banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Chống SYN FLOOD lượng lớn  XML
  [Question]   Chống SYN FLOOD lượng lớn 18/01/2011 20:44:09 (+0700) | #1 | 229752
huuduyen
Member

[Minus]    0    [Plus]
Joined: 26/09/2010 19:45:18
Messages: 19
Offline
[Profile] [PM]
Hiện server mình đang bị tấn công SYN FLOOD nặng nề.

Cụ thể như sau :

BOTNET mà attacker dùng để tấn công ~400 Mbps (chia là 200 Mbps mỗi server, 2 server)

Lưu lượng : ~ 200 000 packets/s

Server sử dụng hệ điều hành win server 2k3 sp2, máy ảo sử dụng Linux RH4.

Có sử dụng các rule chống SYN Flood cho iptables ở Linux, nhưng nó không hiệu quả do lượng packets quá nhiều --> cpu tăng cao khi bị tấn công (70-90%), máy ảo hoàn toàn tê liệt.

Có thử liên hệ IDC giúp đỡ. Nhưng nếu cấu hình router theo thiết lập dưới đây (sưu tầm trên mạng) thì router die sau 2'


Chống lại Denial of Service Attacks

Phần này đề cập đến kiểu tấn công SYN

- Attacker gởi packet SYN để tạo kết nối
- Máy bên trong mạng (Victim) gởi SYN-ACK và tạo buffer để chờ Attacker gởi dữ liệu
- Attacker không trả lời nữa, mà mở 1 kết nối SYN
Cứ như vậy Attacker sẽ mở rất nhiều kết nối với chỉ 1 packet SYN, làm cho Victim hết bộ nhớ và treo.

Các bạn sử dụng chức năng TCP Intercept để tránh tình trạng này. TCP Intercept có 2 mode:
- Intercept mode: nếu Attacker gởi packet SYN thì router rìa sẽ giữ packet này lại trả lời hộ. Nếu Attacker trả lời thì đây không phải là attacker, lúc này router gởi packet SYN cho máy bên trong vẫn chưa muộn, và dĩ nhiên cần giữ lại packet đầu tiên mà bên trong trả lời.
Còn ngược, Attacker không nói kô rằng thì rõ ràng không nên tiếp tục chơi với nó nữa, ghi nhớ IP này để deny nó.

- Monitor mode: nếu Attacker gởi packet SYN thì router rìa vẫn chuyển cho Victim, nhưng theo dõi kết nối này. Nếu nhận thấy Attacker không trả lời mà lại có nhiều kết nối khác được mở giống như vậy nữa thì router biết rằng máy bên trong đang bị tấn công DoS SYN Attack, nó sẽ ngừng ngay các packet tiếp theo.

Sau đây là ví dụ về việc bảo vệ server 172.16.10.25 khỏi SYN Attack

Code:
NTCRouter#config t
NTCRouter(config)#access-list 151 permit tcp any host 172.16.10.25
NTCRouter(config)#ip tcp intercept list 151
NTCRouter(config)#ip tcp intercept mode intercept
NTCRouter(config)#^Z
NTCRouter# 


Attacker sau khi tấn công máy ảo, liền tấn công tiếp vào máy thật, ở máy thật tuy không die, nhưng rất khó khăn chấp nhận kết nối mới và đôi lúc hầu như là không thể.

Không biết còn cách nào có thể chống được SYN FLOOD với lượng lớn như thế này không ?
Mong các bạn giúp đỡ !
[Up] [Print Copy]
  [Question]   Chống SYN FLOOD lượng lớn 18/01/2011 21:33:34 (+0700) | #2 | 229761
[Avatar]
Ky0
Moderator

Joined: 16/08/2009 23:09:08
Messages: 532
Offline
[Profile] [PM]

huuduyen wrote:
Hiện server mình đang bị tấn công SYN FLOOD nặng nề.

Cụ thể như sau :

BOTNET mà attacker dùng để tấn công ~400 Mbps (chia là 200 Mbps mỗi server, 2 server)

Lưu lượng : ~ 200 000 packets/s

Server sử dụng hệ điều hành win server 2k3 sp2, máy ảo sử dụng Linux RH4.

Có sử dụng các rule chống SYN Flood cho iptables ở Linux, nhưng nó không hiệu quả do lượng packets quá nhiều --> cpu tăng cao khi bị tấn công (70-90%), máy ảo hoàn toàn tê liệt.


Attacker sau khi tấn công máy ảo, liền tấn công tiếp vào máy thật, ở máy thật tuy không die, nhưng rất khó khăn chấp nhận kết nối mới và đôi lúc hầu như là không thể.

Không biết còn cách nào có thể chống được SYN FLOOD với lượng lớn như thế này không ?
Mong các bạn giúp đỡ ! 


Bạn vui lòng cho biết mô hình mạng của bạn!
Nếu theo như thông tin màu đỏ ở trên thì các gói tin sẽ đi từ máy ảo vào máy thật?

- Ky0 -
UITNetwork.com
Let's Connect
[Up] [Print Copy]
  [Question]   Chống SYN FLOOD lượng lớn 18/01/2011 22:12:52 (+0700) | #3 | 229774
huuduyen
Member

[Minus]    0    [Plus]
Joined: 26/09/2010 19:45:18
Messages: 19
Offline
[Profile] [PM]

Ky0 wrote:

Bạn vui lòng cho biết mô hình mạng của bạn!
Nếu theo như thông tin màu đỏ ở trên thì các gói tin sẽ đi từ máy ảo vào máy thật?

- Ky0 - 


Mô hình? mình không rõ lắm.

Đơn giản là mình chỉ thuê chỗ đặt ở IDC, server cài win server 2k3 sp2.

Cả máy ảo và thật đều bị attack. Tức là gói tin từ ngoài vào máy ảo và máy thật.

[Up] [Print Copy]
  [Question]   Chống SYN FLOOD lượng lớn 18/01/2011 22:33:19 (+0700) | #4 | 229777
[Avatar]
Ky0
Moderator

Joined: 16/08/2009 23:09:08
Messages: 532
Offline
[Profile] [PM]
Máy ảo Linux được cài trên Server Windows 2k3?
Nếu đúng như thế thì tất cả các gói tin đến máy ảo đều phải qua máy thật!

