banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Ký sự các vụ DDoS đến HVA - Phần 23  XML
  [Question]   Re: Ký sự các vụ DDoS đến HVA - Phần 23 21/10/2008 13:13:15 (+0700) | #31 | 156004
Giang Hồ Mạng
Member

[Minus]    0    [Plus]
Joined: 15/03/2008 18:53:14
Messages: 21
Offline
[Profile] [PM]

BachDuongTM wrote:
Hi

nếu như có file đó rùi, cần chi nữa không ? file config firewall nha ?

Thực ra mình kô nghĩ điều đó là cần thiết, vì Mr Commale cũng miêu tả rõ ràng rồi mà. Hơn nữa, sao bạn không thử chơi cờ tưởng nhỉ, hacker là mình thì sẽ DDOS nè, rồi mình sẽ chống thế này nè smilie smilie


Ask for more hay Deep thinking

 


Giang hồ có nói 1 câu thế này “Biết thì nói , không biết thì dựa cột mà nghe đừng phát biểu linh tinh” smilie
[Up] [Print Copy]
  [Question]   Re: Ký sự các vụ DDoS đến HVA - Phần 23 21/10/2008 17:12:36 (+0700) | #32 | 156022
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

Mr.Khoai wrote:
...
Vì sao iptables không thể "wwwect" input stream vào /dev/null bằng các cách như >, hoặc pipe vân vân? Lý do là iptables không cung cấp cho mình một interface để tương tác với /dev/null, và, input stream không thể ra vào trực tiếp trên các file stdin, stdout và stderr. Mình có thể chạy iptables bằng bash (script), và khi sử dụng các ký tự đặc biệt này thì chính bash sẽ open stdin, stdout, và stderr, rồi chính bash sẽ lo vụ wwwect. iptables khi nhận một gói tin sẽ open các files khác (socket, cho wwwect, hoặc /dev/eth1 nếu đang làm gateway chẳng hạn) và "wwwect" gói tin đến file đó.
 

Đúng vậy. Hay nói một cách khác, iptables / netfilter chỉ làm việc với IP (internet socket) và cho đến lúc này, hoàn toàn không có cách gì để đưa một packet mà iptables có thể kiểm soát từ socket sang một unix device được.

Mr.Khoai wrote:

Giả sử iptables có một target là -j NULL, ta có thể wwwect input stream trực tiếp từ socket vào /dev/null. Lúc này, chính iptables sẽ open /dev/null và tiến hành write dữ liệu vào đó. Việc hack netfilter và iptables để làm việc này thì không phải không làm được. Nhưng mình có thể sử dụng một cách khác để đạt kết quả tương tự.

khoai 

Lúc trước có một tay đã thử viết NULL module cho netfilter nhưng đám netfilter chính thức không tiếp nhận vì lý do gì đó nên vụ này chìm luôn. Nếu anh nhớ không lầm, cách ứng dụng NULL module đó không wwwect vào /dev/null mà nó chỉ đơn giản tiếp nhận và xóa packet đó cũng tương tự như /dev/null nhưng thuần túy xử lý ngay trên netfilter. Có một số bàn cãi về sự giống và khác nhau giữa -j DROP và -j NULL trước đây nhưng chưa ngã ngũ. Có lẽ trọng tâm của netfilter hoàn toàn xoáy vào IP chớ không đi ra ngoài khuôn khổ ấy. Không biết về sau sẽ như thế nào.

to Giang Hồ Mạng: những thông tin cần thiết và trọng tâm nhất thì anh đã trình bày rồi nên nếu có mấy cái dump file đó cũng không để làm gì đâu em. Vả lại, những dump file này có thể có những thông tin nhạy cảm nên anh không thể "share" một cách rộng rãi được.

