Mình có một server chạy web. Gần đây có ai đó tấn công liên tục vô server của mình, check log /var/log/apache2/access.log thi thay bao nhu sau, xin cho hoi cao cach nao chong va ket thuc hieu qua kieu tan cong nhu the nay khong? thanks! Minh xai debian 3.1 va confixx
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under Offline
QuachVu wrote:
Mình có một server chạy web. Gần đây có ai đó tấn công liên tục vô server của mình, check log /var/log/apache2/access.log thi thay bao nhu sau, xin cho hoi cao cach nao chong va ket thuc hieu qua kieu tan cong nhu the nay khong? thanks! Minh xai debian 3.1 va confixx
Joined: 30/08/2004 15:36:37
Messages: 38
Location: Địa Giới Offline
QuachVu wrote:
Mình có một server chạy web. Gần đây có ai đó tấn công liên tục vô server của mình, check log /var/log/apache2/access.log thi thay bao nhu sau, xin cho hoi cao cach nao chong va ket thuc hieu qua kieu tan cong nhu the nay khong? thanks! Minh xai debian 3.1 va confixx
vậy là cái iptables này không áp dụng được cho Server chạy dyndns hả anh conmale?
Và iptables này cũng chỉ áp dụng được cho Apache. Còn với IIS thì theo anh có cơ chế gì để bảo vệ giống như iptables
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under Offline
father_nghia_den wrote:
vậy là cái iptables này không áp dụng được cho Server chạy dyndns hả anh conmale?
Và iptables này cũng chỉ áp dụng được cho Apache. Còn với IIS thì theo anh có cơ chế gì để bảo vệ giống như iptables
iptables ở tầng IP thôi em, nó không quan tâm đến các ứng dụng web ở trên. Tất nhiên khi nói đến IIS là nói đến Windows mà Windows thì không có iptables rồi. Bởi vậy, phải dùng 1 firewall nào khác để bảo vệ cho windows server tương tự như iptables.
Thông thường các firewall trên Windows rất đắc tiền vì chúng toàn là đồ thương mại. Tuỳ web của em là web thế nào, liệu có quan trọng và có đủ kinh phí hay không. Còn không thì ráng thắt chặt IIS càng nhiều càng tốt. Thật ra để chườn một cái IIS / Windows server ra Internet mà không thắt chặt hoặc không có firewall để cản bớt những thứ nguy hiểm thì... khá kẹt.
Thân mến.
What bringing us together is stronger than what pulling us apart.
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under Offline
QuachVu wrote:
conmale wrote:
Cách lâu dài hơn:
iptables -A INPUT -p tcp --syn -d <your-ip> --dport 80 -m limit 1/s --limit-burst 3 -j ACCEPT (your-ip là IP của bồ)
Bạn có thể giải thích cho mình hiểu rõ command này thực hiện các chức năng bảo vệ như thế nào được không?
Để hiểu thật rõ, bồ cần nghiên cứu iptables / netfilter trên Linux. Đại khái dòng lệnh trên nói thế này:
"Bất cứ gói tin có flag là SYN đi vào cổng 80 của IP (của bồ) thì sẽ được chấp nhận nếu chúng không vượt quá giới hạn 3 lần trong 1 giây".
Gói SYN là gói đầu tiên để thiết lập xuất truy cập. Một truy cập bình thường của người dùng không có lý do gì phải đòi SYN quá 3 lần trong 1 giây cả.
Tham khảo về iptables ở: http://www.iptables.org/documentation/index.html#documentation-howto
Thân mến.
What bringing us together is stronger than what pulling us apart.
không ăn thua, mình đã dùng 2 command iptables ban đưa. iptables -L ra thấy nó đã add 2 command do vo iptable roi nhung cha hieu sao tui no van attack binh thuong bang cach do giong nhu log o tren cung minh da dua ra. Block IP tui no roi ma tui no van attack lien tuc bang IP do duoc.
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under Offline
QuachVu wrote:
không ăn thua, mình đã dùng 2 command iptables ban đưa. iptables -L ra thấy nó đã add 2 command do vo iptable roi nhung cha hieu sao tui no van attack binh thuong bang cach do giong nhu log o tren cung minh da dua ra. Block IP tui no roi ma tui no van attack lien tuc bang IP do duoc.
1 dòng lệnh không thể giải quyết được vấn đề bởi vì netfilter còn có Policy nền là ACCEPT hay DROP nữa. Cách tốt nhất là tạo một bộ rules hoàn chỉnh (và để làm được điều này thì phải nghiên cứu iptables / netfilter đúng mức).
Tạm thời 2 lệnh trên có thể thay đổi từ -A thành -I
What bringing us together is stronger than what pulling us apart.