Thông tin sơ bộ về quái thú ddos Keep-Dead:
Keep-Dead - Trang chủ của nhóm này là www.esrun.co.uk
Thông điệp Header luôn để lại sau mỗi cuộc tấn công là:
Code:
_ __ ____ _
| |/ /___ ___ _ __ | _ \ ___ __ _ __| |
| ' // _ \/ _ \ '_ \ _____| | | |/ _ \/ _` |/ _` |
| . \ __/ __/ |_) |_____| |_| | __/ (_| | (_| |
|_|\_\___|\___| .__/ |____/ \___|\__,_|\__,_|
|_|
Phương pháp rất đơn giản, xem đoạn code bên dưới và áp dụng nếu thấy hữu dụng!
Nguyên lý hoạt động:
Đầu tiên script sẽ kiểm tra Ip của user, lúc này sẽ xảy ra hai trường hợp.
Trường hợp (I): Nếu ( Ip user nằm trong khoảng từ 66.249.1.1 đến 66.249.255.255 )
/////Giải thích: Việc script khoanh vùng IP này vì có lý do đặc biệt quan trọng cho khả năng SEO của trang web. Thường thì IP của Google Bot luôn có dạng 66.249.x.x, chính vì vậy Google Bot cũng khuyến khích dụng khoảng IP cho công việc này là tốt nhất!
////
Thì { Chạy tệp tin truy xuất thông tin đến trang forum hoặc trang web kết nối đến SQL...; Kết thúc tiến trình;}
Ngược lại
{ Lúc này script sẽ lưu một cookies có tên Anti_Ddos vào browser của user với giá trị là ip2long, và thời gian hết hạn là một năm;
/////Giải thích: Việc script lưu cookies là có ý đồ đặc biệt, Cookies này chính là chìa khoá truy cập vào trang web, và nó chỉ tồn tại khi người sử dụng(user) truy cập trang bằng trình duyệt(browser). Cách thức này sẽ chặn các cách tấn công có dạng như keep-dead(cách ddos không phải trực tiếp qua browser), rộng hơn là dos, ddos, Flood SYN... nói chung!
////
Nếu ( nội dung cookies Anti_Ddos khác biệt với miền nhớ "ck" )
Thì
{ Chuyển hướng đến trang http://cloudflarevn.tk/index.xhtml?get-url=địa chỉ người dùng cần truy vấn}
/////Giải thích: Việc script chuyển hướng đến trang http://cloudflarevn.tk là có chủ ý, Việc chuyển hướng có tác dụng phân tán các gói tin nặng nề từ keep-dead gửi đến trang web, giảm tải cho hệ thống... từ đó vô hiệu hoá toàn bộ tác nhân xấu khi muốn truy vấn vào trang web.
Đặc biệt phía sau đuôi của địa chỉ có biến Get-url, biến này sẽ làm tác vụ lưu giữ điểm đến của người sử dụng và gửi cho trang http://cloudflarevn.tk xử lý sau này, điều này giúp ích cho việc điều hướng chính xác từ bộ mày tìm kiếm đến trang web đầy hiệu quả!
////
Ngược lại
{ Chạy tệp tin truy xuất thông tin đến trang forum hoặc trang web kết nối đến SQL...; Kết thúc tiến trình; }
}
Code:
<?
$ip = ip2long($_SERVER['REMOTE_ADDR']);
if ($ip >= ip2long("66.249.1.1") && $ip <= ip2long("66.249.255.255"))
{
require_once ('@forum/index.php');
exit();
}
else
{
session_start('ck');
setcookie('Anti_Ddos',$ip,time() + (86400*365)); // 86400 = 1 day
if($_SESSION['ck'] == $_COOKIE['Anti_Ddos']) {
header("Location: http://cloudflarevn.tk/index.xhtml?get-url=".$_SERVER['REQUEST_URI']);
}
else
{
require_once ('@forum/index.php');
}
exit();
}
?>