Thân.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: Ký sự các vụ DDoS đến HVA - Phần 23 02/11/2008 14:55:12 (+0700) | #33 | 157352
[Avatar]
dabu
Elite Member

[Minus]    0    [Plus]
Joined: 03/03/2003 03:31:20
Messages: 226
Offline
[Profile] [PM]
Cho em chen ngang chút :
Trong router cisco có phải dủng câu lệnh này phải kô ạ:
Code:
ip route x.x.x.x x.x.x.x null0
It's time to build a new network.
[Up] [Print Copy]
  [Question]   Re: Ký sự các vụ DDoS đến HVA - Phần 23 02/11/2008 20:24:45 (+0700) | #34 | 157370
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

dabu wrote:
Cho em chen ngang chút :
Trong router cisco có phải dủng câu lệnh này phải kô ạ:
Code:
ip route x.x.x.x x.x.x.x null0
 



Để làm chi em?
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: Ký sự các vụ DDoS đến HVA - Phần 23 02/11/2008 21:53:11 (+0700) | #35 | 157375
[Avatar]
dabu
Elite Member

[Minus]    0    [Plus]
Joined: 03/03/2003 03:31:20
Messages: 226
Offline
[Profile] [PM]

conmale wrote:

dabu wrote:
Cho em chen ngang chút :
Trong router cisco có phải dủng câu lệnh này phải kô ạ:
Code:
ip route x.x.x.x x.x.x.x null0
 



Để làm chi em? 


Để chuyển tất cả traffic từ một IP nào đó hoặc một range ip nào đó [range ip này hoặc ip này đang DoS đến HVA bằng những gói UDP], vào một interface ảo null để làm giảm độ xử lý[performance] của router đến mức tối đa.

p/s : Còn vấn đề anh đang bàn với Mr.Khoai là để wwwect vào "device" /dev/null dựa trên tầng mấy của mô hỉnh OSI, iptables làm việc ở tầng nào ? dạng dữ liệu stream/ socket khác nhau thế nào? tiếp nhận dòng dữ liệu stream này phải làm gì? smilie

Đó là mớ "kiến thức" em lụm được qua topic này. smilie
It's time to build a new network.
[Up] [Print Copy]
  [Question]   Re: Ký sự các vụ DDoS đến HVA - Phần 23 05/11/2008 01:17:06 (+0700) | #36 | 157625
Mr.Khoai
Moderator

Joined: 27/06/2006 01:55:07
Messages: 954
Offline
[Profile] [PM]
Dabu,

khoai nghĩ cái lệnh trên tương tự như khái niệm null routing mà BachDuongTM đã đề cập ở trang 1. Nhưng, khoai nghĩ nó không giúp ích gì trong trường hợp này. Lý do:

1. Tương tự như anh conmale đã nói, bạn phải filter tất cả source network/address và route vào device là null0. Như vậy không khả thi

2. Routing engine vẫn phải process ip headers, performance hit khoai nghĩ vẫn rất cao, cho dù không có cái Cisco router nào kế bên để test smilie

khoai
[Up] [Print Copy]
  [Question]   Re: Ký sự các vụ DDoS đến HVA - Phần 23 05/11/2008 06:46:59 (+0700) | #37 | 157690
[Avatar]
lQ
Moderator

Joined: 29/03/2005 17:06:20
Messages: 494
Offline
[Profile] [PM]
hi anh conmale,
ngoài việc bị flood đường truyền, hình như công đoạn log của iptables cũng làm cho server load cao. Phải vậy ko anh?
[Up] [Print Copy]
  [Question]   Re: Ký sự các vụ DDoS đến HVA - Phần 23 05/11/2008 22:53:03 (+0700) | #38 | 157741
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

lQ wrote:
hi anh conmale,
ngoài việc bị flood đường truyền, hình như công đoạn log của iptables cũng làm cho server load cao. Phải vậy ko anh? 


Đúng vậy em. Log càng chi tiết, càng nhanh thì càng "mệt" cho server. Đây là tình trạng còn gọi là "tự từ chối dịch vụ" (self denial of service). Chẳng những thế, nếu kích thước gia tăng quá nhanh và quá nhiều thì có thể dẫn đến tình trạng hết chỗ chứa (hầu hết các *nix server được tạo mount point / chung cho mọi thứ) và dẫn đến chỗ server tê liệt.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: Ký sự các vụ DDoS đến HVA - Phần 23 07/11/2008 03:14:39 (+0700) | #39 | 157953
[Avatar]
tranhuuphuoc
Moderator

Joined: 05/09/2004 06:08:09
Messages: 865
Location: Lầu Xanh
Offline
[Profile] [PM] [WWW]
Em đọc được đến dòng này, em suy nghĩ HVA phòng thủ logs hướng như thế này smilie
Logs cho ta cái nhìn tổng quan về thiết bị , nhờ vào logs ta có thể truy tìm được thủ phạm, khắc phục sự cố,... log chia ra làm 2 loại : log được sản sinh từ phần mềm, log được sản sinh từ kernel và logs được sản sinh từ iptabales, webserver hay database không ngoại lệ trong 2 loại logs trên.

