[Discussion] Chủ đề: DDoS đi về đâu? |
04/07/2012 20:33:56 (+0700) | #1 | 266150 |
StarGhost
Elite Member
|
0 |
|
|
Joined: 29/03/2005 20:34:22
Messages: 662
Location: The Queen
Offline
|
|
Nhân việc HVA là nạn nhân thường xuyên của các cuộc đánh phá DDoS (nếu mình không nhầm), hôm nay mình muốn mở một cuộc thảo luận với đề tài "DDoS đi về đâu?":
Như các bạn đã biết, DDoS cho đến thời điểm này đã trở thành một vấn nạn của Internet toàn cầu. Mục tiêu của các vụ tấn công DDoS trải khắp các hệ thống và dịch vụ trên Internet, từ các website nhỏ, đến các hệ thống thương mại điện tử (e-commerce), đến các cơ sở hạ tầng quan trọng (critical infrastructure) của các nhà nước và chính phủ. Vậy, sự tiến hoá của công nghệ làm thế nào để loại bỏ vấn nạn này? Để giúp việc thảo luận thêm dễ dàng, mình có một số các câu hỏi gợi ý như sau:
- Những nguyên nhân cơ bản nào cho phép DDoS trở nên dễ dàng như vậy?
- DDoS nên được phân loại như thế nào?
- Nêu các đặc điểm tất yếu của một giải pháp lý tưởng cho mỗi loại DDoS (hoặc DDoS nói chung)? Tất nhiên có thể có nhiều giải pháp lý tưởng cho mỗi loại DDoS (hoặc DDoS nói chung)
- Các đặc điểm này có thể tồn tại song song với nhau hay không?
- Với các đặc điểm như vậy, mức độ tốn kém của việc triển khai giải pháp lý tưởng ra sao?
- Những rào cản nào sẽ xuất hiện trong quá trình triển khai?
Mời các bạn tham gia.
Thân mến. |
|
Mind your thought. |
|
|
|
[Discussion] Chủ đề: DDoS đi về đâu? |
04/07/2012 20:55:24 (+0700) | #2 | 266151 |
|
chiro8x
Member
|
0 |
|
|
Joined: 26/09/2010 00:38:37
Messages: 661
Location: /home/chiro8x
Offline
|
|
|
|
[Discussion] Chủ đề: DDoS đi về đâu? |
05/07/2012 04:10:14 (+0700) | #3 | 266162 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
Chuyển sang IPv6 thì 90% những kẻ hở của giao thức trong IPv4 sẽ bị loại bỏ và bởi thế, DDoS cũng bị loại bỏ 1 phần lớn.
Khi chuyển sang IPv6, mỗi thiết bị được gán cho 1 IP riêng và nếu IP ấy dùng để DDoS thì nó sẽ bị ban vĩnh viễn. Khỏi DDoS . |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Discussion] Chủ đề: DDoS đi về đâu? |
05/07/2012 07:35:29 (+0700) | #4 | 266170 |
locgame
Member
|
0 |
|
|
Joined: 31/08/2011 04:05:44
Messages: 3
Offline
|
|
Thời gian sẽ có DDOS6 thôi cuộc chiến giữa bác sĩ và bệnh tất chưa bao h dừng và IT như thế mới có việc làm |
|
|
|
|
[Discussion] Chủ đề: DDoS đi về đâu? |
05/07/2012 07:56:49 (+0700) | #5 | 266173 |
goldarrow
Member
|
0 |
|
|
Joined: 18/08/2009 02:48:40
Messages: 19
Offline
|
|
Theo tôi thì DDoS cũng có 1 giá trị nào đó của nó. Nếu không có DDoS thì chúng ta không biết hết (có thể là chưa hết) những điểm yếu hiện đang có trong TCP hay HTTP hiện tại. |
|
|
|
|
[Discussion] Chủ đề: DDoS đi về đâu? |
05/07/2012 08:00:40 (+0700) | #6 | 266174 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
goldarrow wrote:
Theo tôi thì DDoS cũng có 1 giá trị nào đó của nó. Nếu không có DDoS thì chúng ta không biết hết (có thể là chưa hết) những điểm yếu hiện đang có trong TCP hay HTTP hiện tại.
Không cần DDoS nhưng hiểu ngọn ngành các giao thức thì vẫn biết hết được những điệm yếu đang có trong TCP/IP. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Discussion] Chủ đề: DDoS đi về đâu? |
05/07/2012 14:00:41 (+0700) | #7 | 266216 |
Cuc.Sat
Member
|
0 |
|
|
Joined: 29/08/2011 04:32:50
Messages: 52
Offline
|
|
goldarrow wrote:
Theo tôi thì DDoS cũng có 1 giá trị nào đó của nó. Nếu không có DDoS thì chúng ta không biết hết (có thể là chưa hết) những điểm yếu hiện đang có trong TCP hay HTTP hiện tại.
