English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Liên tục bị tấn công SYN FLOOD và DNS Ampli DDoS  XML
  [Question]   Liên tục bị tấn công SYN FLOOD và DNS Ampli DDoS 22/07/2013 01:15:19 (+0700) | #1 | 277634
cacthanh123
Member
[Minus]    0    [Plus]
Joined: 03/08/2009 23:28:51
Messages: 7
Offline
[Profile] [PM]
Hello các bạn

Server mình dạo này thường xuyên bị ddos, attacker có 2 kiểu ddos như sau :

Mình dùng tcpdump, mình dùng Linux server, file pcap mình open trên windows

Loại thứ 1 : SYN FLOOD

http://i.upanh.com/vpvtsn

File capture package : http://www.mediafire.com/download/09dy34d9y99adk4/ddos-servervn.pcap

Tình trạng : SSH vẫn truy cập bình thường, nhưng apache port 80 bị treo dẫn đến toàn bộ website không tải được.

Kiểm tra trạng thái kết nối, mình thấy thế này :

5 ESTABLISHED
1 FIN_WAIT2
3 LISTEN
5 TIME_WAIT
300 SYN_RECV

Dùng CSF enable SYNFLOOD giới hạn lại cũng chẳng ăn thua

Loại thứ 2 : DNS Ampli DDoS

http://i.upanh.com/vpvtsd

File dump : http://www.mediafire.com/?ptdl4qifm9etdxc

Loại này kinh khủng quá, nó ddos vào là server die liền, ko kịp ngáp, OFF mạng của Dedicated, dùng KVM remote vào, lệnh #iptraf, thấy TCP bình thường, nhưng UDP chạy chóng mặt, card mạng mình max là 100mbps, nó ddos vào 15s là lên đến 99mbps, server die ngay lập tức, không thể SSH, chỉ có thể ngồi tại phòng server mà gõ terminal.

Nếu cần mình sẽ attack file pcap dump đc khi bị ddos lên cho các bạn xem và dễ hình dung nhé.

Mong các bạn hỗ trợ mình, vì ngày nào mình cũng chịu ít nhất là 2 giờ bị ddos, không biết làm sao để thoát nạn cả. smilie

Cảm ơn các bạn đã quan tâm.
[Up] [Print Copy]
  [Question]   Liên tục bị tấn công SYN FLOOD và DNS Ampli DDoS 22/07/2013 21:16:21 (+0700) | #2 | 277655
o0o_nohssiw_o0o
Member
[Minus]    0    [Plus]
Joined: 02/05/2009 02:49:04
Messages: 12
Offline
[Profile] [PM]
Về chống SYN FLOOD thì có khá nhiều rồi em thấy có cái này là hữu hiệu nhất (với DoS,DDoS em không có kinh nghiệm):

Code:
iptables -I INPUT -p tcp --syn --dport 80 -m limit --limit 5/s --limit-burst 3 -j DROP

Điều chỉnh /etc/sysctl.conf và thêm mấy dòng:
net.netfilter.nf_conntrack_tcp_timeout_syn_sent = 30
net.netfilter.nf_conntrack_tcp_timeout_syn_recv = 5
net.ipv4.tcp_syn_retries = 5
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_fin_timeout = 10


cái file pcap của bác sao bắt kiểu gì mà source port cái nào cũng là 1234 vậy. Nếu mà đúng như vậy thì drop gói tin có source là port này là được.

p/s: hóng hớt tý kiếm kinh nghiệm thôi, en newbie mà smilie ,chúc bác sớm giải quyết được.

[Up] [Print Copy]
  [Question]   Liên tục bị tấn công SYN FLOOD và DNS Ampli DDoS 23/07/2013 00:23:35 (+0700) | #3 | 277660
[Avatar]
 xnohat
Moderator
Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]

cacthanh123 wrote:
Hello các bạn

Server mình dạo này thường xuyên bị ddos, attacker có 2 kiểu ddos như sau :

Mình dùng tcpdump, mình dùng Linux server, file pcap mình open trên windows

Loại thứ 1 : SYN FLOOD

http://i.upanh.com/vpvtsn

File capture package : http://www.mediafire.com/download/09dy34d9y99adk4/ddos-servervn.pcap

Tình trạng : SSH vẫn truy cập bình thường, nhưng apache port 80 bị treo dẫn đến toàn bộ website không tải được.

Kiểm tra trạng thái kết nối, mình thấy thế này :

5 ESTABLISHED
1 FIN_WAIT2
3 LISTEN
5 TIME_WAIT
300 SYN_RECV

Dùng CSF enable SYNFLOOD giới hạn lại cũng chẳng ăn thua

Loại thứ 2 : DNS Ampli DDoS

http://i.upanh.com/vpvtsd

File dump : http://www.mediafire.com/?ptdl4qifm9etdxc

Loại này kinh khủng quá, nó ddos vào là server die liền, ko kịp ngáp, OFF mạng của Dedicated, dùng KVM remote vào, lệnh #iptraf, thấy TCP bình thường, nhưng UDP chạy chóng mặt, card mạng mình max là 100mbps, nó ddos vào 15s là lên đến 99mbps, server die ngay lập tức, không thể SSH, chỉ có thể ngồi tại phòng server mà gõ terminal.

Nếu cần mình sẽ attack file pcap dump đc khi bị ddos lên cho các bạn xem và dễ hình dung nhé.

Mong các bạn hỗ trợ mình, vì ngày nào mình cũng chịu ít nhất là 2 giờ bị ddos, không biết làm sao để thoát nạn cả. smilie

Cảm ơn các bạn đã quan tâm. 


Hi bồ,

Về syn flood thì bồ cản lọc dựa trên phân tích tần suất syn packet trong file dump của bồ

Về DNS amplify DDoS thì bồ có 2 thứ cần làm
1. Liên hệ Datacenter yêu cầu filter từ router biên các kết nối UDP không cần thiết ( dựa trên phân tích file dump của bồ )

2. Phân tải cho server bằng việc tăng các reverse proxy, ở trường hợp của bồ tăng thêm 2 cái nằm ở 2 DC với 2 ISP internet khác nhau là ổn

Tham khảo thêm:
/hvaonline/posts/list/44934.html
/hvaonline/posts/list/44935.html

iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|