Phương pháp chống đỡ triệt để quái thú ddos Keep-Dead

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận bảo mật

Phương pháp chống đỡ triệt để quái thú ddos Keep-Dead

[Article] Phương pháp chống đỡ triệt để quái thú ddos Keep-Dead	22/08/2013 14:40:16 (+0700) \| #1 \| 278222

firewallcookies
Member

Joined: 16/08/2013 05:43:32
Messages: 3
Location: Nha Trang
Offline

Thông tin sơ bộ về quái thú ddos Keep-Dead:

Keep-Dead - Trang chủ của nhóm này là www.esrun.co.uk
Thông điệp Header luôn để lại sau mỗi cuộc tấn công là:

Code:

_  __                     ____                 _ 
	| |/ /___  ___ _ __       |  _ \  ___  __ _  __| |
	| ' // _ \/ _ \ '_ \ _____| | | |/ _ \/ _` |/ _` |
	| . \  __/  __/ |_) |_____| |_| |  __/ (_| | (_| |
	|_|\_\___|\___| .__/      |____/ \___|\__,_|\__,_|
	              |_|

Phương pháp rất đơn giản, xem đoạn code bên dưới và áp dụng nếu thấy hữu dụng!

Nguyên lý hoạt động:

Đầu tiên script sẽ kiểm tra Ip của user, lúc này sẽ xảy ra hai trường hợp.

Trường hợp (I): Nếu ( Ip user nằm trong khoảng từ 66.249.1.1 đến 66.249.255.255 )

/////Giải thích: Việc script khoanh vùng IP này vì có lý do đặc biệt quan trọng cho khả năng SEO của trang web. Thường thì IP của Google Bot luôn có dạng 66.249.x.x, chính vì vậy Google Bot cũng khuyến khích dụng khoảng IP cho công việc này là tốt nhất!
////

Thì { Chạy tệp tin truy xuất thông tin đến trang forum hoặc trang web kết nối đến SQL...; Kết thúc tiến trình;}

Ngược lại
{ Lúc này script sẽ lưu một cookies có tên Anti_Ddos vào browser của user với giá trị là ip2long, và thời gian hết hạn là một năm;

/////Giải thích: Việc script lưu cookies là có ý đồ đặc biệt, Cookies này chính là chìa khoá truy cập vào trang web, và nó chỉ tồn tại khi người sử dụng(user) truy cập trang bằng trình duyệt(browser). Cách thức này sẽ chặn các cách tấn công có dạng như keep-dead(cách ddos không phải trực tiếp qua browser), rộng hơn là dos, ddos, Flood SYN... nói chung!
////

Nếu ( nội dung cookies Anti_Ddos khác biệt với miền nhớ "ck" )
Thì
{ Chuyển hướng đến trang http://cloudflarevn.tk/index.xhtml?get-url=địa chỉ người dùng cần truy vấn}

/////Giải thích: Việc script chuyển hướng đến trang http://cloudflarevn.tk là có chủ ý, Việc chuyển hướng có tác dụng phân tán các gói tin nặng nề từ keep-dead gửi đến trang web, giảm tải cho hệ thống... từ đó vô hiệu hoá toàn bộ tác nhân xấu khi muốn truy vấn vào trang web.
Đặc biệt phía sau đuôi của địa chỉ có biến Get-url, biến này sẽ làm tác vụ lưu giữ điểm đến của người sử dụng và gửi cho trang http://cloudflarevn.tk xử lý sau này, điều này giúp ích cho việc điều hướng chính xác từ bộ mày tìm kiếm đến trang web đầy hiệu quả!
////

Ngược lại
{ Chạy tệp tin truy xuất thông tin đến trang forum hoặc trang web kết nối đến SQL...; Kết thúc tiến trình; }

}

Code:

<?
$ip = ip2long($_SERVER['REMOTE_ADDR']);
 if ($ip >= ip2long("66.249.1.1") && $ip <= ip2long("66.249.255.255"))
   {
   require_once ('@forum/index.php');
   exit();
   }
 else
   {
      session_start('ck');
      setcookie('Anti_Ddos',$ip,time() + (86400*365)); // 86400 = 1 day
          if($_SESSION['ck'] == $_COOKIE['Anti_Ddos']) {
          header("Location: http://cloudflarevn.tk/index.xhtml?get-url=".$_SERVER['REQUEST_URI']); 
          }
          else
          {
          require_once ('@forum/index.php');
          }
   exit();
   }
?>

http://sacmauit.tk

[Article] Phương pháp chống đỡ triệt để quái thú ddos Keep-Dead	23/08/2013 03:08:09 (+0700) \| #2 \| 278227

xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline

Đoạn script trên bị mấy con bot bypass cái một smilie

iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline

[Article] Phương pháp chống đỡ triệt để quái thú ddos Keep-Dead	28/08/2013 09:38:38 (+0700) \| #3 \| 278302

sparrowvn
Member

Joined: 12/03/2012 21:21:05
Messages: 12
Offline

Bạn này đùa rồi

Test lỗ hổng web : http://iwast.securitas.com.vn

[Article] Phương pháp chống đỡ triệt để quái thú ddos Keep-Dead	30/12/2013 23:47:18 (+0700) \| #4 \| 279365

BachDuongTM
Member

Joined: 29/06/2006 17:39:39
Messages: 85
Offline

Mình rất thích bài viết của bạn.