Anh nghĩ hơi bị ngược, vì có những điểm yếu của TCP/IP nên mới sinh ra trò DoS/DDoS.
Theo thiển ý của em thì mấy trò phá hoại chỉ có hại. |
|
|
|
|
[Discussion] Chủ đề: DDoS đi về đâu? |
05/07/2012 15:37:33 (+0700) | #8 | 266225 |
khamphatg
Member
|
0 |
|
|
Joined: 03/07/2011 20:01:42
Messages: 2
Offline
|
|
conmale wrote:
Khi chuyển sang IPv6, mỗi thiết bị được gán cho 1 IP riêng và nếu IP ấy dùng để DDoS thì nó sẽ bị ban vĩnh viễn. Khỏi DDoS .
Cái này thì em không hiểu lắm: ISP, một tổ chức quản lý Internet hay là chủ của website bị DDoS sẽ thực hiện ban?
Phần lớn các máy thực hiện DDoS là do virus/trojan và thường thì ngay cả người chủ của nó cũng không hề biết. Liệu ISP có dám và có nên ban vĩnh viễn các IP/thiết bị này? |
|
|
|
|
[Discussion] Chủ đề: DDoS đi về đâu? |
05/07/2012 16:54:00 (+0700) | #9 | 266232 |
nguyenga86
Member
|
0 |
|
|
Joined: 13/11/2010 00:19:05
Messages: 205
Offline
|
|
khamphatg wrote:
Cái này thì em không hiểu lắm: ISP, một tổ chức quản lý Internet hay là chủ của website bị DDoS sẽ thực hiện ban?
đương nhiên là chủ website nó ban rồi @@ , ISP là người cung cấp dịch vụ mà nó lại ban IP của khách hàng thì có ma nào thèm làm khách hàng của ISP đó nữa .. |
|
|
|
|
[Discussion] Chủ đề: DDoS đi về đâu? |
05/07/2012 17:36:20 (+0700) | #10 | 266241 |
|
cong_dan_guong_mau
Member
|
0 |
|
|
Joined: 02/07/2012 11:05:13
Messages: 5
Location: Đảng và chính phủ
Offline
|
|
|
Gia đình văn hoá, sinh hoạt đều đặn |
|
|
|
[Discussion] Chủ đề: DDoS đi về đâu? |
05/07/2012 18:26:54 (+0700) | #11 | 266246 |
nguyenga86
Member
|
0 |
|
|
Joined: 13/11/2010 00:19:05
Messages: 205
Offline
|
|
|
|
[Discussion] Chủ đề: DDoS đi về đâu? |
05/07/2012 22:14:45 (+0700) | #12 | 266254 |
StarGhost
Elite Member
|
0 |
|
|
Joined: 29/03/2005 20:34:22
Messages: 662
Location: The Queen
Offline
|
|
conmale wrote:
Chuyển sang IPv6 thì 90% những kẻ hở của giao thức trong IPv4 sẽ bị loại bỏ và bởi thế, DDoS cũng bị loại bỏ 1 phần lớn.
Khi chuyển sang IPv6, mỗi thiết bị được gán cho 1 IP riêng và nếu IP ấy dùng để DDoS thì nó sẽ bị ban vĩnh viễn. Khỏi DDoS .
Anh có thể cho một số ví dụ về kẽ hở của IPv4 mà sau khi được khắc phục bởi IPv6 thì DDoS sẽ bị hạn chế?
Còn câu sau của anh thì em không đồng ý, có 3 lí do:
- một IP được sử dụng để DDoS không phải là do chủ nhân IP đó muốn, mà là do thiết bị sử dụng IP đó đã trở thành zombie. Nếu IP đó bị ban, thì lại nảy sinh một vấn đề DoS mới, mà anh tưởng tượng giả sử một botnet khoảng 100000 máy bị dùng làm DDoS, mà nếu ban IP của 100000 máy đó thì không phải là DoS trên diện rộng sao.
- nếu IP spoofing vẫn còn tồn tại, làm sao tìm ra chính xác 100000 máy trong botnet để ban IP
- kể cả tìm ra được, ai sẽ thực hiện việc ban IP? ISP chăng? Tier 3, tier 2, hay tier 1 chăng? Họ được lợi gì trong việc đó? |
|
Mind your thought. |
|
|
|
[Discussion] Chủ đề: DDoS đi về đâu? |
06/07/2012 07:58:47 (+0700) | #13 | 266270 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
StarGhost wrote:
conmale wrote:
Chuyển sang IPv6 thì 90% những kẻ hở của giao thức trong IPv4 sẽ bị loại bỏ và bởi thế, DDoS cũng bị loại bỏ 1 phần lớn.
