Cho em hỏi về giải pháp chống DDOS

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận bảo mật

Cho em hỏi về giải pháp chống DDOS

[Discussion] Cho em hỏi về giải pháp chống DDOS	16/06/2011 21:50:46 (+0700) \| #1 \| 241099

vanthanh1501
Member

Joined: 16/06/2011 10:04:46
Messages: 20
Offline

Em mới học về máy tính chưa biết gì về bảo mật hết , hỏi 1 câu mong các anh đừng cười.

Theo em biết DDOS là biện pháp hack tệ hại nhất , dùng các xúc tua của mình bám lấy các máy tính của người khác sau đó lợi dụng các máy tính đó truy cập đồng lượt khiến host nào đó quá tải.

Vậy cho em hỏi có thể dùng cách ngược lại là mình cũng lợi dụng các máy tính khác host để giải toả và luôn luôn như thế để dễ dàng thoát khỏi tình trạng tê liệt khi bị ddos không ? Nghĩa là bình thường mình để nguyên cho các máy đó làm việc bình thường nhung chỉ khi có chuyện mới dùng nó giải vây tạm thời , em nghĩ khoảng 10 - 20 phút là các anh có thể xử lí được. Tiếp đó sẽ thả các máy đó ra...

Em nghĩ sao nói vậy mấy anh bổ sung kiến thức giúp em nha smilie

[Discussion] Cho em hỏi về giải pháp chống DDOS	17/06/2011 05:05:29 (+0700) \| #2 \| 241119

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

vanthanh1501 wrote:

Em mới học về máy tính chưa biết gì về bảo mật hết , hỏi 1 câu mong các anh đừng cười.

Theo em biết DDOS là biện pháp hack tệ hại nhất , dùng các xúc tua của mình bám lấy các máy tính của người khác sau đó lợi dụng các máy tính đó truy cập đồng lượt khiến host nào đó quá tải.

Vậy cho em hỏi có thể dùng cách ngược lại là mình cũng lợi dụng các máy tính khác host để giải toả và luôn luôn như thế để dễ dàng thoát khỏi tình trạng tê liệt khi bị ddos không ? Nghĩa là bình thường mình để nguyên cho các máy đó làm việc bình thường nhung chỉ khi có chuyện mới dùng nó giải vây tạm thời , em nghĩ khoảng 10 - 20 phút là các anh có thể xử lí được. Tiếp đó sẽ thả các máy đó ra...

Em nghĩ sao nói vậy mấy anh bổ sung kiến thức giúp em nha

---> Hơi mơ hồ. Làm cách nào để "lợi dụng các máy tính khác"? và "giải toả" là cụ thể làm cái gì?

What bringing us together is stronger than what pulling us apart.

[Discussion] Cho em hỏi về giải pháp chống DDOS	17/06/2011 07:10:50 (+0700) \| #3 \| 241124

manthang
Journalist

Joined: 30/06/2008 16:36:58
Messages: 140
Offline

vanthanh1501 wrote:

Vậy cho em hỏi có thể dùng cách ngược lại là mình cũng lợi dụng các máy tính khác host để giải toả và luôn luôn như thế để dễ dàng thoát khỏi tình trạng tê liệt khi bị ddos không ? Nghĩa là bình thường mình để nguyên cho các máy đó làm việc bình thường nhung chỉ khi có chuyện mới dùng nó giải vây tạm thời , em nghĩ khoảng 10 - 20 phút là các anh có thể xử lí được. Tiếp đó sẽ thả các máy đó ra...

ý của bạn là xây dựng một hệ thống gồm nhiều máy tính để chúng chia nhau đón nhận và xử lý một lượng lớn dữ liệu đổ dồn vào hệ thống cùng lúc? Nếu thế thì giải pháp bạn nghĩ ra ở trên không có gì mới cả, trong forum đã có vài topic thảo luận về các giải pháp phòng chống DoS/DDoS có đề cập tới vấn đề đó rồi, bạn tìm kiếm thử.

keep -security- in -mind-

[Discussion] Cho em hỏi về giải pháp chống DDOS	17/06/2011 10:55:37 (+0700) \| #4 \| 241155

vanthanh1501
Member

Joined: 16/06/2011 10:04:46
Messages: 20
Offline

Dạ máy anh tiền bối có gì dạy bảo em , em mới học xong lớp 12 và cũng mới dc tiếp xúc với máy tính thui, chưa hiểu biết gì smilie