Vậy thì giải pháp "sử dụng các rule chống SYN Flood cho iptables ở Linux" dùng để làm gì? Nó đâu có ngăn chặn các gói tin đến server của bạn nó chỉ chặn SYN flood đến máy ảo Linux (nếu rule chặn SYN flood phù hợp). Còn máy thật của bạn vẫn phải chịu sự tấn công dồn dập của các gói tin SYN flood.

Bạn nên chặn các gói tin SYN flood trước khi chúng nó tới được server của bạn thì mới hiệu quả (Nên dựng một firewall với các rule chống SYN flood đằng trước server của bạn)! Bạn nên nhờ bên IPS hỗ trợ để chặn bớt lưu lượng SYN flood vào hệ thống của bạn!

- Ky0 -

PS: Các giải pháp chống SYN Flood trên nền Windows mình chưa thấy cái nào thật sự hiệu quả!
UITNetwork.com
Let's Connect
[Up] [Print Copy]
  [Question]   Chống SYN FLOOD lượng lớn 18/01/2011 22:57:10 (+0700) | #5 | 229784
[Avatar]
xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]
Tôi nghĩ là bồ dùng máy ảo Linux với mục đích dùng nó làm firewall đúng không ? nếu thế thì bồ ngừng ngay ý tưởng này lại vì các gói tin sẽ làm "banh chành" cái windows 2k3 của bồ trước khi nó bị DROP bởi IPTables. Bồ cần thuê thêm 1 Server vật lý khác ( cấu hình thấp hơn cũng được ) nếu cái server hiện tại của bồ là thực sự quan trọng, cần duy kì bằng mọi giá truy cập cho nó. Dùng cái server thuê thêm kia dựng Firewall nền *nix ( không phải Windows nhá mấy cái Firewall Windows chết ngắc ngay khi đụng vài trăm cú SYN đầu tiên ) và forward các gói tin an toàn qua server hiện tại, công việc này cần sự hỗ trợ từ phía nhà cung cấp dịch vụ máy chủ bồ đang thuê.
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
  [Question]   Chống SYN FLOOD lượng lớn 19/01/2011 07:07:25 (+0700) | #6 | 229792
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

huuduyen wrote:
Hiện server mình đang bị tấn công SYN FLOOD nặng nề.

Cụ thể như sau :

BOTNET mà attacker dùng để tấn công ~400 Mbps (chia là 200 Mbps mỗi server, 2 server)

Lưu lượng : ~ 200 000 packets/s

Server sử dụng hệ điều hành win server 2k3 sp2, máy ảo sử dụng Linux RH4.

Có sử dụng các rule chống SYN Flood cho iptables ở Linux, nhưng nó không hiệu quả do lượng packets quá nhiều --> cpu tăng cao khi bị tấn công (70-90%), máy ảo hoàn toàn tê liệt.

Có thử liên hệ IDC giúp đỡ. Nhưng nếu cấu hình router theo thiết lập dưới đây (sưu tầm trên mạng) thì router die sau 2'


Chống lại Denial of Service Attacks

Phần này đề cập đến kiểu tấn công SYN

- Attacker gởi packet SYN để tạo kết nối
- Máy bên trong mạng (Victim) gởi SYN-ACK và tạo buffer để chờ Attacker gởi dữ liệu
- Attacker không trả lời nữa, mà mở 1 kết nối SYN
Cứ như vậy Attacker sẽ mở rất nhiều kết nối với chỉ 1 packet SYN, làm cho Victim hết bộ nhớ và treo.

Các bạn sử dụng chức năng TCP Intercept để tránh tình trạng này. TCP Intercept có 2 mode:
- Intercept mode: nếu Attacker gởi packet SYN thì router rìa sẽ giữ packet này lại trả lời hộ. Nếu Attacker trả lời thì đây không phải là attacker, lúc này router gởi packet SYN cho máy bên trong vẫn chưa muộn, và dĩ nhiên cần giữ lại packet đầu tiên mà bên trong trả lời.
Còn ngược, Attacker không nói kô rằng thì rõ ràng không nên tiếp tục chơi với nó nữa, ghi nhớ IP này để deny nó.

- Monitor mode: nếu Attacker gởi packet SYN thì router rìa vẫn chuyển cho Victim, nhưng theo dõi kết nối này. Nếu nhận thấy Attacker không trả lời mà lại có nhiều kết nối khác được mở giống như vậy nữa thì router biết rằng máy bên trong đang bị tấn công DoS SYN Attack, nó sẽ ngừng ngay các packet tiếp theo.

Sau đây là ví dụ về việc bảo vệ server 172.16.10.25 khỏi SYN Attack

Code:
NTCRouter#config t
NTCRouter(config)#access-list 151 permit tcp any host 172.16.10.25
NTCRouter(config)#ip tcp intercept list 151
NTCRouter(config)#ip tcp intercept mode intercept
NTCRouter(config)#^Z
NTCRouter# 


Attacker sau khi tấn công máy ảo, liền tấn công tiếp vào máy thật, ở máy thật tuy không die, nhưng rất khó khăn chấp nhận kết nối mới và đôi lúc hầu như là không thể.

Không biết còn cách nào có thể chống được SYN FLOOD với lượng lớn như thế này không ?
Mong các bạn giúp đỡ ! 

Đoạn màu đỏ ở trên chỉ hữu hiệu khi máy chủ 172.16.10.25 bị SYN flood ở dạng chỉ "bị" nhận SYN mà hoàn toàn không có ACK đi theo sau đó. Đây là dạng SYN Flood cổ điển và dạng SYN Flood này được tạo ra với những nguồn IP giả tạo, không tồn tại cho nên khi Cisco router ở trên thay mặt máy chủ trả lời cú SYN và không hề nhận cú ACK từ nguồn SYN kia thì lúc ấy đoạn màu đỏ mới có tác dụng (bởi vì Cisco router sẽ triệt tiêu cú SYN kia và máy chủ nằm sau router hoàn toàn không bị ảnh hưởng). Trong trường hợp SYN Flood ở đây là một dạng DDoS gởi các cú request đến thằng một web service nào đó và chúng đi qua các bước 3-ways handshake bình thường thì đoạn màu đỏ vô tác dụng.

