English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật DDoS SYN Flood with Spoof IP (số lượng lớn)  XML
  [Question]   DDoS SYN Flood with Spoof IP (số lượng lớn) 10/07/2011 16:17:18 (+0700) | #1 | 243202
[Avatar]
 S_ThuCoDon
Member
[Minus]    0    [Plus]
Joined: 14/03/2007 23:15:26
Messages: 9
Offline
[Profile] [PM] [Yahoo!]
Chào mọi người.

Mình có tham khảo các topic về ddos nhưng hầu hết là các loại như X-Flash và HTTP DoS/DDoS.

Mình đang gặp vấn đề với kiểu SYN FLOOD + Spoof IP (rất nhiều IP và có thể fake theo ý muốn). Đây là các thông tin mình lấy được khi bị tấn công.

Mong mọi người giúp đỡ.

tcpdump http://tinypaste.com/daf608
netstat http://tinypaste.com/01b22
netstat2 http://tinypaste.com/47c18d

Cảm ơn mọi người rất nhiều!
[Up] [Print Copy]
  [Question]   DDoS SYN Flood with Spoof IP (số lượng lớn) 10/07/2011 20:13:21 (+0700) | #2 | 243209
mapthulu
Member
[Minus]    0    [Plus]
Joined: 10/06/2011 12:16:42
Messages: 28
Offline
[Profile] [PM]
Mới nhìn phần DUMP sơ qua của bạn thôi

IP Source: 4.x.y.z | 5.x.y.z | 6.x.y.z | 7.x.y.z | 8.x.y.z
Source Port: cadlock2 [1000]

Sửa thêm: hỗm nay mấy máy chủ VN cũng hay gặp dạng tấn công này. Đặc điểm này
[Up] [Print Copy]
  [Question]   DDoS SYN Flood with Spoof IP (số lượng lớn) 11/07/2011 05:29:02 (+0700) | #3 | 243217
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

S_ThuCoDon wrote:
Chào mọi người.

Mình có tham khảo các topic về ddos nhưng hầu hết là các loại như X-Flash và HTTP DoS/DDoS.

Mình đang gặp vấn đề với kiểu SYN FLOOD + Spoof IP (rất nhiều IP và có thể fake theo ý muốn). Đây là các thông tin mình lấy được khi bị tấn công.

Mong mọi người giúp đỡ.

tcpdump http://tinypaste.com/daf608
netstat http://tinypaste.com/01b22
netstat2 http://tinypaste.com/47c18d

Cảm ơn mọi người rất nhiều! 


iptables -I INPUT -p tcp --sport 1000 --dport 80 -j DROP

iptables -I INPUT -p tcp --syn --dport 80 -m limit --limit 5/s --limit-burst 3 -j DROP


Điều chỉnh /etc/sysctl.conf và thêm mấy dòng:
net.netfilter.nf_conntrack_tcp_timeout_syn_sent = 30
net.netfilter.nf_conntrack_tcp_timeout_syn_recv = 5
net.ipv4.tcp_syn_retries = 5
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_fin_timeout = 10

save nó và chạy: sysctl -p (với chủ quyền root).
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   DDoS SYN Flood with Spoof IP (số lượng lớn) 11/07/2011 18:10:44 (+0700) | #4 | 243274
[Avatar]
 S_ThuCoDon
Member
[Minus]    0    [Plus]
Joined: 14/03/2007 23:15:26
Messages: 9
Offline
[Profile] [PM] [Yahoo!]
Chào anh,

Theo như em biết thì đoạn iptables trên chặn các IP với port 1000. Em thắc mắc là giả sử port này random? Dường như đoạn ở trên chỉ mang tính chất tạm thời?

Ngoài ra, đoạn "iptables -I INPUT -p tcp --syn --dport 80 -m limit --limit 5/s --limit-burst 3 -j DROP" hình như sẽ làm chậm site thì phải?

Cảm ơn anh.
[Up] [Print Copy]
  [Question]   DDoS SYN Flood with Spoof IP (số lượng lớn) 12/07/2011 05:55:30 (+0700) | #5 | 243285
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

S_ThuCoDon wrote:
Chào anh,

Theo như em biết thì đoạn iptables trên chặn các IP với port 1000. Em thắc mắc là giả sử port này random? Dường như đoạn ở trên chỉ mang tính chất tạm thời?
 