Khi chuyển sang IPv6, mỗi thiết bị được gán cho 1 IP riêng và nếu IP ấy dùng để DDoS thì nó sẽ bị ban vĩnh viễn. Khỏi DDoS .
Anh có thể cho một số ví dụ về kẽ hở của IPv4 mà sau khi được khắc phục bởi IPv6 thì DDoS sẽ bị hạn chế?
Một trong những tính năng quan trọng của IPv6 là IPSec hoàn toàn được hỗ trợ (natively). Vì tính năng này, những dạng DDoS sử dụng reflection không thể thực hiện được vì các packets refection không có giá trị. Những dạng DDoS sử dụng spoof addresses như với IPv4 sẽ không thực hiện được với IPv6. Các dạng DDoS sử dụng biện pháp spoofing và reflection chiếm tỉ lệ rất lớn ở IPv4.
Không may, với IPv6, dạng flood bằng TCP, UDP và ICMP vẫn không thể triệt tiêu vì cơ chế "bắt tay" vẫn không thay đổi. Tuy nhiên, vì IPv6 có thừa IP để assign cho mỗi device một static IP riêng biệt cho nên nếu sử dụng biện pháp ban IP vi phạm thì chỉ ảnh hưởng có 1 người thay vì ban 1 IPv4 IP như hiện nay có thể ban hàng chục, hàng trăm hay hàng ngàn người (vì sử dụng proxy, nat....).
StarGhost wrote:
Còn câu sau của anh thì em không đồng ý, có 3 lí do:
- một IP được sử dụng để DDoS không phải là do chủ nhân IP đó muốn, mà là do thiết bị sử dụng IP đó đã trở thành zombie. Nếu IP đó bị ban, thì lại nảy sinh một vấn đề DoS mới, mà anh tưởng tượng giả sử một botnet khoảng 100000 máy bị dùng làm DDoS, mà nếu ban IP của 100000 máy đó thì không phải là DoS trên diện rộng sao.
- nếu IP spoofing vẫn còn tồn tại, làm sao tìm ra chính xác 100000 máy trong botnet để ban IP
- kể cả tìm ra được, ai sẽ thực hiện việc ban IP? ISP chăng? Tier 3, tier 2, hay tier 1 chăng? Họ được lợi gì trong việc đó?
- Nếu chủ nhân không muốn tham gia DDoS và là nạn nhân thì trước tiên chỉ có mỗi "nạn nhân" ấy bị block thay vì hàng loạt người bị block như tình trạng hiện nay. Cái này giúp giảm thiểu "từ chối dịch vụ" do chính biện pháp ban. Nếu 100000 static IPv6 IP bị ban thì chỉ 100000 IP đó bị ban thay vì 100000 x 10 hoặc x 100 bị ban như IPv4 hiện nay thì vẫn tốt hơn.
- IP Spoofing không tồn tại với IPv6 được.
- Người bị DDoS (chủ máy, chủ hệ thống) ban chớ chẳng có ISP nào ban cả. Người bị DDoS có trọn quyền cho phép hoặc ban bất cứ nguồn IP nào vi phạm. Nếu "nạn nhân" bị ban vì chính máy mình là zombie thì người bị ban phải có trách nhiệm tự xoá zombie, tự phục hồi để không bị ban.
Hãy xét ở góc độ "adaptive firewall" có khả năng tiếp tục ban một IP cho đến khi nào IP đó không còn tấn công với tính chất là một zombie. Như HVA hiện tại chẳng hạn, nếu một IP nào đó liên tục và dồn dập gởi quá giới hạn số requests trong vòng một khoảng thời gian (ngắn) thì nó bị ban. Quy chế ban có nhiều cấp độ khác nhau.
Ví dụ, nếu IP gởi cùng 5 requests đến /hvaonline/forums/list.html mà có User-Agent y hệt nhau trong vòng 10 giây thì drop request thứ 6 nhưng không block IP đó. Nếu tình trạng này tiếp tục thì tiếp tục drop requests. Nếu sau một khoảng thời gian hoặc sau một số lượng đếm nhất định nào đó thì ra lệnh cho firewall block IP này. Tuy nhiên, việc block IP sẽ không phải là block vĩnh viễn mà cứ sau bao nhiêu giây hoặc bao nhiêu phút kiểm tra và thấy IP ấy vẫn tiếp tục "dội bom" thì tiếp tục block nhưng nếu nó quay về tầng số truy cập như một người bình thường thì không block nó nữa. Nếu cũng cùng 1 IP nhưng có nhiều User-Agents khác nhau thì nới rộng giới hạn drop và block ra vì xem đó là 1 IP (proxy hoặc nat) có nhiều người dùng nhưng đến một lúc nào đó vẫn phải block vì nó đi quá giới hạn cho phép.