Như các bạn khác đã nhận xét, lượng DDoS ập vô thì chính máy chủ win2k3 bị lãnh đủ ngay từ đầu vì chính tcp/ip stack ngay trên hệ điều hành của máy chủ win2k3 hứng trước rồi mới forward vô trong máy ảo. Bởi vậy iptables trên máy ảo chỉ có thể chặn được những gì vô tới được máy ảo. Trong khi đó thì máy thật chết đứ đừ rồi.

Trong hoàn cảnh bị "dập" tới xấp xỉ 400Mbps mà vẫn đưa máy chủ win2k3 (hoặc bất cứ máy chủ nào) ra đỡ thì chết là chắc. Giải pháp cho trường hợp này là cần phải có một thiết bị nào đó đứng trước máy chủ và thực hiện "packet rating" và đưa những packet quá giới hạn (nào đó) vô /dev/null thì hoạ may.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Chống SYN FLOOD lượng lớn 19/01/2011 08:23:26 (+0700) | #7 | 229797
huuduyen
Member

[Minus]    0    [Plus]
Joined: 26/09/2010 19:45:18
Messages: 19
Offline
[Profile] [PM]
Cám ơn các bạn đã trả lời.

Mình xin nói thêm trường hợp bị tấn công của mình:

- Dịch vụ mình chạy trên máy ảo. VMW được thiết lập dạng Bridge với máy thật. Khi bị tấn công, thì không quá 1s --> máy ảo die.
Trên máy ảo có cấu hình iptables đoạn như sau : (và có kích hoạt kết nối cơ chế syn cookies)

Code:
# Limit the number of incoming tcp connections
# Interface 0 incoming syn-flood protection
iptables -N syn_flood
iptables -A INPUT -p tcp --syn -j syn_flood
iptables -A syn_flood -m limit --limit 1/s --limit-burst 3 -j RETURN
iptables -A syn_flood -p tcp ! --syn -m state --state NEW -j DROP
iptables -A syn_flood -j DROP


Đoạn code trên tác dụng rất tốt khi trước kia attacker tấn công (Lúc đó attacker tấn công với lượng ít hoặc chỉ dùng duy nhất gói SYN như anh conmale nói)

- Sau khi bị tấn công, do muốn tiếp tục duy trì dịch vụ, nên mình mới chuyển sang thiết lập kết nối dạng NAT giữa máy ảo và thật (nếu không bị tấn công thì mình không dùng dạng này)

Ở trên window có cấu hình một số khoá (sưu tầm trên mạng)
* Tiêp theo bạn bạn đến đường dẫn sau : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip\Parameters
* Đến đây các bạn tạo các giá trị sau :

* DWORD với tên là "SynAttackProtect" và giá trị là 2
* DWORD với tên là "TcpMaxHalfOpen" và giá trị là 100
* DWORD với tên là "TcpMaxHalfOpenRetried" và giá trị là 80
* DWORD với tên là "TcpMaxPortsExhausted" và giá trị là 5
* DWORD với tên là "TcpMaxConnectResponseRetransmissions" và giá trị là 3 


Với lượng syn flood <100 Mbps thì window vẫn còn nhận kết nối tạm được.
Nhưng hiện tại với lượng lớn như đã nói, thì 100 lần kết nối thì khả năng thành công <1 smilie

Không biết với lượng tấn công lớn như vậy thì ta có thể dùng cách nào giảm bớt không ?
Và đó là cách gì ?
Nếu nhờ IDC để giúp đỡ thì nên cấu hình như thế nào ở router ? (đã có nhờ họ, nhưng khi áp dụng rule ở trên mình đã viết thì die router luôn...)
Ở window hay Linux có cấu hình hay cài thêm gì để giảm thiểu tác hại của SYN FLOOD ?
[Up] [Print Copy]
  [Question]   Chống SYN FLOOD lượng lớn 19/01/2011 09:52:12 (+0700) | #8 | 229800
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

huuduyen wrote:
Cám ơn các bạn đã trả lời.

Mình xin nói thêm trường hợp bị tấn công của mình:

- Dịch vụ mình chạy trên máy ảo. VMW được thiết lập dạng Bridge với máy thật. Khi bị tấn công, thì không quá 1s --> máy ảo die.
Trên máy ảo có cấu hình iptables đoạn như sau : (và có kích hoạt kết nối cơ chế syn cookies)

Code:
# Limit the number of incoming tcp connections
# Interface 0 incoming syn-flood protection
iptables -N syn_flood
iptables -A INPUT -p tcp --syn -j syn_flood
iptables -A syn_flood -m limit --limit 1/s --limit-burst 3 -j RETURN
iptables -A syn_flood -p tcp ! --syn -m state --state NEW -j DROP
iptables -A syn_flood -j DROP


Đoạn code trên tác dụng rất tốt khi trước kia attacker tấn công (Lúc đó attacker tấn công với lượng ít hoặc chỉ dùng duy nhất gói SYN như anh conmale nói)

- Sau khi bị tấn công, do muốn tiếp tục duy trì dịch vụ, nên mình mới chuyển sang thiết lập kết nối dạng NAT giữa máy ảo và thật (nếu không bị tấn công thì mình không dùng dạng này)

Ở trên window có cấu hình một số khoá (sưu tầm trên mạng)
* Tiêp theo bạn bạn đến đường dẫn sau : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip\Parameters
* Đến đây các bạn tạo các giá trị sau :

* DWORD với tên là "SynAttackProtect" và giá trị là 2
* DWORD với tên là "TcpMaxHalfOpen" và giá trị là 100
* DWORD với tên là "TcpMaxHalfOpenRetried" và giá trị là 80
* DWORD với tên là "TcpMaxPortsExhausted" và giá trị là 5
* DWORD với tên là "TcpMaxConnectResponseRetransmissions" và giá trị là 3 


Với lượng syn flood <100 Mbps thì window vẫn còn nhận kết nối tạm được.
Nhưng hiện tại với lượng lớn như đã nói, thì 100 lần kết nối thì khả năng thành công <1 smilie

Không biết với lượng tấn công lớn như vậy thì ta có thể dùng cách nào giảm bớt không ?
Và đó là cách gì ?
Nếu nhờ IDC để giúp đỡ thì nên cấu hình như thế nào ở router ? (đã có nhờ họ, nhưng khi áp dụng rule ở trên mình đã viết thì die router luôn...)
Ở window hay Linux có cấu hình hay cài thêm gì để giảm thiểu tác hại của SYN FLOOD ? 