Nếu source port random thì tìm những đặc điểm khác trong gói tin sniff được để hình thành luật khác. Trong trường hợp này, source port 1000 là đặc điểm nổi bật nhất.

Không có firewall nào mà không có tính chất tạm thời hết (ngoại trừ một số rất ít những đặc điểm đã được nhận biết và đã quá thông dụng như SYN FLOOD, Half open FLOOD, ICMP FLOOD....). Không có firewall nào mà "set & forget" hết.

S_ThuCoDon wrote:

Ngoài ra, đoạn "iptables -I INPUT -p tcp --syn --dport 80 -m limit --limit 5/s --limit-burst 3 -j DROP" hình như sẽ làm chậm site thì phải?

Cảm ơn anh. 

Cái này tuỳ thuộc vào nhiều yếu tố trên máy chủ và bồ nên đọc "Ký sự những vụ DDoS HVA" để hiểu sâu hơn.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   DDoS SYN Flood with Spoof IP (số lượng lớn) 09/03/2012 20:09:11 (+0700) | #6 | 257616
leuxua
Member
[Minus]    0    [Plus]
Joined: 27/05/2011 22:11:53
Messages: 2
Offline
[Profile] [PM]

conmale wrote:

S_ThuCoDon wrote:
Chào mọi người.

Mình có tham khảo các topic về ddos nhưng hầu hết là các loại như X-Flash và HTTP DoS/DDoS.

Mình đang gặp vấn đề với kiểu SYN FLOOD + Spoof IP (rất nhiều IP và có thể fake theo ý muốn). Đây là các thông tin mình lấy được khi bị tấn công.

Mong mọi người giúp đỡ.

tcpdump http://tinypaste.com/daf608
netstat http://tinypaste.com/01b22
netstat2 http://tinypaste.com/47c18d

Cảm ơn mọi người rất nhiều! 


iptables -I INPUT -p tcp --sport 1000 --dport 80 -j DROP

iptables -I INPUT -p tcp --syn --dport 80 -m limit --limit 5/s --limit-burst 3 -j DROP


Điều chỉnh /etc/sysctl.conf và thêm mấy dòng:
net.netfilter.nf_conntrack_tcp_timeout_syn_sent = 30
net.netfilter.nf_conntrack_tcp_timeout_syn_recv = 5
net.ipv4.tcp_syn_retries = 5
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_fin_timeout = 10

save nó và chạy: sysctl -p (với chủ quyền root).
 

Nếu share host mình có điều chỉnh được /ect/sysctl.conf ko bro?
[Up] [Print Copy]
  [Question]   DDoS SYN Flood with Spoof IP (số lượng lớn) 10/03/2012 10:00:33 (+0700) | #7 | 257671
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

leuxua wrote:

conmale wrote:

S_ThuCoDon wrote:
Chào mọi người.

Mình có tham khảo các topic về ddos nhưng hầu hết là các loại như X-Flash và HTTP DoS/DDoS.

Mình đang gặp vấn đề với kiểu SYN FLOOD + Spoof IP (rất nhiều IP và có thể fake theo ý muốn). Đây là các thông tin mình lấy được khi bị tấn công.

Mong mọi người giúp đỡ.

tcpdump http://tinypaste.com/daf608
netstat http://tinypaste.com/01b22
netstat2 http://tinypaste.com/47c18d

Cảm ơn mọi người rất nhiều! 


iptables -I INPUT -p tcp --sport 1000 --dport 80 -j DROP

iptables -I INPUT -p tcp --syn --dport 80 -m limit --limit 5/s --limit-burst 3 -j DROP


Điều chỉnh /etc/sysctl.conf và thêm mấy dòng:
net.netfilter.nf_conntrack_tcp_timeout_syn_sent = 30
net.netfilter.nf_conntrack_tcp_timeout_syn_recv = 5
net.ipv4.tcp_syn_retries = 5
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_fin_timeout = 10

save nó và chạy: sysctl -p (với chủ quyền root).
 