Bởi vậy, với IPv6 và với hoàn toàn static IP thì block một IP (theo cơ chế đã giải thích ở trên) vẫn tốt hơn là block 1 IPv4 IP.
|
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Discussion] Chủ đề: DDoS đi về đâu? |
06/07/2012 17:50:55 (+0700) | #14 | 266320 |
StarGhost
Elite Member
|
0 |
|
|
Joined: 29/03/2005 20:34:22
Messages: 662
Location: The Queen
Offline
|
|
conmale wrote:
- Nếu chủ nhân không muốn tham gia DDoS và là nạn nhân thì trước tiên chỉ có mỗi "nạn nhân" ấy bị block thay vì hàng loạt người bị block như tình trạng hiện nay. Cái này giúp giảm thiểu "từ chối dịch vụ" do chính biện pháp ban. Nếu 100000 static IPv6 IP bị ban thì chỉ 100000 IP đó bị ban thay vì 100000 x 10 hoặc x 100 bị ban như IPv4 hiện nay thì vẫn tốt hơn.
À như vậy thì hậu quả DoS so với IPv4 được giảm đi 10 hoặc 100 lần. Nhưng mà như vậy liệu đã phải là cái đích cuối cùng của cuộc chiến chống DDoS?
conmale wrote:
- IP Spoofing không tồn tại với IPv6 được.
Ở đây theo em hiểu ý của anh là receiver hoàn toàn có thể xác định IP address của sender trước khi tiến hành communicate ở các layer cao hơn. Điều này thì em đồng ý. Tuy nhiên IPv6 với IPSec căn bản không có chống được ai đó spoof (hoặc nói đúng hơn là fake) IP address và gửi packet khi bắt đầu IKE. Dù IKE có khả năng chịu đựng DDoS tốt hơn các protocol ở layer cao như TCP, nhưng hoàn toàn khác với việc chỉ cần nhìn IP address sau đó drop và drop.
conmale wrote:
- Người bị DDoS (chủ máy, chủ hệ thống) ban chớ chẳng có ISP nào ban cả. Người bị DDoS có trọn quyền cho phép hoặc ban bất cứ nguồn IP nào vi phạm. Nếu "nạn nhân" bị ban vì chính máy mình là zombie thì người bị ban phải có trách nhiệm tự xoá zombie, tự phục hồi để không bị ban.
Vậy còn vấn đề bandwidth DDoS thì sao anh? Nếu bandwidth của anh bị bão hoà thì dù anh có cấu hình firewall kiểu gì cũng vô ích.
|
|
Mind your thought. |
|
|
|
[Discussion] Chủ đề: DDoS đi về đâu? |
06/07/2012 19:07:42 (+0700) | #15 | 266324 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
StarGhost wrote:
conmale wrote:
- Nếu chủ nhân không muốn tham gia DDoS và là nạn nhân thì trước tiên chỉ có mỗi "nạn nhân" ấy bị block thay vì hàng loạt người bị block như tình trạng hiện nay. Cái này giúp giảm thiểu "từ chối dịch vụ" do chính biện pháp ban. Nếu 100000 static IPv6 IP bị ban thì chỉ 100000 IP đó bị ban thay vì 100000 x 10 hoặc x 100 bị ban như IPv4 hiện nay thì vẫn tốt hơn.
À như vậy thì hậu quả DoS so với IPv4 được giảm đi 10 hoặc 100 lần. Nhưng mà như vậy liệu đã phải là cái đích cuối cùng của cuộc chiến chống DDoS?
conmale wrote:
- IP Spoofing không tồn tại với IPv6 được.
Ở đây theo em hiểu ý của anh là receiver hoàn toàn có thể xác định IP address của sender trước khi tiến hành communicate ở các layer cao hơn. Điều này thì em đồng ý. Tuy nhiên IPv6 với IPSec căn bản không có chống được ai đó spoof (hoặc nói đúng hơn là fake) IP address và gửi packet khi bắt đầu IKE. Dù IKE có khả năng chịu đựng DDoS tốt hơn các protocol ở layer cao như TCP, nhưng hoàn toàn khác với việc chỉ cần nhìn IP address sau đó drop và drop.
conmale wrote:
- Người bị DDoS (chủ máy, chủ hệ thống) ban chớ chẳng có ISP nào ban cả. Người bị DDoS có trọn quyền cho phép hoặc ban bất cứ nguồn IP nào vi phạm. Nếu "nạn nhân" bị ban vì chính máy mình là zombie thì người bị ban phải có trách nhiệm tự xoá zombie, tự phục hồi để không bị ban.
Vậy còn vấn đề bandwidth DDoS thì sao anh? Nếu bandwidth của anh bị bão hoà thì dù anh có cấu hình firewall kiểu gì cũng vô ích.