Vấn đề bồ đưa ra có 2 khía cạnh: băng thông và sức chịu đựng của máy chủ.

1. Băng thông: nếu bồ biết chắc tụi tấn công bồ dùng đến 400Mbps để đập và bồ chỉ có băng thông 100Mbps thì làm cái gì hệ thống của bồ cũng chết hết. Chỉ cần nó dập 100Mbps đều đặn cũng chết vì đường dẫn hoàn toàn bị bão hoà.

2. Sức chịu đựng của máy chủ: phần này có 2 phần đó là
a) sức chịu đựng để xử lý packets ra vào trên máy thật (chạy win2k3).
b) sức chịu đựng để xử lý packets ra vào và xử lý tài nguyên phục vụ (như web chẳng hạn) trên máy ảo (chạy Linux).

Với a), nếu kernel của Windows server này ngập ngụa và không xử lý kịp các packets ra vào thì nó sẽ làm cho chính Linux host chết trước vì Linux trả lời ngược ra mà Windows không đón nhận kịp thời để đẩy ra ngoài thì càng lúc Linux càng bị ngập ngụa.

Với b) nếu cơ chế cản lọc của Linux kernel cần phải dựa vào cơ chế gởi nhận của chính virtual machine và dưới đó nữa là máy thật thì tính hữu hiệu sẽ giảm rõ. Trong tình huống bị DDoS thì tính thiểu hữu hiệu sẽ đóng góp theo cấp số nhân để làm quỵ Linux server này.

Thử tính xem, với 100Mbps line thì có đến 13107200 bytes và mỗi SYN packet có kích thước là 64 bytes. Điều này có nghĩa là có chỗ cho 204800 gói SYN đi vô với băng thông 100Mbps và tương đương với 12.5Mb physical memory chỉ dành riêng cho SYN trên tcp/ip stack. Bao nhiêu lâu thì Linux server này hoàn toàn hết memory mà chết? Cái này phụ thuộc vô số lượng physical memory và số lượng maximum memory bồ assign cho tcp_mem trên kernel. Tuy vậy, điều tệ hại hơn hết là tình trạng ứ đọng vì kernel không giải quyết kịp. Ví dụ, khi xét đến luật:
iptables -A syn_flood -p tcp ! --syn -m state --state NEW -j DROP

ngoài chuyện bồ muốn kernel xác định gói tin có phải là gói SYN hay không, bồ còn muốn kernel xác định "state" của gói tin này thuộc dạng gì nữa. Điều này có nghĩa bồ bắt kernel phải xem header của gói tin và sau đó, tra cứu trên bảng "state" xem gói tin ấy thuộc "state" nào. Nếu trong 1 giây bồ có đến 204800 gói SYN đi vô thì mất bao nhiêu lâu để kernel tra cứu và tiếp tục tra cứu cho 204799 gói tin khác (trong khi những gói tin khác cứ tràn vô)?


Xét cả 2 khía cạnh a và b thì tình hình cực kỳ thê thảm.

Những setting bồ áp đặt trên Windows server kia hoàn toàn vô ích vì chính Windows server không đón nhận bất cứ service nào hết. Không có cú SYN nào đi đến cổng 80 của Windows server cho nên những settings kia chẳng để làm cái gì cả.

Giải pháp ra sao? Theo tớ, việc đầu tiên là chạy con server Linux chính hiệu chớ không phải là máy ảo và nếu cần, nên tạo một con Linux server vừa làm firewall, vừa làm reverse proxy đứng trước con web server chạy trên Linux. Con Linux làm firewall phải optimise 100% từ kernel đi lên trên tận reverse proxy level. Cụ thể thế nào thì đó sẽ là một bài viết rất dài.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Chống SYN FLOOD lượng lớn 19/01/2011 20:35:41 (+0700) | #9 | 229837
huuduyen
Member

[Minus]    0    [Plus]
Joined: 26/09/2010 19:45:18
Messages: 19
Offline
[Profile] [PM]
Cám ơn anh commale đã trả lời nhiệt tình.

nên tạo một con Linux server vừa làm firewall, vừa làm reverse proxy đứng trước con web server chạy trên Linux. Con Linux làm firewall phải optimise 100% từ kernel đi lên trên tận reverse proxy level. Cụ thể thế nào thì đó sẽ là một bài viết rất dài. 


Mình sẽ tìm thử các ngồn Internet để xem hướng dẫn làm con Linux chạy firewall này.

Đối với băng thông thì có thể tăng lên được bằng cách dùng đường truyền 500Mbps, 1Gbps do nhà cung cấp dịch vụ cung cấp (tuy giá không hề rẽ...smilie )

Nhưng có lẽ cũng không khả quan, vì nghe thông tin từ IDC, họ báo là đã bị attacker tấn công sập cả hệ thống trong 10' smilie

[Up] [Print Copy]
  [Question]   Chống SYN FLOOD lượng lớn 19/01/2011 23:35:16 (+0700) | #10 | 229859
[Avatar]
xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]
IDC họ nói là sập hệ thống nào và của ai vậy bồ ? nghe khó hiểu quá smilie
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
  [Question]   Chống SYN FLOOD lượng lớn 20/01/2011 00:18:06 (+0700) | #11 | 229860
huuduyen
Member

[Minus]    0    [Plus]
Joined: 26/09/2010 19:45:18
Messages: 19
Offline
[Profile] [PM]
Của họ.....smilie (tức là ảnh hưởng hết tất cẩ các server thuê đặt ở đó, trong đó có server của mình)

- Bị die 10' (attacker tấn công 10' kiểu như là cảnh báo) ....
[Up] [Print Copy]
  [Question]   Chống SYN FLOOD lượng lớn 20/01/2011 19:59:03 (+0700) | #12 | 229930
jcisio
Member

[Minus]    0    [Plus]
Joined: 17/04/2004 12:04:36
Messages: 34
Offline
[Profile] [PM]

huuduyen wrote:
Hiện server mình đang bị tấn công SYN FLOOD nặng nề.

