tiếp nhận và loại bỏ. Em nghĩ cách nào cũng không ổn lắm, vì nếu như kẻ tấn công thay bằng một dạng packets khác thì hình như iptables phải được điều chỉnh. Mà nếu không kịp điều chỉnh thì lại bị 'tự tấn công từ chối dịch vụ' vì iptables logs drop / denied.

[Question] Re: Ký sự các vụ DDoS đến HVA - Phần 23	12/11/2008 23:38:57 (+0700) \| #41 \| 158601

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

tranhuuphuoc: Logs trên HVA hoàn toàn dùng cơ chế logrotation. Có lẽ em sẽ không tin rằng việc "process logs / check logs" hoàn toàn làm bằng... tay smilie

. Mỗi tuần anh kiểm tra logs 3 lần và ghi chú những điểm cần quan tâm. Công cụ chỉ là sed, awk, cat, grep smilie

.

lQ: HVA đã trải qua một.. "kinh nghiệm đau thương" hồi 2006. Khi đó, do bị DDoS liên tục và do cần phải logs đầy đủ để theo dõi và khắc phục, HVA bị lâm vào tình trạng... hết chỗ chứa vì logs quá nhiều và quá nhanh. Điều này gây nên một hậu hoạn kinh khủng đó là không còn chỗ để backup DB. Khi đó anh mắc dọn nhà nên không thể truy cập HVA mấy ngày, còn ku JAL thì về VN làm đám hỏi, đám dạm gì đó. Các backup cũ của DB bị xóa theo tuần tự (cũ hơn thì xóa), trong khi đó các backup mới tự động tạo ra thì không tạo được vì không còn chỗ trên disk. Rút kinh nghiệm, backup của DB giờ đây nằm trên một disk hoàn toàn riêng biệt và được copy offline theo định kỳ.

Riêng chuyện điều chỉnh FW để chống cự với DDoS là chuyện không thể tránh khỏi được. Mỗi dạng DDoS đặc biệt đều cần phải phân tích và tìm giải pháp thích hợp; không hề có chuyện "set and forget" cho bảo mật, đặc biệt đối với DDoS smilie

.

Thân.

What bringing us together is stronger than what pulling us apart.

[Question] Re: Ký sự các vụ DDoS đến HVA - Phần 23	25/11/2008 04:14:25 (+0700) \| #42 \| 160106

dvtam
Member

Joined: 16/03/2008 18:16:56
Messages: 10
Offline

hóa ra công việc của các anh Quản trị vất vả thật, em cũng đang học CNTT nhưng bây giờ em chỉ mới là rưồi muỗi thôi.không biết khi nào được như các anh đây.

Go to:

Users currently in here
1 Anonymous