Hỏi cách chống attack http

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận bảo mật

Hỏi cách chống attack http

[Question] Hỏi cách chống attack http	11/09/2006 21:11:10 (+0700) \| #1 \| 22506

QuachVu
Member

Joined: 05/12/2004 06:31:51
Messages: 4
Offline

Mình có một server chạy web. Gần đây có ai đó tấn công liên tục vô server của mình, check log /var/log/apache2/access.log thi thay bao nhu sau, xin cho hoi cao cach nao chong va ket thuc hieu qua kieu tan cong nhu the nay khong? thanks! Minh xai debian 3.1 va confixx

71.222.168.233 - - [11/Sep/2006:01:49:36 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:49:53 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:50:38 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:50:38 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:50:38 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:50:38 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:50:38 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:50:38 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:50:38 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:50:38 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:50:38 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:12 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:12 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:12 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:12 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:12 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:12 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:12 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:12 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:12 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:12 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:12 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:12 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:12 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:12 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:14 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:14 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:14 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:14 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:14 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:14 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:14 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:14 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:14 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:14 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:14 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:14 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:14 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:14 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:14 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:14 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:14 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:14 +0200] "GET / HTTP/1.0" 302 - "-" "-"

[Question] Hỏi cách chống attack http	11/09/2006 21:24:44 (+0700) \| #2 \| 22510

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

QuachVu wrote:

Mình có một server chạy web. Gần đây có ai đó tấn công liên tục vô server của mình, check log /var/log/apache2/access.log thi thay bao nhu sau, xin cho hoi cao cach nao chong va ket thuc hieu qua kieu tan cong nhu the nay khong? thanks! Minh xai debian 3.1 va confixx

71.222.168.233 - - [11/Sep/2006:01:49:36 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:49:53 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:50:38 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:50:38 +0200] "GET / HTTP/1.0" 302 - ....

Cách đơn giản nhất:
iptables -I INPUT -s <bad-ip> -j DROP (bad-ip là IP dùng để tấn công)

Cách lâu dài hơn:
iptables -A INPUT -p tcp --syn -d <your-ip> --dport 80 -m limit 1/s --limit-burst 3 -j ACCEPT (your-ip là IP của bồ)

What bringing us together is stronger than what pulling us apart.

[Question] Re: Hỏi cách chống attack http	11/09/2006 21:57:31 (+0700) \| #3 \| 22516

TaGiao
Elite Member

Joined: 30/08/2004 15:36:37
Messages: 38
Location: Địa Giới
Offline

QuachVu wrote:

Mình có một server chạy web. Gần đây có ai đó tấn công liên tục vô server của mình, check log /var/log/apache2/access.log thi thay bao nhu sau, xin cho hoi cao cach nao chong va ket thuc hieu qua kieu tan cong nhu the nay khong? thanks! Minh xai debian 3.1 va confixx

71.222.168.233 - - [11/Sep/2006:01:49:36 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:49:53 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:50:38 +0200] "GET / HTTP/1.0" 302 - "-" "-"

- Bạn cài thêm mod_security cho web server của bạn. Chi tiết tham khảo www.modsecurity.org
Thân mến. :wink:

[Question] Hỏi cách chống attack http	12/09/2006 00:49:25 (+0700) \| #4 \| 22560

father_nghia_den
Elite Member

Joined: 06/10/2003 16:48:21
Messages: 95
Offline

vậy là cái iptables này không áp dụng được cho Server chạy dyndns hả anh conmale?
Và iptables này cũng chỉ áp dụng được cho Apache. Còn với IIS thì theo anh có cơ chế gì để bảo vệ giống như iptables

[Question] Hỏi cách chống attack http	12/09/2006 00:59:53 (+0700) \| #5 \| 22564

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

father_nghia_den wrote:

vậy là cái iptables này không áp dụng được cho Server chạy dyndns hả anh conmale?
Và iptables này cũng chỉ áp dụng được cho Apache. Còn với IIS thì theo anh có cơ chế gì để bảo vệ giống như iptables

iptables ở tầng IP thôi em, nó không quan tâm đến các ứng dụng web ở trên. Tất nhiên khi nói đến IIS là nói đến Windows mà Windows thì không có iptables rồi. Bởi vậy, phải dùng 1 firewall nào khác để bảo vệ cho windows server tương tự như iptables.

Thông thường các firewall trên Windows rất đắc tiền vì chúng toàn là đồ thương mại. Tuỳ web của em là web thế nào, liệu có quan trọng và có đủ kinh phí hay không. Còn không thì ráng thắt chặt IIS càng nhiều càng tốt. Thật ra để chườn một cái IIS / Windows server ra Internet mà không thắt chặt hoặc không có firewall để cản bớt những thứ nguy hiểm thì... khá kẹt.

Thân mến.

What bringing us together is stronger than what pulling us apart.