Nếu share host mình có điều chỉnh được /ect/sysctl.conf ko bro? 


Nếu "share host" và mình có quyền root thì có thể điều chỉnh được /etc/sysctl.conf.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   DDoS SYN Flood with Spoof IP (số lượng lớn) 10/03/2012 10:13:57 (+0700) | #8 | 257675
[Avatar]
 rickb
Reseacher
Joined: 27/01/2007 17:47:27
Messages: 200
Offline
[Profile] [PM] [Yahoo!]

conmale wrote:

S_ThuCoDon wrote:
Chào mọi người.

Mình có tham khảo các topic về ddos nhưng hầu hết là các loại như X-Flash và HTTP DoS/DDoS.

Mình đang gặp vấn đề với kiểu SYN FLOOD + Spoof IP (rất nhiều IP và có thể fake theo ý muốn). Đây là các thông tin mình lấy được khi bị tấn công.

Mong mọi người giúp đỡ.

tcpdump http://tinypaste.com/daf608
netstat http://tinypaste.com/01b22
netstat2 http://tinypaste.com/47c18d

Cảm ơn mọi người rất nhiều! 


iptables -I INPUT -p tcp --sport 1000 --dport 80 -j DROP

iptables -I INPUT -p tcp --syn --dport 80 -m limit --limit 5/s --limit-burst 3 -j DROP


Điều chỉnh /etc/sysctl.conf và thêm mấy dòng:
net.netfilter.nf_conntrack_tcp_timeout_syn_sent = 30
net.netfilter.nf_conntrack_tcp_timeout_syn_recv = 5
net.ipv4.tcp_syn_retries = 5
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_fin_timeout = 10

save nó và chạy: sysctl -p (với chủ quyền root).
 


Sao trong phần hardening trên em không thấy anh conmale đề cập đến 1 thông số phổ biến khi prevent SYN DoS là "SYN cookies" nhỉ ? Phải chăng là do nó đã được enable default nên anh không care nữa hay là nó không còn hiệu quả nữa ?

-rickb
[Up] [Print Copy]
  [Question]   DDoS SYN Flood with Spoof IP (số lượng lớn) 10/03/2012 12:38:05 (+0700) | #9 | 257706
[Avatar]
 conmale
Administrator
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

rickb wrote:

conmale wrote:

S_ThuCoDon wrote:
Chào mọi người.

Mình có tham khảo các topic về ddos nhưng hầu hết là các loại như X-Flash và HTTP DoS/DDoS.

Mình đang gặp vấn đề với kiểu SYN FLOOD + Spoof IP (rất nhiều IP và có thể fake theo ý muốn). Đây là các thông tin mình lấy được khi bị tấn công.

Mong mọi người giúp đỡ.

tcpdump http://tinypaste.com/daf608
netstat http://tinypaste.com/01b22
netstat2 http://tinypaste.com/47c18d

Cảm ơn mọi người rất nhiều! 


iptables -I INPUT -p tcp --sport 1000 --dport 80 -j DROP

iptables -I INPUT -p tcp --syn --dport 80 -m limit --limit 5/s --limit-burst 3 -j DROP


Điều chỉnh /etc/sysctl.conf và thêm mấy dòng:
net.netfilter.nf_conntrack_tcp_timeout_syn_sent = 30
net.netfilter.nf_conntrack_tcp_timeout_syn_recv = 5
net.ipv4.tcp_syn_retries = 5
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_fin_timeout = 10

save nó và chạy: sysctl -p (với chủ quyền root).
 


Sao trong phần hardening trên em không thấy anh conmale đề cập đến 1 thông số phổ biến khi prevent SYN DoS là "SYN cookies" nhỉ ? Phải chăng là do nó đã được enable default nên anh không care nữa hay là nó không còn hiệu quả nữa ?

-rickb 


SynCookie chỉ có tác dụng khi DDoS chủ yếu ở dạng SynFlood nhưng ở cấp độ nhẹ mà thôi. Khi bị tấn công cỡ vài ngàn requests / giây thì SynCookie đôi khi còn làm cho kernel trì trệ hơn nữa.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|