Mình đang nói đến điểm mạnh và yếu của giao thức mà. Mình chưa bàn đến băng thông.
Chuyện DDoS thì không bao giờ có thể triệt tiêu hoàn toàn được. Chỉ có thể giảm thiểu. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Discussion] Chủ đề: DDoS đi về đâu? |
07/07/2012 21:45:15 (+0700) | #16 | 266376 |
|
rickb
Reseacher
|
Joined: 27/01/2007 17:47:27
Messages: 200
Offline
|
|
conmale wrote:
StarGhost wrote:
conmale wrote:
Chuyển sang IPv6 thì 90% những kẻ hở của giao thức trong IPv4 sẽ bị loại bỏ và bởi thế, DDoS cũng bị loại bỏ 1 phần lớn.
Khi chuyển sang IPv6, mỗi thiết bị được gán cho 1 IP riêng và nếu IP ấy dùng để DDoS thì nó sẽ bị ban vĩnh viễn. Khỏi DDoS .
Anh có thể cho một số ví dụ về kẽ hở của IPv4 mà sau khi được khắc phục bởi IPv6 thì DDoS sẽ bị hạn chế?
Một trong những tính năng quan trọng của IPv6 là IPSec hoàn toàn được hỗ trợ (natively). Vì tính năng này, những dạng DDoS sử dụng reflection không thể thực hiện được vì các packets refection không có giá trị. Những dạng DDoS sử dụng spoof addresses như với IPv4 sẽ không thực hiện được với IPv6. Các dạng DDoS sử dụng biện pháp spoofing và reflection chiếm tỉ lệ rất lớn ở IPv4.
Không may, với IPv6, dạng flood bằng TCP, UDP và ICMP vẫn không thể triệt tiêu vì cơ chế "bắt tay" vẫn không thay đổi. Tuy nhiên, vì IPv6 có thừa IP để assign cho mỗi device một static IP riêng biệt cho nên nếu sử dụng biện pháp ban IP vi phạm thì chỉ ảnh hưởng có 1 người thay vì ban 1 IPv4 IP như hiện nay có thể ban hàng chục, hàng trăm hay hàng ngàn người (vì sử dụng proxy, nat....).
StarGhost wrote:
Còn câu sau của anh thì em không đồng ý, có 3 lí do:
- một IP được sử dụng để DDoS không phải là do chủ nhân IP đó muốn, mà là do thiết bị sử dụng IP đó đã trở thành zombie. Nếu IP đó bị ban, thì lại nảy sinh một vấn đề DoS mới, mà anh tưởng tượng giả sử một botnet khoảng 100000 máy bị dùng làm DDoS, mà nếu ban IP của 100000 máy đó thì không phải là DoS trên diện rộng sao.
- nếu IP spoofing vẫn còn tồn tại, làm sao tìm ra chính xác 100000 máy trong botnet để ban IP
- kể cả tìm ra được, ai sẽ thực hiện việc ban IP? ISP chăng? Tier 3, tier 2, hay tier 1 chăng? Họ được lợi gì trong việc đó?
- Nếu chủ nhân không muốn tham gia DDoS và là nạn nhân thì trước tiên chỉ có mỗi "nạn nhân" ấy bị block thay vì hàng loạt người bị block như tình trạng hiện nay. Cái này giúp giảm thiểu "từ chối dịch vụ" do chính biện pháp ban. Nếu 100000 static IPv6 IP bị ban thì chỉ 100000 IP đó bị ban thay vì 100000 x 10 hoặc x 100 bị ban như IPv4 hiện nay thì vẫn tốt hơn.
- IP Spoofing không tồn tại với IPv6 được.
- Người bị DDoS (chủ máy, chủ hệ thống) ban chớ chẳng có ISP nào ban cả. Người bị DDoS có trọn quyền cho phép hoặc ban bất cứ nguồn IP nào vi phạm. Nếu "nạn nhân" bị ban vì chính máy mình là zombie thì người bị ban phải có trách nhiệm tự xoá zombie, tự phục hồi để không bị ban.
Hãy xét ở góc độ "adaptive firewall" có khả năng tiếp tục ban một IP cho đến khi nào IP đó không còn tấn công với tính chất là một zombie. Như HVA hiện tại chẳng hạn, nếu một IP nào đó liên tục và dồn dập gởi quá giới hạn số requests trong vòng một khoảng thời gian (ngắn) thì nó bị ban. Quy chế ban có nhiều cấp độ khác nhau.