[Discussion] Cho em hỏi về giải pháp chống DDOS	18/06/2011 07:59:46 (+0700) \| #5 \| 241277

chiro8x
Member

Joined: 26/09/2010 00:38:37
Messages: 661
Location: /home/chiro8x
Offline

vanthanh1501 wrote:

Dạ máy anh tiền bối có gì dạy bảo em , em mới học xong lớp 12 và cũng mới dc tiếp xúc với máy tính thui, chưa hiểu biết gì

Nghe cách phát biểu của cậu và đọc qua vài topic của cậu tớ lại thấy khác. Điều cậu chưa biết gì thì đã rõ, nhưng được cái cậu có ưu điểm là rất tự tin trước một vấn đề cậu không biết rõ. Trong forum này có bài kí sự DDOS HVA trong đó anh conmale đã phân tích và mô tả rất nhiều về các phương pháp tấn công và biện pháp khắc phục. Có thể học từ nhiều nguồn khác như wikipedia, và ebook và hỏi google.

Rất mong lúc khác bạn sẽ lập một topic hướng dẫn cho mọi người chứ không phải là một topic mơ hồ và nữa hỏi nữa hướng dẫn như thế này smilie

while(1){}

[Discussion] Cho em hỏi về giải pháp chống DDOS	18/06/2011 08:55:12 (+0700) \| #6 \| 241288

bboy_nonoyes
Member

Joined: 24/05/2010 02:30:01
Messages: 7
Offline

Joined: 16/06/2011
Welcome to HVA Online! ^^
Bạn cứ tìm đọc qua hết các bài viết trên forum đi, có gì ko hiểu thì post lên anh em sẽ giúp!
Chúc thành công!

[Discussion] Cho em hỏi về giải pháp chống DDOS	18/06/2011 10:38:54 (+0700) \| #7 \| 241308

dexxa
Member

Joined: 01/07/2006 20:35:01
Messages: 121
Offline

. Trong forum này có bài kí sự DDOS HVA trong đó anh conmale đã phân tích và mô tả rất nhiều về các phương pháp tấn công và biện pháp khắc phục.

Loạt bài đó là kinh nghiệm đúc rút từ quá trình phòng chống thực tế, nó không phải là những thứ căn bản để có thể mang ra đọc ngay, hiểu ngay được. Nếu ai chưa biết gì về DDoS mà cũng dùng nó như lí thuyết căn bản để tìm hiểu và thực hành theo chắc "chết"

[Discussion] Cho em hỏi về giải pháp chống DDOS	18/06/2011 12:48:19 (+0700) \| #8 \| 241322

chiro8x
Member

Joined: 26/09/2010 00:38:37
Messages: 661
Location: /home/chiro8x
Offline

dexxa wrote:

. Trong forum này có bài kí sự DDOS HVA trong đó anh conmale đã phân tích và mô tả rất nhiều về các phương pháp tấn công và biện pháp khắc phục.

Loạt bài đó là kinh nghiệm đúc rút từ quá trình phòng chống thực tế, nó không phải là những thứ căn bản để có thể mang ra đọc ngay, hiểu ngay được. Nếu ai chưa biết gì về DDoS mà cũng dùng nó như lí thuyết căn bản để tìm hiểu và thực hành theo chắc "chết"

Nếu muốn có lý thuyết căn bản thì phải học nhều thứ. Từ cấu trúc máy tính, cho tới hệ điều hành và mạng máy tính, phải có một lượng kiến thức nhất định nếu muốn biết nhiều hơn. Có một số người lại thích bắt đằu đầu từ đỉnh chứ không chịu đi từ gốc. Và khi các bạn đi từ đỉnh thì câu hỏi thường gặp là "cái này là cái gì ?". Các topic thảo luận chống DDOS trong thời gian gần đây không thú vị, và không nóng vì chả ai có một thắc mắc hợp lý để cùng thảo luận cả.

Vào những topic thế này thật chán, mong rằng sẽ có những topic hay và thắc mắc hợp lý hơn. Và người nêu ra chủ đề cũng tìm hiểu về chủ để đó một cách đúng đắn.

while(1){}

[Discussion] Cho em hỏi về giải pháp chống DDOS	19/06/2011 17:35:23 (+0700) \| #9 \| 241410

bennhaumotthoi_a2
Member

Joined: 01/10/2009 11:11:21
Messages: 25
Offline

theo mình dc biết thì ddos thì chỉ có các làm giảm thôi chứ ko có cách nào chống dc