Theo em đoán HVA dùng 1 script , tác dụng của script này cứ qua 1 ngày các log sẽ được nén thành 1 tập tin nào đó được lưu trên một đường dẫn đã được ấn định trước, tự động kiểm tra tiến trình đang hoạt động trên server, loại bỏ những log không cần thiết và có thể nó chính là 1 công cụ theo dõi log hữu hiệu nhất (logtail) đơn cữ anh dùng LogCheck hoặc OSSEC .

Em "bắt bệnh" như thế có đúng mạch không anh smilie
[Up] [Print Copy]
  [Question]   Re: Ký sự các vụ DDoS đến HVA - Phần 23 09/11/2008 00:32:58 (+0700) | #40 | 158144
[Avatar]
lQ
Moderator

Joined: 29/03/2005 17:06:20
Messages: 494
Offline
[Profile] [PM]
hi conmale,

vậy thì gần như nguyên nhân làm cho server chập chờn chính là việc ghi logs của iptables làm tốn quá nhiều resources, ở đây có lẽ là lưu lương đĩa và tốc độ ghi đĩa. Theo em, cách tốt nhất đó là iptables chỉ nên ghi những cái gì quan trọng nhất. Với logs denied, em nghĩ ko cần phải ghi, vì cùng lắm, chúng chỉ giúp HVA xác định nguồn tấn công DDOS, chưa kể nguồn tấn công có thể thay đổi thường xuyên.

Nói về cách thức chuyển các UDP packets vào trong cho 01 ứng dụng nào đó tiếp nhận và loại bỏ. Em nghĩ cách nào cũng không ổn lắm, vì nếu như kẻ tấn công thay bằng một dạng packets khác thì hình như iptables phải được điều chỉnh. Mà nếu không kịp điều chỉnh thì lại bị 'tự tấn công từ chối dịch vụ' vì iptables logs drop / denied.
[Up] [Print Copy]
  [Question]   Re: Ký sự các vụ DDoS đến HVA - Phần 23 12/11/2008 23:38:57 (+0700) | #41 | 158601
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
tranhuuphuoc: Logs trên HVA hoàn toàn dùng cơ chế logrotation. Có lẽ em sẽ không tin rằng việc "process logs / check logs" hoàn toàn làm bằng... tay smilie . Mỗi tuần anh kiểm tra logs 3 lần và ghi chú những điểm cần quan tâm. Công cụ chỉ là sed, awk, cat, grep smilie .

lQ: HVA đã trải qua một.. "kinh nghiệm đau thương" hồi 2006. Khi đó, do bị DDoS liên tục và do cần phải logs đầy đủ để theo dõi và khắc phục, HVA bị lâm vào tình trạng... hết chỗ chứa vì logs quá nhiều và quá nhanh. Điều này gây nên một hậu hoạn kinh khủng đó là không còn chỗ để backup DB. Khi đó anh mắc dọn nhà nên không thể truy cập HVA mấy ngày, còn ku JAL thì về VN làm đám hỏi, đám dạm gì đó. Các backup cũ của DB bị xóa theo tuần tự (cũ hơn thì xóa), trong khi đó các backup mới tự động tạo ra thì không tạo được vì không còn chỗ trên disk. Rút kinh nghiệm, backup của DB giờ đây nằm trên một disk hoàn toàn riêng biệt và được copy offline theo định kỳ.

Riêng chuyện điều chỉnh FW để chống cự với DDoS là chuyện không thể tránh khỏi được. Mỗi dạng DDoS đặc biệt đều cần phải phân tích và tìm giải pháp thích hợp; không hề có chuyện "set and forget" cho bảo mật, đặc biệt đối với DDoS smilie.

Thân.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: Ký sự các vụ DDoS đến HVA - Phần 23 25/11/2008 04:14:25 (+0700) | #42 | 160106
[Avatar]
dvtam
Member

[Minus]    0    [Plus]
Joined: 16/03/2008 18:16:56
Messages: 10
Offline
[Profile] [PM] [Yahoo!]
hóa ra công việc của các anh Quản trị vất vả thật, em cũng đang học CNTT nhưng bây giờ em chỉ mới là rưồi muỗi thôi.không biết khi nào được như các anh đây.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|