Ví dụ, nếu IP gởi cùng 5 requests đến /hvaonline/forums/list.html mà có User-Agent y hệt nhau trong vòng 10 giây thì drop request thứ 6 nhưng không block IP đó. Nếu tình trạng này tiếp tục thì tiếp tục drop requests. Nếu sau một khoảng thời gian hoặc sau một số lượng đếm nhất định nào đó thì ra lệnh cho firewall block IP này. Tuy nhiên, việc block IP sẽ không phải là block vĩnh viễn mà cứ sau bao nhiêu giây hoặc bao nhiêu phút kiểm tra và thấy IP ấy vẫn tiếp tục "dội bom" thì tiếp tục block nhưng nếu nó quay về tầng số truy cập như một người bình thường thì không block nó nữa. Nếu cũng cùng 1 IP nhưng có nhiều User-Agents khác nhau thì nới rộng giới hạn drop và block ra vì xem đó là 1 IP (proxy hoặc nat) có nhiều người dùng nhưng đến một lúc nào đó vẫn phải block vì nó đi quá giới hạn cho phép.
Bởi vậy, với IPv6 và với hoàn toàn static IP thì block một IP (theo cơ chế đã giải thích ở trên) vẫn tốt hơn là block 1 IPv4 IP.
Hi anh conmale,
Anh cho em hỏi theo anh thì cơ chế "bắt tay" phải thay đổi như thế nào thì các dạng flood bằng TCP, UDP và ICMP mới có thể được ngăn chặn được ? Thanks anh
-rickb
|
|
|
|
|
[Discussion] Chủ đề: DDoS đi về đâu? |
08/07/2012 01:19:25 (+0700) | #17 | 266381 |
StarGhost
Elite Member
|
0 |
|
|
Joined: 29/03/2005 20:34:22
Messages: 662
Location: The Queen
Offline
|
|
conmale wrote:
Mình đang nói đến điểm mạnh và yếu của giao thức mà. Mình chưa bàn đến băng thông.
Nói về khả năng chống DDoS của IPv6, hay nói đúng hơn là của IPSec, nhận định của em là như sau:
- Giống như TCP SYN flood, IKEv2 hoàn toàn có thể bị DDoS bằng cách tương tự với các kết nối half-open từ fake(forged) IP.
- Cả TCP và IKEv2 đều hỗ trợ cookie, chỉ riêng điểm này đã nói lên vấn đề với IKEv2
- IKEv2 tệ hơn TCP ở chỗ, khi không hỗ trợ cookie, IKEv2 cần nhiều computing power hơn để xử lý half-open connections, vì nó phải giải mã packet.
- Cả TCP và IPSec đều chống được IP spoofing/forging cho các layer cao hơn nó.
- IPSec có lợi thế hơn TCP ở chỗ nó hoạt động ở IP layer, còn TCP ở tầng cao hơn, và vì thế quá trình bóc tách headers cho mỗi packet cũng ít hơn 1 lần.
- Tuy nhiên, với các kiểu DDoS giả dạng flash crowds, TCP chắc là "sống khoẻ" hơn IPSec nhiều vì nó không đòi hỏi encryption và integrity check.
Từ đó, em nghi ngờ về nhận định rằng với việc IPv6 được sử dụng đại trà, tình trạng và hậu quả của DDoS sẽ được cải thiện.
conmale wrote:
Chuyện DDoS thì không bao giờ có thể triệt tiêu hoàn toàn được. Chỉ có thể giảm thiểu.
Đây là vì anh chỉ đứng dưới góc độ của end systems nên mới có nhận định như thế. Cái em muốn thảo luận là về các đặc điểm của một mô hình lí tưởng mà ở đó có thể (chỉ là ví dụ) botnets vẫn tồn tại, nhưng mà dùng nó đi tấn công bất cứ hệ thống nào, dù nhỏ dù lớn, dùng bất cứ phương pháp gì (kể cả bandwidth DDoS) cũng không còn nhiều tác dụng (ví dụ: bị dập tắt chỉ sau 5-10 phút). Bối cảnh đó khác hoàn toàn với tình trạng "sống chung với lũ" và "mạnh ai nấy lo" hiện nay. |
|
Mind your thought. |
|
|
|
[Discussion] Chủ đề: DDoS đi về đâu? |
08/07/2012 15:46:22 (+0700) | #18 | 266413 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
rickb wrote:
Hi anh conmale,
Anh cho em hỏi theo anh thì cơ chế "bắt tay" phải thay đổi như thế nào thì các dạng flood bằng TCP, UDP và ICMP mới có thể được ngăn chặn được ? Thanks anh
-rickb
Anh thấy việc thay đổi cơ chế bắt tay thế nào cũng không thể ngăn chặn flood được. Dạng đơn giản nhất là SYN Flood, có nghĩa mỗi packet đi vào để đòi hỏi SYN đều hợp lệ ở góc độ giao thức. Syn Flood chỉ không hợp lệ ở góc độ tầng số tạo SYN (số SYN packets đi từ 1 IP trong một khoảng thời gian nào đó).