[Discussion] Cho em hỏi về giải pháp chống DDOS	19/06/2011 23:18:06 (+0700) \| #10 \| 241430

chiro8x
Member

Joined: 26/09/2010 00:38:37
Messages: 661
Location: /home/chiro8x
Offline

bennhaumotthoi_a2 wrote:

theo mình dc biết thì ddos thì chỉ có các làm giảm thôi chứ ko có cách nào chống dc

Theo bạn giảm có nghĩa gì và chống có nghĩa gì ? có thể nói rõ được không ? Mình muốn biết thế nào là giảm và chống thôi smilie

while(1){}

[Discussion] Cho em hỏi về giải pháp chống DDOS	23/06/2011 09:13:09 (+0700) \| #11 \| 241773

anti-ddos
Member

Joined: 27/02/2011 11:44:00
Messages: 4
Offline

Đây là một số cách giảm tấn công DDoS, mọi người tham khảo
(Vì mình chỉ sưu tầm, nên để nguyên ý của tác giả --> Sorry Mod ):

Invalid Packets
Always‐on countermeasure that handles fragment reassembly and other basic layer 3 and layer 4 packet validation.

Filter Evaluation (SP UI: Black / White List)
Looks at the fcap expression that is provided in the SP interface in the "Black /Whitelist" tab. If the evaluation says it "passes", then no further mitigation is done. If it says "drop", the packet is dropped, stats updated accordingly, and no further mitigation is done. This corresponds to the Black List / White List expression in the SP UI. This expression defines a list of pass and drop expressions. Anything that matches a "pass" statement will not get looked at any further (thus, it is on the "white list" smilie

. Anything that matches a "drop" statement will be instantly dropped and will not get looked at further (it is on the "black list" smilie

. All other traffic proceeds to be evaluated through the remaining shaping and countermeasures.

Blacklist Evaluation
If the source host is on the blacklist because it was put there by one of the countermeasures, the packet is dropped, stats updated accordingly, and no further mitigation is done. Note that the countermeasure that put the host on the blacklist is the one credited as having dropped the packet. You can think of this as dynamic version of the Blacklist configuration in the SP UI.

Zombie Countermeasure
Hosts that exceed a pps or bps threshold are considered zombies. These hosts are blacklisted, the packet is dropped, stats are updated accordingly, and no further mitigation is done.

TCP SYN Authentication Countermeasure
This countermeasure looks to authenticate hosts initiating TCP connections. If we see a SYN, this countermeasure will SYN|ACK it with a certain special sequence number. If the host responds with ACK and the special sequence number +1, then we authenticate it. The connection is reset. If dropped, the stats updated accordingly and no further mitigation is done. NOTE: No blacklisting is done by this countermeasure.

DNS Authentication Countermeasure
This countermeasure validates source hosts perfoming DNS lookups. Only requests on udp/53 are considered The countermeasure drops the first request and those hosts that retransmit within the timeout are validated. Their requests pass through until we don't hear another request from them in the timeout period. If dropped, the stats are updated accordingly and no further mitigation is done. NOTE: No blacklisting is done by this countermeasure.

Idle Reset Processing
This countermeasure doesn't produce an effect immediately. It never drops packets.
At this time, it just looks at the packet if it's TCP, it tracks the connection.
Asynchronously every timeout period, TCP connections that have sat idle on the configured ports for longer than one timeout are reset. The hosts are blacklisted.

Payload Regex Processing
Depending on whether the packet has a configured tcp or udp dest port, the regular expression is applied to the payload. If it matches, then the packet is dropped. Keep in mind that the regex is not evaluated across multiple TCP segments or IP fragments. If dropped, the stats are updated accordingly and no further mitigation is done. No blacklisting of the source host is done.

Source/24 Baseline Stats
If this source/24 is blocked due to being 5 times over the baseline rate limit, then the packet is dropped, the stats are updated accordingly and no further mitigation is done. We get baselines for /24s from our SP leader in 24‐hour chunks (with 5‐minute bins inside).

Protocol Baseline Stats
If this protocol is blocked due to being over the rate limit, then the packet is dropped, the stats are updated accordingly and no further mitigation is done. We get baselines for each protocol from our SP leader in 24‐hour chunks (with 5‐minute bins inside).

Malformed DNS Filtering
Any UDP DNS packets containing no payload are are dropped. The stats are updated accordingly and no further mitigation is done.

Malformed SIP Filtering
Any UDP SIP packets containing no payload are are dropped. The stats are updated accordingly and no further mitigation is done.

Rate Limiting
Packets are matched against a regex filter. If they match, then their bps/pps is limited to the maximum. If it exceeds the limit, then the packet is dropped, the stats are updated accordingly, and no further mitigation is done.

