banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Hỏi cách chống attack http  XML
  [Question]   Hỏi cách chống attack http 11/09/2006 21:11:10 (+0700) | #1 | 22506
QuachVu
Member

[Minus]    0    [Plus]
Joined: 05/12/2004 06:31:51
Messages: 4
Offline
[Profile] [PM]
Mình có một server chạy web. Gần đây có ai đó tấn công liên tục vô server của mình, check log /var/log/apache2/access.log thi thay bao nhu sau, xin cho hoi cao cach nao chong va ket thuc hieu qua kieu tan cong nhu the nay khong? thanks! Minh xai debian 3.1 va confixx

71.222.168.233 - - [11/Sep/2006:01:49:36 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:49:53 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:50:38 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:50:38 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:50:38 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:50:38 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:50:38 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:50:38 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:50:38 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:50:38 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:50:38 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:12 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:12 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:12 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:12 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:12 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:12 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:12 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:12 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:12 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:12 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:12 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:12 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:12 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:12 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:14 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:14 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:14 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:14 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:14 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:14 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:14 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:14 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:14 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:14 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:14 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:14 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:14 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:14 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:14 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:14 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:14 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:59:14 +0200] "GET / HTTP/1.0" 302 - "-" "-"
[Up] [Print Copy]
  [Question]   Hỏi cách chống attack http 11/09/2006 21:24:44 (+0700) | #2 | 22510
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

QuachVu wrote:
Mình có một server chạy web. Gần đây có ai đó tấn công liên tục vô server của mình, check log /var/log/apache2/access.log thi thay bao nhu sau, xin cho hoi cao cach nao chong va ket thuc hieu qua kieu tan cong nhu the nay khong? thanks! Minh xai debian 3.1 va confixx

71.222.168.233 - - [11/Sep/2006:01:49:36 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:49:53 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:50:38 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:50:38 +0200] "GET / HTTP/1.0" 302 - .... 


Cách đơn giản nhất:
iptables -I INPUT -s <bad-ip> -j DROP (bad-ip là IP dùng để tấn công)

Cách lâu dài hơn:
iptables -A INPUT -p tcp --syn -d <your-ip> --dport 80 -m limit 1/s --limit-burst 3 -j ACCEPT (your-ip là IP của bồ)
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: Hỏi cách chống attack http 11/09/2006 21:57:31 (+0700) | #3 | 22516
[Avatar]
TaGiao
Elite Member

[Minus]    0    [Plus]
Joined: 30/08/2004 15:36:37
Messages: 38
Location: Địa Giới
Offline
[Profile] [PM] [Yahoo!]

QuachVu wrote:
Mình có một server chạy web. Gần đây có ai đó tấn công liên tục vô server của mình, check log /var/log/apache2/access.log thi thay bao nhu sau, xin cho hoi cao cach nao chong va ket thuc hieu qua kieu tan cong nhu the nay khong? thanks! Minh xai debian 3.1 va confixx

71.222.168.233 - - [11/Sep/2006:01:49:36 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:49:53 +0200] "GET / HTTP/1.0" 302 - "-" "-"
71.222.168.233 - - [11/Sep/2006:01:50:38 +0200] "GET / HTTP/1.0" 302 - "-" "-" 

- Bạn cài thêm mod_security cho web server của bạn. Chi tiết tham khảo www.modsecurity.org
Thân mến. :wink:
[Up] [Print Copy]
  [Question]   Hỏi cách chống attack http 12/09/2006 00:49:25 (+0700) | #4 | 22560
father_nghia_den
Elite Member

[Minus]    0    [Plus]
Joined: 06/10/2003 16:48:21
Messages: 95
Offline
[Profile] [PM]
vậy là cái iptables này không áp dụng được cho Server chạy dyndns hả anh conmale?
Và iptables này cũng chỉ áp dụng được cho Apache. Còn với IIS thì theo anh có cơ chế gì để bảo vệ giống như iptables
[Up] [Print Copy]
  [Question]   Hỏi cách chống attack http 12/09/2006 00:59:53 (+0700) | #5 | 22564
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

father_nghia_den wrote:
vậy là cái iptables này không áp dụng được cho Server chạy dyndns hả anh conmale?
Và iptables này cũng chỉ áp dụng được cho Apache. Còn với IIS thì theo anh có cơ chế gì để bảo vệ giống như iptables 


iptables ở tầng IP thôi em, nó không quan tâm đến các ứng dụng web ở trên. Tất nhiên khi nói đến IIS là nói đến Windows mà Windows thì không có iptables rồi. Bởi vậy, phải dùng 1 firewall nào khác để bảo vệ cho windows server tương tự như iptables.

Thông thường các firewall trên Windows rất đắc tiền vì chúng toàn là đồ thương mại. Tuỳ web của em là web thế nào, liệu có quan trọng và có đủ kinh phí hay không. Còn không thì ráng thắt chặt IIS càng nhiều càng tốt. Thật ra để chườn một cái IIS / Windows server ra Internet mà không thắt chặt hoặc không có firewall để cản bớt những thứ nguy hiểm thì... khá kẹt.