Ngay cả SYN-ACK hoặc ACK cũng có thể dùng để flood và chuyện firewall hay máy chủ có discard những gói tin ấy hay không thì cũng đã bị... flood rồi.
Nói cho cùng, chỉ có thể giảm thiểu flood sau khi số lượng packets đã đến đích và dựa trên số lượng packets này mới có thể xếp loại chúng hợp lệ hay không hợp lệ. Cái này nằm bên ngoài phạm trù giao thức rồi. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Discussion] Chủ đề: DDoS đi về đâu? |
08/07/2012 15:57:38 (+0700) | #19 | 266414 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
StarGhost wrote:
conmale wrote:
Mình đang nói đến điểm mạnh và yếu của giao thức mà. Mình chưa bàn đến băng thông.
Nói về khả năng chống DDoS của IPv6, hay nói đúng hơn là của IPSec, nhận định của em là như sau:
- Giống như TCP SYN flood, IKEv2 hoàn toàn có thể bị DDoS bằng cách tương tự với các kết nối half-open từ fake(forged) IP.
- Cả TCP và IKEv2 đều hỗ trợ cookie, chỉ riêng điểm này đã nói lên vấn đề với IKEv2
- IKEv2 tệ hơn TCP ở chỗ, khi không hỗ trợ cookie, IKEv2 cần nhiều computing power hơn để xử lý half-open connections, vì nó phải giải mã packet.
- Cả TCP và IPSec đều chống được IP spoofing/forging cho các layer cao hơn nó.
- IPSec có lợi thế hơn TCP ở chỗ nó hoạt động ở IP layer, còn TCP ở tầng cao hơn, và vì thế quá trình bóc tách headers cho mỗi packet cũng ít hơn 1 lần.
- Tuy nhiên, với các kiểu DDoS giả dạng flash crowds, TCP chắc là "sống khoẻ" hơn IPSec nhiều vì nó không đòi hỏi encryption và integrity check.
Từ đó, em nghi ngờ về nhận định rằng với việc IPv6 được sử dụng đại trà, tình trạng và hậu quả của DDoS sẽ được cải thiện.
Cái này anh vừa phân tích tổng quát ở trên (trả lời rickb).
Riêng phần xử lý đòi hỏi CPU thì đó là chuyện không thể tránh khỏi đối với IPSec vì đây là 1 phần của hoạt động của giao thức. So với thời IPv4 ra đời, khi CPU quá yếu, quá đơn giản đến bây giờ thì việc thêm CPU để xử lý packets trên các hệ thống máy con hiện thời là một tỉ lệ cực nhỏ.
StarGhost wrote:
conmale wrote:
Chuyện DDoS thì không bao giờ có thể triệt tiêu hoàn toàn được. Chỉ có thể giảm thiểu.
Đây là vì anh chỉ đứng dưới góc độ của end systems nên mới có nhận định như thế. Cái em muốn thảo luận là về các đặc điểm của một mô hình lí tưởng mà ở đó có thể (chỉ là ví dụ) botnets vẫn tồn tại, nhưng mà dùng nó đi tấn công bất cứ hệ thống nào, dù nhỏ dù lớn, dùng bất cứ phương pháp gì (kể cả bandwidth DDoS) cũng không còn nhiều tác dụng (ví dụ: bị dập tắt chỉ sau 5-10 phút). Bối cảnh đó khác hoàn toàn với tình trạng "sống chung với lũ" và "mạnh ai nấy lo" hiện nay.
Theo anh thấy, việc xác định máy con bị biến thành zombie dựa trên static IPv6 để điều tra và loại bỏ botnet là việc dễ dàng hơn IPv4 rất nhiều. Ngoài chuyện block chỉ mỗi static IPv6, việc nhận diện client đó để lấy mẫu mã phân tích (nếu xét ở góc độ phân tích malware năng động) thì dễ hơn. Dù gì đi chăng nữa, có block hay không, block chậm hay block liền thì vẫn bị dính DDoS trong một khoảng thời gian nào đó.
