banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Server bị tấn công mà không biết khắc phục thế nào.  XML
  [Question]   Server bị tấn công mà không biết khắc phục thế nào. 27/05/2013 23:55:52 (+0700) | #1 | 276038
1412luv
Member

[Minus]    0    [Plus]
Joined: 07/05/2009 01:23:22
Messages: 45
Offline
[Profile] [PM]
Chào mọi người. Hiện tại Server e đang chạy Game Online, mới Public được 2 ngày thì đã bị tấn công ngay và đã bị 3 ngày nay rồi

E dùng window 2008 Trên Server chỉ sử dụng các services sau :
- IIS, MSSQL, FTP
- Line 100Mbps FPT. Server và RAM ko có dấu hiệu tăng, chỉ thấy Network 100% và không thể kết nối được vào WEB cũng như Remote

Kiểm tra Log IIS vẫn như ngày thường, ko có đột biến, FTP cũng vậy.





[Up] [Print Copy]
  [Question]   Server bị tấn công mà không biết khắc phục thế nào. 28/05/2013 12:06:31 (+0700) | #2 | 276047
[Avatar]
PETER
Member

[Minus]    0    [Plus]
Joined: 14/10/2005 03:53:19
Messages: 39
Offline
[Profile] [PM] [WWW]
Server + web game của bạn mới mở kèm theo đoạn logs không có dấu hiệu hay lý do gì của việc "tấn công" cả, theo suy đoán của PETER, bạn mở ra web game, bạn đặt quảng cáo hoặc mua traffic để quảng bá nó trong khi network chịu không nổi, bạn đặt colo ở đâu thế? Nếu server đang đặt ở nhà riêng hoặc công ty thì nên mang tới VDC hoặc FPT đặt, còn nếu đang đặt colo ở 1 datacenter nào đó rồi thì bạn nên kiểm tra lại card mạng.
[Up] [Print Copy]
  [Question]   Server bị tấn công mà không biết khắc phục thế nào. 28/05/2013 13:02:42 (+0700) | #3 | 276049
1412luv
Member

[Minus]    0    [Plus]
Joined: 07/05/2009 01:23:22
Messages: 45
Offline
[Profile] [PM]
Cảm ơn bạn đã quan tâm bài của mình. Server mình đặt tại FPT line 100Mbps, và về Card mạng thì ý bạn là kiểm tra gì??? Hacker vẫn đang tiếp tục tấn công, Mình không hiểu nổi hắn đánh vào đâu nữa nên mới nhờ mọi người cho 1 hướng đi smilie
[Up] [Print Copy]
  [Question]   Server bị tấn công mà không biết khắc phục thế nào. 29/05/2013 16:40:09 (+0700) | #4 | 276103
1412luv
Member

[Minus]    0    [Plus]
Joined: 07/05/2009 01:23:22
Messages: 45
Offline
[Profile] [PM]
Em đã up thêm Log. mọi người xem qua giúp với ạ.

// Kiểm tra Log SQL có khoảng 50k request đến qua phương thức brute force smilie
[Up] [Print Copy]
  [Question]   Server bị tấn công mà không biết khắc phục thế nào. 29/05/2013 18:09:42 (+0700) | #5 | 276105
1412luv
Member

[Minus]    0    [Plus]
Joined: 07/05/2009 01:23:22
Messages: 45
Offline
[Profile] [PM]
Search UDP black jack ra tools wipfw nhưng cài thì ngỏm luôn 2 2 sv rồi. lại phải chạy qua data remove. hix '

bác nào chỉ e cách chống thằng blackjack này với
[Up] [Print Copy]
  [Question]   Server bị tấn công mà không biết khắc phục thế nào. 31/05/2013 23:09:00 (+0700) | #6 | 276180
myquartz
Member

[Minus]    0    [Plus]
Joined: 04/01/2005 04:58:30
Messages: 563
Offline
[Profile] [PM]
Cái UDP port 3389 đó, không hiểu có phải là port game của bạn chạy thì mở ra không.
Thấy gói tin UDP cũng nhỏ, chỉ là 360 bytes so với max là 1500 thì chỉ là 20%, mình đoán đây không phải là tấn công mà có khi chính game của bạn đang có nhiều người chơi.
Và tốc độ mạng 100mb/s = 11mbyte/s ~ 11,000,000/360 ~ 31 ngàn gói UDP/s. Đây là con số khá lớn và mình nghĩ rằng không ai đi flood tốc độ đó, không thể lụt network 100mb được.

Tất nhiên có thể flood UDP làm lụt được 100mb, với điều kiện gửi gói 1500byte (to gấp 5 lần) và đủ năng lực gửi 31000/5 ~ 6000 packet/s là lụt. Nhưng cái này cũng khó (flooder phải huy động ít nhất là 5 kênh FTTH 20mbit/kênh mới đủ nhé).
Nếu lụt mạng thật, xin FPT tăng cổng mạng lên 1Gbit/s xem flooder còn đủ sức tăng 10 lần để lụt được không.

Có thể có nhiều cái khác nữa mà đoạn chụp màn hình trên chưa đủ hiện lên, bạn chạy wireshark, capture trong vòng 1 phút rồi stop. rồi vào menu Statistics => Summary => chụp màn hình gửi => thông tin chung về số gói và tốc độ mạng đang chịu.
Vào cả menu Statistics => Protocol Hierarchy => chụp màn hình gửi. Nó có nhiều thông tin hơn chỉ rõ protocol nào đang bị "lụt".

P/S: Lưu ý rằng dù có firewall cài trên host (ở máy server) chặn đủ kiểu, không có khả năng ngăn chặn lụt traffic inbound (như nhiều bạn vẫn lầm tưởng). Lý do là nó lụt ở dây mạng nối vào cổng mạng server, trước khi tới OS/firewall chặn => FW chả có tác dụng gì nữa.
[Up] [Print Copy]
  [Question]   Server bị tấn công mà không biết khắc phục thế nào. 31/05/2013 23:47:13 (+0700) | #7 | 276183
quan_pc
Member

[Minus]    0    [Plus]
Joined: 09/07/2011 10:20:04
Messages: 3
Offline
[Profile] [PM]
server game có 100Mbps thì được mấy người chơi???? bạn thử cho lên 1Gbp lun đi
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|