Việc chèn thêm cookie là một lựa chọn hay giúp server loại bỏ mấy bọn DDOS đáng ghét.
Tuy nhiên firewall này vẫn còn hơi yếu yếu một tý nên mình bơm thêm cho nó mạnh nhé

1. Bạn đừng cản bằng cookie mà nên cản bằng url có kèm theo session. Vì có những trường hợp cookie không toàn vẹn, trong khi url thì ít bị chỉnh sửa hơn.

3. Session không cần quá phức tạp, tuy nhiên nên áp dụng session là một loại mã hoá 1 chiều cho các biến số : thời gian + IP nguồn + url cần xem + TTL + khoá mã bí mật.

Với
- thời gian fix cứng, nếu quá 15 phút chẳng hạn thì session không có giá trị
- IP nguồn fix theo IP của client, nếu đối IP khác thì session không giá trị
- url cần xem fix theo request client, nếu đổi URL khác thì session không giá trị
- TTL tuỳ theo nhu cầu người dùng, giảm dần nếu request gọi đến liên tục trong khoảng thời gian, và tự nâng lên
- khoá mã bí mật nằm ở phía server

Cuối cùng là việc kiểm tra session này không nên dùng PHP để check, thay vì thế bạn nên cài nginx lên máy chủ linux và kiểm tra session với ngôn ngữ LUA, hoặc một dạng extension tích thẳng nginx. Ngoài ra bạn có thể lựa chọn ngôn ngữ C thuần với một số thư viện để tự mình xây dựng proxy check session.

Hơn nữa, việc check này chỉ tốt với số lựong request ở mức 100k request/s, tưong ứng với khoảng 400Mbps đường truyền. Nếu lớn hơn, e là bạn phải áp dụng một số kỹ thuật cao hơn gồm

- Tạo các kết nối nửa vời: nếu client là 1 tools ddos thuần, nó sẽ dễ bị phát hiện khi bạn cố tình kết nối nửa vời đến nó.
- Tạo các bộ điều hứong phân giải, khi client kết nối đến máy chủ, nó bị điều sang máy chủ phân tích gần nó nhất, để từ đó thống kê xem nó có phải là kẻ tình nghi không
- Áp dụng biện pháp xác thực người dùng cuối. Như là một kiểu kết hợp 2 key server và key client, trùng khớp mã thì vượt qua quá trình xác thực. Việc này nghe có vẻ tiêu tốn tài nguyên, nhưng nó rất tốt cho việc xác định nhanh đâu là Client đâu là mạng botnet tấn công, từ đó khoanh vùng ảnh hưởng

[Article] Em xin mạn phép, nhưng chẳng biết nhờ ai, đành ..làm phiền các bác	27/01/2014 02:55:40 (+0700) \| #5 \| 279544

ambn_corp
Member

Joined: 12/11/2011 16:33:20
Messages: 8
Offline

Các bác làm ơn giúp em với:
Chả là thế này. Em có 1 trang web, cũng định sống chết cùng nó (Trắc nghiệm trực tuyến, khảo sát trực tuyến, tài liệu), xây dựng 2 năm nay rồi, nhưng đang thiết kế thì ông bạn kỹ thuật bỏ vào nhà nước làm. Bỏ lại dở dang của trang web, em thì cũng kém, chỉ gọi là tạm biết (Và quan trọng là em phải lo tiền để nuôi và phát triển trang web, thuê viết câu lệnh mới, chuẩn bị cơ sở dữ liệu) nên vấn đề quản trị admin ..em chỉ gọi là tạm chấp nhận được. Nhưng bảo mật thì phải nói là dốt đặc cắn mai. Để phát triển tiếp trang em đành phải nhờ 1 đơn vị khác làm tiếp và giờ cũng gọi là tàm tạm các bác ạ nhưng có 1 việc em để ý thấy thỉnh thoảng tài khoản 1 khách mới tinh.. vào có điểm số rất khủng.. mặc dù chẳng đóng góp cho trang web 1 cái SMS nào. Em có nhờ bên làm web tìm kiếm lỗi bảo mật.. nhưng họ cũng .. không khá hơn em nhiều lắm...Em có nhờ bên máy chủ quét Backdoor, họ cũng thông báo..không phát hiện ra điều gì...Vậy là con web của em.. thành web..công cộng!!!!
Em Xin nhờ các bác, bỏ chút thời gian vàng bạc của mình "bắt bệnh giúp em" và chỉ cho em những lỗi cơ bản của trang web, để chúng em biết mà khắc phục. Chứ giờ .. trong 5000 thành viên ..thì em thực lòng báo cáo các bác.. có đến 1000 thành viên là "gian lận".

Trang của em đây ạ http://ambn.vn/

Các bác giúp em với nhé: Rất mong các bác bắt được bệnh và gửi "tên bệnh' vào email của em: ambn_huyen@yahoo.com
Em chân thành cảm ơn các bác, và hứa gắng sau này học tập khá hơn để ít phải phiền đến các bác hơn.

Go to:

Users currently in here
1 Anonymous