Cụ thể như sau :

BOTNET mà attacker dùng để tấn công ~400 Mbps (chia là 200 Mbps mỗi server, 2 server)

Lưu lượng : ~ 200 000 packets/s
 


Sao giống với VNN thế này smilie Mình thấy vài điều:
- Đây không phải syn flood, mà chỉ là gửi thật nhiều request đến app server thôi. Dùng hết 400 Mbps là chiều vào hay ra? Mình đoán là vào thì ít, nhưng máy chủ trả lời ra thì nhiều.
- Dùng iptables để giới hạn số conn là cách hiệu quả. Bạn không nói tại sao lại không dùng, và lại chuyển từ bridge sang NAT (kém hiệu quả hơn)?
- Bạn chưa tìm hiểu lí do server (ảo, chạy RH4) chết là do đâu? Mình nghĩ không phải do iptables, chỉ đơn giản là do app server không chịu nổi thôi. Chắc khi thiết lập xong cái firewall riêng sẽ rõ ngay.
- Mà khi firewall chạy bình thường, thì cứ kiên trì chặn IP thôi, có thể tăng thời gian temporary block lên (mặc định 1800 giây thì phải).
- Ngoài lề tí: app server chạy trên nền tảng ảo hoá là bình thường, mình chưa thấy ai nói là chạy trên máy ảo thì overhead cao (trừ khi chạy mấy giải pháp ảo hoá linh tinh trên desktop, không phải dành riêng cho server).

Đợt năm 2009 mạng botnet chỉ hơn 100K mà tấn công sập cùng lúc vài chục trang của các chính phủ. Có ai biết cuối cùng họ chống ra sao không nhỉ?
www.thongtincongnghe.com
[Up] [Print Copy]
  [Question]   Chống SYN FLOOD lượng lớn 20/01/2011 20:21:21 (+0700) | #13 | 229934
[Avatar]
Ky0
Moderator

Joined: 16/08/2009 23:09:08
Messages: 532
Offline
[Profile] [PM]

jcisio wrote:


- Đây không phải syn flood, mà chỉ là gửi thật nhiều request đến app server thôi. Dùng hết 400 Mbps là chiều vào hay ra? Mình đoán là vào thì ít, nhưng máy chủ trả lời ra thì nhiều.
 


Mình thấy đoạn màu đỏ với màu cam mâu thuẫn với nhau quá!

jcisio wrote:


- Dùng iptables để giới hạn số conn là cách hiệu quả...
- Bạn chưa tìm hiểu lí do server (ảo, chạy RH4) chết là do đâu? Mình nghĩ không phải do iptables, chỉ đơn giản là do app server không chịu nổi thôi. Chắc khi thiết lập xong cái firewall riêng sẽ rõ ngay.
 


Đoạn này đúng! Lý do mọi người đã trình bày ở trên: Server chịu đòn trước khi đến được iptables trên máy ảo!
Lời khuyên anh conmale là

conmale wrote:

Theo tớ, việc đầu tiên là chạy con server Linux chính hiệu chớ không phải là máy ảo và nếu cần, nên tạo một con Linux server vừa làm firewall, vừa làm reverse proxy đứng trước con web server chạy trên Linux. Con Linux làm firewall phải optimise 100% từ kernel đi lên trên tận reverse proxy level
 


Việc chặn ip chắc chắn sẽ không hiệu quả nếu lượng packets đén quá dồn dập. Việc thực hiện "packet rating" và đưa vào /dev/null như anh conmale đề xuất may ra còn hiệu quả! Đồng thời với giải pháp trên là sự hỗ trợ từ IPS thì việc chống DDOS mới đạt hiệu quả.

jcisio wrote:
- Ngoài lề tí: app server chạy trên nền tảng ảo hoá là bình thường, mình chưa thấy ai nói là chạy trên máy ảo thì overhead cao (trừ khi chạy mấy giải pháp ảo hoá linh tinh trên desktop, không phải dành riêng cho server).
 

Điều này không đúng cho trường hợp của bạn huuduyen

- Ky0 -


UITNetwork.com
Let's Connect
[Up] [Print Copy]
  [Question]   Chống SYN FLOOD lượng lớn 20/01/2011 21:27:23 (+0700) | #14 | 229939
jcisio
Member

[Minus]    0    [Plus]
Joined: 17/04/2004 12:04:36
Messages: 34
Offline
[Profile] [PM]
Thực ra bạn huuduyen chắc cũng giống mình, chẳng phải dân quản trị hệ thống, có mỗi cái server con con mà bị tấn công nên chạy lung tung hỏi. Mình 2 tuần trước cũng thế, nên giờ muốn chia sẻ tí thôi.

Ky0 wrote:

jcisio wrote:

- Đây không phải syn flood, mà chỉ là gửi thật nhiều request đến app server thôi. Dùng hết 400 Mbps là chiều vào hay ra? Mình đoán là vào thì ít, nhưng máy chủ trả lời ra thì nhiều.
 


Mình thấy đoạn màu đỏ với màu cam mâu thuẫn với nhau quá!
 

Cam là số lượng request ở mức app (vào = ra), còn đỏ là kích thước (vào 1 KB ra 20 KB) và số lượng packet.