[Question] Hỏi cách chống attack http	12/09/2006 18:19:30 (+0700) \| #6 \| 22753

QuachVu
Member

Joined: 05/12/2004 06:31:51
Messages: 4
Offline

conmale wrote:

Cách lâu dài hơn:
iptables -A INPUT -p tcp --syn -d <your-ip> --dport 80 -m limit 1/s --limit-burst 3 -j ACCEPT (your-ip là IP của bồ)

Bạn có thể giải thích cho mình hiểu rõ command này thực hiện các chức năng bảo vệ như thế nào được không?

[Question] Hỏi cách chống attack http	12/09/2006 21:40:29 (+0700) \| #7 \| 22767

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

QuachVu wrote:

conmale wrote:

Cách lâu dài hơn:
iptables -A INPUT -p tcp --syn -d <your-ip> --dport 80 -m limit 1/s --limit-burst 3 -j ACCEPT (your-ip là IP của bồ)

Bạn có thể giải thích cho mình hiểu rõ command này thực hiện các chức năng bảo vệ như thế nào được không?

Để hiểu thật rõ, bồ cần nghiên cứu iptables / netfilter trên Linux. Đại khái dòng lệnh trên nói thế này:

"Bất cứ gói tin có flag là SYN đi vào cổng 80 của IP (của bồ) thì sẽ được chấp nhận nếu chúng không vượt quá giới hạn 3 lần trong 1 giây".

Gói SYN là gói đầu tiên để thiết lập xuất truy cập. Một truy cập bình thường của người dùng không có lý do gì phải đòi SYN quá 3 lần trong 1 giây cả.

Tham khảo về iptables ở: http://www.iptables.org/documentation/index.html#documentation-howto

Thân mến.

What bringing us together is stronger than what pulling us apart.

[Question] Hỏi cách chống attack http	12/09/2006 23:35:40 (+0700) \| #8 \| 22789

father_nghia_den
Elite Member

Joined: 06/10/2003 16:48:21
Messages: 95
Offline

conmale wrote:

iptables -A INPUT -p tcp --syn -d <your-ip> --dport 80 -m limit 1/s --limit-burst 3 -j ACCEPT (your-ip là IP của bồ)

Như dòng lệnh trên của anh thì em thấy iptables không thể áp dụng với Server dùng IP động.

[Question] Hỏi cách chống attack http	12/09/2006 23:43:55 (+0700) \| #9 \| 22792

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

father_nghia_den wrote:

conmale wrote:

iptables -A INPUT -p tcp --syn -d <your-ip> --dport 80 -m limit 1/s --limit-burst 3 -j ACCEPT (your-ip là IP của bồ)

Như dòng lệnh trên của anh thì em thấy iptables không thể áp dụng với Server dùng IP động.

Đúng vậy. Đã là server thì không nên nghĩ đến chuyện dùng IP động.

What bringing us together is stronger than what pulling us apart.

[Question] Re: Hỏi cách chống attack http	13/09/2006 02:49:38 (+0700) \| #10 \| 22829

QuachVu
Member

Joined: 05/12/2004 06:31:51
Messages: 4
Offline

mình đánh command trên thì nó báo lỗi này

Bad argument `1/s'

có lẽ còn thiếu --limit trước 1/s

[Question] Re: Hỏi cách chống attack http	13/09/2006 05:11:56 (+0700) \| #11 \| 22852

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

QuachVu wrote:

mình đánh command trên thì nó báo lỗi này

Bad argument `1/s'

có lẽ còn thiếu --limit trước 1/s

Đúng vậy, tớ gõ thiếu --limit smilie

What bringing us together is stronger than what pulling us apart.

[Question] Re: Hỏi cách chống attack http	13/09/2006 18:10:48 (+0700) \| #12 \| 22986

QuachVu
Member

Joined: 05/12/2004 06:31:51
Messages: 4
Offline

không ăn thua, mình đã dùng 2 command iptables ban đưa. iptables -L ra thấy nó đã add 2 command do vo iptable roi nhung cha hieu sao tui no van attack binh thuong bang cach do giong nhu log o tren cung minh da dua ra. Block IP tui no roi ma tui no van attack lien tuc bang IP do duoc.

[Question] Re: Hỏi cách chống attack http	13/09/2006 19:28:01 (+0700) \| #13 \| 22997

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

QuachVu wrote:

không ăn thua, mình đã dùng 2 command iptables ban đưa. iptables -L ra thấy nó đã add 2 command do vo iptable roi nhung cha hieu sao tui no van attack binh thuong bang cach do giong nhu log o tren cung minh da dua ra. Block IP tui no roi ma tui no van attack lien tuc bang IP do duoc.

1 dòng lệnh không thể giải quyết được vấn đề bởi vì netfilter còn có Policy nền là ACCEPT hay DROP nữa. Cách tốt nhất là tạo một bộ rules hoàn chỉnh (và để làm được điều này thì phải nghiên cứu iptables / netfilter đúng mức).

Tạm thời 2 lệnh trên có thể thay đổi từ -A thành -I

What bringing us together is stronger than what pulling us apart.

Go to:

Users currently in here
1 Anonymous