Thân mến.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Hỏi cách chống attack http 12/09/2006 18:19:30 (+0700) | #6 | 22753
QuachVu
Member

[Minus]    0    [Plus]
Joined: 05/12/2004 06:31:51
Messages: 4
Offline
[Profile] [PM]

conmale wrote:

Cách lâu dài hơn:
iptables -A INPUT -p tcp --syn -d <your-ip> --dport 80 -m limit 1/s --limit-burst 3 -j ACCEPT (your-ip là IP của bồ) 


Bạn có thể giải thích cho mình hiểu rõ command này thực hiện các chức năng bảo vệ như thế nào được không?
[Up] [Print Copy]
  [Question]   Hỏi cách chống attack http 12/09/2006 21:40:29 (+0700) | #7 | 22767
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

QuachVu wrote:

conmale wrote:

Cách lâu dài hơn:
iptables -A INPUT -p tcp --syn -d <your-ip> --dport 80 -m limit 1/s --limit-burst 3 -j ACCEPT (your-ip là IP của bồ) 


Bạn có thể giải thích cho mình hiểu rõ command này thực hiện các chức năng bảo vệ như thế nào được không? 


Để hiểu thật rõ, bồ cần nghiên cứu iptables / netfilter trên Linux. Đại khái dòng lệnh trên nói thế này:

"Bất cứ gói tin có flag là SYN đi vào cổng 80 của IP (của bồ) thì sẽ được chấp nhận nếu chúng không vượt quá giới hạn 3 lần trong 1 giây"
.

Gói SYN là gói đầu tiên để thiết lập xuất truy cập. Một truy cập bình thường của người dùng không có lý do gì phải đòi SYN quá 3 lần trong 1 giây cả.

Tham khảo về iptables ở: http://www.iptables.org/documentation/index.html#documentation-howto

Thân mến.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Hỏi cách chống attack http 12/09/2006 23:35:40 (+0700) | #8 | 22789
father_nghia_den
Elite Member

[Minus]    0    [Plus]
Joined: 06/10/2003 16:48:21
Messages: 95
Offline
[Profile] [PM]

conmale wrote:
iptables -A INPUT -p tcp --syn -d <your-ip> --dport 80 -m limit 1/s --limit-burst 3 -j ACCEPT (your-ip là IP của bồ)  


Như dòng lệnh trên của anh thì em thấy iptables không thể áp dụng với Server dùng IP động.


[Up] [Print Copy]
  [Question]   Hỏi cách chống attack http 12/09/2006 23:43:55 (+0700) | #9 | 22792
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

father_nghia_den wrote:

conmale wrote:
iptables -A INPUT -p tcp --syn -d <your-ip> --dport 80 -m limit 1/s --limit-burst 3 -j ACCEPT (your-ip là IP của bồ)  


Như dòng lệnh trên của anh thì em thấy iptables không thể áp dụng với Server dùng IP động.


 


Đúng vậy. Đã là server thì không nên nghĩ đến chuyện dùng IP động.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: Hỏi cách chống attack http 13/09/2006 02:49:38 (+0700) | #10 | 22829
QuachVu
Member

[Minus]    0    [Plus]
Joined: 05/12/2004 06:31:51
Messages: 4
Offline
[Profile] [PM]
mình đánh command trên thì nó báo lỗi này

Bad argument `1/s' 


có lẽ còn thiếu --limit trước 1/s
[Up] [Print Copy]
  [Question]   Re: Hỏi cách chống attack http 13/09/2006 05:11:56 (+0700) | #11 | 22852
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

QuachVu wrote:
mình đánh command trên thì nó báo lỗi này

Bad argument `1/s' 


có lẽ còn thiếu --limit trước 1/s 


Đúng vậy, tớ gõ thiếu --limit smilie
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   Re: Hỏi cách chống attack http 13/09/2006 18:10:48 (+0700) | #12 | 22986
QuachVu
Member

[Minus]    0    [Plus]
Joined: 05/12/2004 06:31:51
Messages: 4
Offline
[Profile] [PM]
không ăn thua, mình đã dùng 2 command iptables ban đưa. iptables -L ra thấy nó đã add 2 command do vo iptable roi nhung cha hieu sao tui no van attack binh thuong bang cach do giong nhu log o tren cung minh da dua ra. Block IP tui no roi ma tui no van attack lien tuc bang IP do duoc.
[Up] [Print Copy]
  [Question]   Re: Hỏi cách chống attack http 13/09/2006 19:28:01 (+0700) | #13 | 22997
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

QuachVu wrote:
không ăn thua, mình đã dùng 2 command iptables ban đưa. iptables -L ra thấy nó đã add 2 command do vo iptable roi nhung cha hieu sao tui no van attack binh thuong bang cach do giong nhu log o tren cung minh da dua ra. Block IP tui no roi ma tui no van attack lien tuc bang IP do duoc. 


1 dòng lệnh không thể giải quyết được vấn đề bởi vì netfilter còn có Policy nền là ACCEPT hay DROP nữa. Cách tốt nhất là tạo một bộ rules hoàn chỉnh (và để làm được điều này thì phải nghiên cứu iptables / netfilter đúng mức).

Tạm thời 2 lệnh trên có thể thay đổi từ -A thành -I
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|