Ky0 wrote:

jcisio wrote:

- Dùng iptables để giới hạn số conn là cách hiệu quả...
- Bạn chưa tìm hiểu lí do server (ảo, chạy RH4) chết là do đâu? Mình nghĩ không phải do iptables, chỉ đơn giản là do app server không chịu nổi thôi. Chắc khi thiết lập xong cái firewall riêng sẽ rõ ngay.
 


Đoạn này đúng! Lý do mọi người đã trình bày ở trên: Server chịu đòn trước khi đến được iptables trên máy ảo! 

App server mình nói là cái RH4, chứ không phải W2K3.

Ky0 wrote:

jcisio wrote:
- Ngoài lề tí: app server chạy trên nền tảng ảo hoá là bình thường, mình chưa thấy ai nói là chạy trên máy ảo thì overhead cao (trừ khi chạy mấy giải pháp ảo hoá linh tinh trên desktop, không phải dành riêng cho server).
 

Điều này không đúng cho trường hợp của bạn huuduyen
 

Hiểu lầm như đã giải thích ở trên.
www.thongtincongnghe.com
[Up] [Print Copy]
  [Question]   Chống SYN FLOOD lượng lớn 20/01/2011 21:29:27 (+0700) | #15 | 229940
[Avatar]
xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]

huuduyen wrote:
Của họ.....smilie (tức là ảnh hưởng hết tất cẩ các server thuê đặt ở đó, trong đó có server của mình)

- Bị die 10' (attacker tấn công 10' kiểu như là cảnh báo) .... 


Chà bị đánh đến bão hoà đường truyền luôn smilie , việc này chứng tỏ có sự giới hạn trong khả năng cung cấp dịch vụ của nhà cung cấp dịch vụ của bồ, họ khá chậm chạp trong việc khác phục tình hình. Các thành phần liên quan tới cơ sở hạ tầng mạng ta đều phải dựa nhiều và nhà cung cấp dịch vụ
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
  [Question]   Chống SYN FLOOD lượng lớn 20/01/2011 22:45:04 (+0700) | #16 | 229947
huuduyen
Member

[Minus]    0    [Plus]
Joined: 26/09/2010 19:45:18
Messages: 19
Offline
[Profile] [PM]

xnohat wrote:

huuduyen wrote:
Của họ.....smilie (tức là ảnh hưởng hết tất cẩ các server thuê đặt ở đó, trong đó có server của mình)

- Bị die 10' (attacker tấn công 10' kiểu như là cảnh báo) .... 


Chà bị đánh đến bão hoà đường truyền luôn smilie , việc này chứng tỏ có sự giới hạn trong khả năng cung cấp dịch vụ của nhà cung cấp dịch vụ của bồ, họ khá chậm chạp trong việc khác phục tình hình. Các thành phần liên quan tới cơ sở hạ tầng mạng ta đều phải dựa nhiều và nhà cung cấp dịch vụ 


Do vậy, nên giờ bị đánh là họ block hết traffic vào IP máy server mình luôn...Chắc vì lý do an toàn cho cả hệ thống nên họ làm vậy...

Hic, giờ đến đâu hay đến đó vậy...smilie Attacker đánh thì chờ nó chán rồi nghỉ chứ biết sao giờ...smilie

Bản thân của window cũng bị giới hạn khi xử lý số lượng lớn packets đó. Config kiểu gì thì việc chấp nhận kết nối mới cũng diễn ra rất khó khăn.

Do không rành về Linux nên cũng chả biết chỉnh gì ngoài việc thử mở cơ chế kết nối syn cookies

Có nhờ IDC giúp đỡ....nhưng thấy không khả quan với lượng BOTNET lớn như vậy.

Không biết có bạn nào biết loại firewall cứng nào có thể chống được lượng BOTNET ~400 ~500 Mbps như đã nói ở trên không ?
[Up] [Print Copy]
  [Question]   Chống SYN FLOOD lượng lớn 20/01/2011 23:21:59 (+0700) | #17 | 229948
jcisio
Member

[Minus]    0    [Plus]
Joined: 17/04/2004 12:04:36
Messages: 34
Offline
[Profile] [PM]
Đầu tiên bạn thử xem hạn chế ở đâu đã. Khi đang bị tấn công, bạn thử chỉnh lại web server, bất kì request nào bạn cũng trả về 1 câu "Stop" thôi xem máy chủ có bị sao không. Nhớ cấu hình lại máy chủ để memory footprint là thấp nhất.

Nếu vẫn bị, thì tắt luôn cái máy chủ (cổng 80) đi, xem nó thế nào!

Tắt rồi mà vẫn bị thì firewall dỏm, chịu không nổi, tìm firewall khác. Còn nếu hết thì cấu hình lại firewall thật chặt, giết nhầm hơn bỏ sót, rồi mở lại máy chủ từ từ, ngược theo chiều ở trên.

Mình vẫn nghĩ là vấn đề không phải do ảo hoá, vì ảo hoá làm giảm hiệu năng rất ít. VMware ESX có netperf cũng phải 97-98% so với khi chạy native. Cái chính là app server (chẳng hạn Apache), có thêm kết nối đến CSDL nữa. Đừng nói 200K packet/giây, mà mình nhớ cách đây không lâu có đọc cái benchmark, một cái framework PHP nhanh nhất, làm một ứng dụng đơn giản nhất, không dùng database, bật cache đầy đủ... mà cũng không đáp ứng nổi 1000 request/giây. Khi biết được nguyên nhân như vậy thì giải quyết dễ hơn.
www.thongtincongnghe.com
[Up] [Print Copy]
  [Question]   Chống SYN FLOOD lượng lớn 20/01/2011 23:27:00 (+0700) | #18 | 229950
jcisio
Member

[Minus]    0    [Plus]
Joined: 17/04/2004 12:04:36
Messages: 34
Offline
[Profile] [PM]
Trả lời xong đi vòng vòng thấy bài này của bạn /hvaonline/posts/list/36136.html Tình hình khác mình, nên vài góp ý bên trên có thể không có tác dụng.
www.thongtincongnghe.com
[Up] [Print Copy]
  [Question]   Chống SYN FLOOD lượng lớn 21/01/2011 06:45:51 (+0700) | #19 | 229956
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

huuduyen wrote:

xnohat wrote:

huuduyen wrote:
Của họ.....smilie (tức là ảnh hưởng hết tất cẩ các server thuê đặt ở đó, trong đó có server của mình)

- Bị die 10' (attacker tấn công 10' kiểu như là cảnh báo) .... 