Malformed DNS filtering
When a DNS message is decoded, this countermeasure looks for it to be well‐formed. If it's not, then the packet is dropped and the stats are updated accordingly. Note that the offending host is not blacklisted.

Malformed HTTP Filtering
When an HTTP header is decoded, this countermeasure looks for it to conform to RFC2616 Section 2.2 "Basic Rules" with the exception of allowing the " " character.
It also looks for any error in the entire stream. If either of these occur then the packet(s) are dropped and the stats are updated accordingly. The offending host is blacklisted.

HTTP Object and Request Rate Limiting
When HTTP Requests are decoded, this countermeasure makes sure that the number of requests / objects for that source / dest IP pair do not exceed the given rate. If they do, then the packet(s) are dropped and the stats are updated accordingly. The offending host is blacklisted.

HTTP Regex Filtering
When HTTP requests or headers are decoded, this countermeasure evaluates the configured expression against the full payload. If it matches, then the packet(s) are dropped and the stats are updated accordingly. The offending host is blacklisted.

Malformed SIP Filtering
When SIP responses or headers are decoded, this countermeasure validates that they're well formed. If not, then the packet(s) are dropped and the stats are updated accordingly. The offending host is blacklisted.

SIP Request Rate Limiting
When SIP requests are decoded, this countermeasure makes sure that the number of requests for that source / dest IP pair do not exceed the given rate. If they do, then the packet(s) are dropped and the stats are updated accordingly. The offending host is blacklisted.

[Discussion] Cho em hỏi về giải pháp chống DDOS	23/06/2011 09:44:21 (+0700) \| #12 \| 241781

chiro8x
Member

Joined: 26/09/2010 00:38:37
Messages: 661
Location: /home/chiro8x
Offline

Sao bạn không dẫn link ra cho người ta tìm hiểu ? Nếu đã copy thì cũng nêu rõ nguồn để người ta có thể tham khảo. Chứ copy nguyên của người ta ra kèm theo một lời xin lỗi thấy nó không thoả đáng tí nào.

while(1){}

[Discussion] Cho em hỏi về giải pháp chống DDOS	23/06/2011 10:06:10 (+0700) \| #13 \| 241785

anti-ddos
Member

Joined: 27/02/2011 11:44:00
Messages: 4
Offline

Mình định translate xong sẽ post lại (sau khi có sự góp ý của tác giả).
Về vấn đề link, do tác giả gửi cho mình 1 file gần cả mấy chục Mb, nên không thể post lên được.

[Discussion] Cho em hỏi về giải pháp chống DDOS	23/06/2011 13:39:02 (+0700) \| #14 \| 241812

Mr.SuperCat
Member

Joined: 16/06/2011 06:23:53
Messages: 65
Location: Mid Digital
Offline

vanthanh1501 wrote:

Em mới học về máy tính chưa biết gì về bảo mật hết , hỏi 1 câu mong các anh đừng cười.

Theo em biết DDOS là biện pháp hack tệ hại nhất , dùng các xúc tua của mình bám lấy các máy tính của người khác sau đó lợi dụng các máy tính đó truy cập đồng lượt khiến host nào đó quá tải.

Vậy cho em hỏi có thể dùng cách ngược lại là mình cũng lợi dụng các máy tính khác host để giải toả và luôn luôn như thế để dễ dàng thoát khỏi tình trạng tê liệt khi bị ddos không ? Nghĩa là bình thường mình để nguyên cho các máy đó làm việc bình thường nhung chỉ khi có chuyện mới dùng nó giải vây tạm thời , em nghĩ khoảng 10 - 20 phút là các anh có thể xử lí được. Tiếp đó sẽ thả các máy đó ra...

Em nghĩ sao nói vậy mấy anh bổ sung kiến thức giúp em nha

Dùng máy tính khác host để giải toả là như thế nào hả bạn, có phải ý bạn là chuyển những lượng truy cập đó sang máy tính khác host không. Mình thấy ý tưởng của bạn có vẻ không khá thi lắm, hay chuyển lượng truy cập từ sever mình sang sever người khác vậy bạn, chúng ta không thể biết được trong số những truy cập đó thì truy cập nào là Ddos lượng truy cập nào là của người truy cập. Tốt nhất là khi đã bị Ddos thì trùm chăn đi ngủ là tốt nhất. smilie

P/S: À nghe nói bác TKM bên http://www.fotech.org có cái tools gì bán tự động chống Ddos đó.

Chúng tôi đại diện cho những nhân vật phản diện
Đầy khả ái và ngây ngất lòng người. smilie

Go to:

Users currently in here
1 Anonymous