Riêng phần băng thông thì băng thông sẽ gia tăng theo thời gian và theo đó, DDoS cũng sẽ gia tăng mức độ tỉ lệ thuận. So với hồi HVA bị x-flash khoảng 5, 7 năm trước với bây giờ thì đúng là trò con nít bởi vì khi ấy, với một đường DSL 5Mbit ở Nhật cũng ráng chống chọi với x-flash. Trong khi đó, gần đây HVA bị những nguồn DDoS khiến cho gần như bão hoà 3 nodes có tổng số hơn 2Gbit thì cũng đủ thấy sự khác biệt đến dường nào. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Discussion] Chủ đề: DDoS đi về đâu? |
09/07/2012 06:19:54 (+0700) | #20 | 266432 |
riverspart
Member
|
0 |
|
|
Joined: 31/08/2011 08:09:54
Messages: 3
Offline
|
|
Theo như vậy thì có vẻ như cái static IP của IPv6 là lợi thế chính trong chống DDoS vậy?? Vì có thể vạch mặt được kẻ trực tiếp cầm dao. Vẫn là tư tưởng lấy cái rộng để chống cái đông đây muh |
|
|
|
|
[Discussion] Chủ đề: DDoS đi về đâu? |
10/07/2012 22:23:02 (+0700) | #21 | 266548 |
|
K4i
Moderator
|
Joined: 18/04/2006 09:32:13
Messages: 635
Location: Underground
Offline
|
|
Với mức phát triển hiện nay của Cloud Computing với những nhà cung cấp dịch vụ IaaS như Amazon (sắp tới là Google) hay các dịch vụ CDN như Amakai và Cloudflare thì liệu chúng ta có thêm giải pháp hay không?
Mình có quote lại đây ý tưởng của anh conmale trên FB
Mình chỉ cần tạo 1 nhóm VPS, không cần nhiều CPU, RAM, chỉ cần nhiều băng thông và mỗi cái làm một reverse proxy. Reverse proxy này được iptables bảo vệ ở tầng IP và chính nó được áp dụng mod_security để giới hạn inbound requests. Cái chính là để chẻ nhỏ các requests đi vào (nhằm tránh quá nhiều traffic dồn vào một server).
Để đưa ra một kịch bản như sau:
Khi luồng traffic DDoS đi vào foo.com đạt đến ngưỡng của hệ thống (sau khi iptables, caching tá lả không còn ăn thua nữa) thì ngay lập tức một hệ thống giám sát (nôm na gọi tên như vậy) sẽ tự động tạo một loạt các máy ảo trên cloud của amazon tại các vùng DC khác nhau, apply các cấu hình định trước để thành các máy chủ reverse proxy bổ sung cho foo.com. Lượng máy ảo tắt bật sẽ lần lượt được thêm giảm tuỳ thuộc vào luồng traffic đi vào.[1]
Liệu đây có phải là một giải pháp tốt về mặt kĩ thuật?
PS: vấn đề duy nhất là về tài chính (cái bill thanh toán thì cực kì khủng khiếp) .
[1]: giải pháp này về mặt kĩ thuật là hoàn toàn khả thi với những công cụ sẵn có hiện tại như Puppet/Fabric/Capistriano), Amazon AWS API, DNS Round Robin, Varnish/HAProxy,... |
|
Sống là để không chết chứ không phải để trở thành anh hùng |
|
|
|
[Discussion] Chủ đề: DDoS đi về đâu? |
10/07/2012 22:41:52 (+0700) | #22 | 266552 |
|
K4i
Moderator
|
Joined: 18/04/2006 09:32:13
Messages: 635
Location: Underground
Offline
|
|
Mình thêm đoạn này của từ blog của Anton Chuvankin
So, at the very least your DoS defense responsibility is shared with your Internet Service Provider (ISP). In other cases, it is shared with your cloud provider. Or, it can me shared with a Content Delivery Network (CDN) or other entity. In essence, these are the scenarios of DoS protection sharing:
Your organization + your ISP (they can mitigate the attack when a network pipe from you to them is full; in most cases you’d need to detect it first though)
Your organization + your cloud provider (do you realize that if you use SaaS to achieve a particular business function, such function can be denied by a) DoS’ing your network, b) DoS’ing your provider [or: DoS’ing them enough so that they drop you as a customer…] or c)DoS’ing your link to them)
Your organization + your CDN (if you accelerate your web presence by using a CDN, they become an inherent part of your DoS defense arsenal)
Your organization + specialty anti-DoS provider (and, yes, if your anti-DoS provider is itself DoS’d, you are ..ahem…”denied your anti-DoS service” … ironic,isn’t it?)
Thus, DoS defense requires sharing. As I pointed out, it is likely that we will be sharing more than just bandwidth for doing many security things in the coming years…
|
|
Sống là để không chết chứ không phải để trở thành anh hùng |
|
|
|
[Discussion] Chủ đề: DDoS đi về đâu? |
12/07/2012 13:57:07 (+0700) | #23 | 266636 |
IT0405
Member
|
0 |
|
|
Joined: 06/07/2012 07:40:28
Messages: 33
Offline
|
|
Phân loại thì theo mình có thể phân loại theo : Kỹ thuật được áp dụng, quy mô cuộc tấn công, mục đích cuộc tấn công, phong cách triển khai, đối tượng nạn nhân (critical infrastructure, e-commerce, ... etc) |
|
Dạo này có nhiều vụ hài quá, toàn gặp võ sĩ mồm. |
|
Users currently in here |
1 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|