Chà bị đánh đến bão hoà đường truyền luôn smilie , việc này chứng tỏ có sự giới hạn trong khả năng cung cấp dịch vụ của nhà cung cấp dịch vụ của bồ, họ khá chậm chạp trong việc khác phục tình hình. Các thành phần liên quan tới cơ sở hạ tầng mạng ta đều phải dựa nhiều và nhà cung cấp dịch vụ 


Do vậy, nên giờ bị đánh là họ block hết traffic vào IP máy server mình luôn...Chắc vì lý do an toàn cho cả hệ thống nên họ làm vậy...

Hic, giờ đến đâu hay đến đó vậy...smilie Attacker đánh thì chờ nó chán rồi nghỉ chứ biết sao giờ...smilie

Bản thân của window cũng bị giới hạn khi xử lý số lượng lớn packets đó. Config kiểu gì thì việc chấp nhận kết nối mới cũng diễn ra rất khó khăn.

Do không rành về Linux nên cũng chả biết chỉnh gì ngoài việc thử mở cơ chế kết nối syn cookies

Có nhờ IDC giúp đỡ....nhưng thấy không khả quan với lượng BOTNET lớn như vậy.

Không biết có bạn nào biết loại firewall cứng nào có thể chống được lượng BOTNET ~400 ~500 Mbps như đã nói ở trên không ?
 


Nếu được, bồ thử chạy tcpdump trên linux server đó và gởi nó lên một site nào đó rồi PM tớ để cho cái link download:

tcpdump -i eth0 -s0 -w dump

Chỉ capture chứng 60 giây là đủ. Sau đó nhấn ctl-D để ngắt chớ không thì file "dump" có kích thước quá lớn. eth0 giả định là external interface của linux server đó.

Tớ sẽ phân tích gói dump này và biết đâu sẽ có vài hướng giải quyết cho bồ.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Chống SYN FLOOD lượng lớn 21/01/2011 06:47:46 (+0700) | #20 | 229957
huuduyen
Member

[Minus]    0    [Plus]
Joined: 26/09/2010 19:45:18
Messages: 19
Offline
[Profile] [PM]
uh, cám ơn bạn đã trả lời smilie
Nhưng dịch vụ của mìinh chạy là server game...

Trước kia đánh chủ yếu là UDP Flood giờ thì SYN flood

Nếu được, bồ thử chạy tcpdump trên linux server đó và gởi nó lên một site nào đó rồi PM tớ để cho cái link download:

tcpdump -i eth0 -s0 -w dump

Chỉ capture chứng 60 giây là đủ. Sau đó nhấn ctl-D để ngắt chớ không thì file "dump" có kích thước quá lớn. eth0 giả định là external interface của linux server đó.  


Mình có chụp bằng wireshark trên window không biết có được không ?
[Up] [Print Copy]
  [Question]   Chống SYN FLOOD lượng lớn 21/01/2011 06:54:40 (+0700) | #21 | 229958
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

huuduyen wrote:
uh, cám ơn bạn đã trả lời smilie
Nhưng dịch vụ của mìinh chạy là server game...

Trước kia đánh chủ yếu là UDP Flood giờ thì SYN flood

Nếu được, bồ thử chạy tcpdump trên linux server đó và gởi nó lên một site nào đó rồi PM tớ để cho cái link download:

tcpdump -i eth0 -s0 -w dump

Chỉ capture chứng 60 giây là đủ. Sau đó nhấn ctl-D để ngắt chớ không thì file "dump" có kích thước quá lớn. eth0 giả định là external interface của linux server đó.  


Mình có chụp bằng wireshark trên window không biết có được không ? 


Server bồ bị đánh là server Linux trên máy ảo hay server Windows trên máy thật?
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Chống SYN FLOOD lượng lớn 21/01/2011 07:24:53 (+0700) | #22 | 229960
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Bồ huuduyen xác định giùm luôn là service port bị tấn công trên máy chủ linux là port 40000?

Mớ capture trên Wireshark trên Windows không giúp được gì. Tớ cần full packet capture (như option -s0 của tcpdump).
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Chống SYN FLOOD lượng lớn 21/01/2011 07:31:06 (+0700) | #23 | 229961
huuduyen
Member

[Minus]    0    [Plus]
Joined: 26/09/2010 19:45:18
Messages: 19
Offline
[Profile] [PM]
ok, để mình chụp dạng tcpdump rồi gửi lên. Hiện tại phía IDC block hết traffic vào server mình rồi smilie

tcpdump không biết nó sao, chứ mình dùng wireshark vừa bật lên là nó đơ luôn (do packets quá nhiều)
Cố gắng click stop sau 5s, sau khi click thì wireshark crash luôn..smilie

Phải dùng tính năng auto stop sau xx MB mới chụp được
[Up] [Print Copy]
  [Question]   Chống SYN FLOOD lượng lớn 21/01/2011 07:59:07 (+0700) | #24 | 229965
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

huuduyen wrote:
ok, để mình chụp dạng tcpdump rồi gửi lên. Hiện tại phía IDC block hết traffic vào server mình rồi smilie

tcpdump không biết nó sao, chứ mình dùng wireshark vừa bật lên là nó đơ luôn (do packets quá nhiều)
Cố gắng click stop sau 5s, sau khi click thì wireshark crash luôn..smilie

Phải dùng tính năng auto stop sau xx MB mới chụp được 


Bồ chỉ nên capture packet khi IDC không block traffic. Nếu không thì bồ chẳng có gì để capture hết.

Trên Linux bồ chỉ cần dùng tcpdump với dòng lệnh trên là được, đừng dùng wireshark gì hết.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Chống SYN FLOOD lượng lớn 24/01/2011 07:59:51 (+0700) | #25 | 230194
huuduyen
Member

[Minus]    0    [Plus]
Joined: 26/09/2010 19:45:18
Messages: 19
Offline
[Profile] [PM]
Sau mấy ngày ngừng tấn công, đến hôm nay thì bị đánh tiếp.

Link file dump trong 10s : http://up.4share.vn/f/3f0e0b0f0d08090d/dump.rar.file (unrar 45MB)

[Up] [Print Copy]
  [Question]   Chống SYN FLOOD lượng lớn 24/01/2011 09:22:27 (+0700) | #26 | 230204
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

huuduyen wrote:
Sau mấy ngày ngừng tấn công, đến hôm nay thì bị đánh tiếp.

Link file dump trong 10s : http://up.4share.vn/f/3f0e0b0f0d08090d/dump.rar.file (unrar 45MB)

 


OK. IP của bồ bị SYN Flood với cường độ khoảng 41 ngàn SYN / 1 giây từ các IP thuộc VN (100% là của VN). Mỗi IP chỉ gởi tối đa 1 SYN trong mỗi 2 giây (nhiêu IP chỉ gởi 1 SYN trong 4 - 5 giây) và cổng bị dập là 33443 và 34444. Bởi vậy, cách chống SYN Flood bình thường không tác dụng vì khoảng cách mỗi củ SYN đi từ 1 IP cách nhau khá xa. Bồ thử dùng biện pháp sau:

1) Chỉnh trên kernel:
Đưa các giá trị này vô /etc/sysctl.conf và sau đó chạy: # sysctl -p

Code:
net.netfilter.nf_conntrack_tcp_timeout_syn_recv = 2
net.ipv4.tcp_syn_retries = 3
net.ipv4.tcp_synack_retries = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_max_syn_backlog = 8192
net.ipv4.tcp_mem = 786432 1048576 1572864
net.ipv4.tcp_rmem = 4096        87380   1048576
net.ipv4.tcp_wmem = 4096        16384   1048576
net.ipv4.tcp_max_orphans = 2048


2) Chỉnh trên iptables (giả định iptables -P INPUT DROP)

Code:
iptables -N syn
iptables -A syn -j ACCEPT
iptables -N SYN_CHECK
iptables -A SYN_CHECK -m recent --set --name SYN
iptables -A INPUT -p tcp --syn -d $IP -m state --state NEW -j SYN_CHECK

iptables -A SYN_CHECK -m recent --update --seconds 60 --hitcount 10 --name SYN -j LOG --log-prefix "FLOOD: "
iptables -A SYN_CHECK -m recent --update --seconds 60 --hitcount 10 --name SYN -j DROP

iptables -A SYN_CHECK -m recent --update --seconds 60 --hitcount 3 --name SYN -j syn
iptables -A INPUT -p tcp ! --syn -d $IP -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -s $IP -m state --state ESTABLISHED -j ACCEPT


Để bảo đảm, block luôn các IP vi phạm (dùng để tạo SYN flood) 2 phút; sau 2 phút kiểm tra lại, nếu không còn vi phạm thì cho vô. Thêm đoạn này:

Code:
iptables -t mangle -N blockip
iptables -t mangle -A blockip -j DROP
iptables -t mangle -A PREROUTING -p tcp -d $IP -m recent --name SYN --update --seconds 120 -j blockip



$IP chính là IP được bound trên external interface trên máy chủ Linux của bồ.

What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Chống SYN FLOOD lượng lớn 24/01/2011 09:51:14 (+0700) | #27 | 230213
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Thêm 1 chi tiết quan trọng.

Nếu bồ dùng module "recent" trên kernel mới gần đây (2.6.32 trở đi) thì nên thêm

/sbin/modprobe xt_recent ip_list_tot=50000
/sbin/modprobe xt_recent ip_pkt_list_tot=10



Nếu bồ dùng module "recent" trên kernel cũ hơn thì thêm:

/sbin/modprobe ipt_recent ip_list_tot=50000
/sbin/modprobe ipt_recent ip_pkt_list_tot=10


Hai cái này để cho phép "recent" có đủ chỗ để chứa 50 ngàn entries (dự phỏng cho 50 ngàn IP) và mỗi IP được theo dõi 10 lần recent.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Chống SYN FLOOD lượng lớn 24/01/2011 16:20:12 (+0700) | #28 | 230245
huuduyen
Member

[Minus]    0    [Plus]
Joined: 26/09/2010 19:45:18
Messages: 19
Offline
[Profile] [PM]
Thanks anh commale. Hiện server đang die....smilie chả làm gì được. Đành phải chờ attacker ngừng tấn công rồi thử cách này.
[Up] [Print Copy]
  [Question]   Chống SYN FLOOD lượng lớn 24/01/2011 16:27:07 (+0700) | #29 | 230246
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

huuduyen wrote:
Thanks anh commale. Hiện server đang die....smilie chả làm gì được. Đành phải chờ attacker ngừng tấn công rồi thử cách này. 


Rút dây cáp khỏi con Windows server đi rồi chỉnh con Linux trên máy ảo. Xong xuôi rồi cắm dây cáp cho con Windows vô lại.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Chống SYN FLOOD lượng lớn 24/01/2011 17:00:20 (+0700) | #30 | 230249
huuduyen
Member

[Minus]    0    [Plus]
Joined: 26/09/2010 19:45:18
Messages: 19
Offline
[Profile] [PM]
Máy ảo là linux mờ smilie máy thật vẫn là window

Máy thật đang bị SYN Flood 80~100Mbps (150 000 ~200 000 packets/s)

Kết nối đến server thành công thì cũng phải nói là rất may mắn. Do điều kiện không cho phép nên không vào DataCenter trực tiếp chỉnh sửa được nên đành phải chờ đợi.

Nếu cấu hình và anti thành công thì sẽ đổi IP máy thật - để tránh bị đánh vào máy thật (Win 2k3) hoặc cài Linux làm máy thật.

Lúc chụp file dump trên thì máy linux bị đánh 36 Mbps
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|