banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Những thảo luận khác Báo VietNamNet tiếp tục bị tấn công.  XML
  [Announcement]   Báo VietNamNet tiếp tục bị tấn công. 20/01/2011 12:34:49 (+0700) | #61 | 229892
[Avatar]
holiganvn
Member

[Minus]    0    [Plus]
Joined: 08/05/2009 19:29:45
Messages: 370
Location: Cố Đô Huế
Offline
[Profile] [PM]

Ikut3 wrote:

Dạo thời gian 2 tuần trở lại đây 2sao được đưa sang 1 máy chủ khác và hoạt động cũng chập chờn không kém. Theo thông báo của ban biên tập 2sao là chỉ các user sử dụng dịch vụ của ISP FPT vào không được và mất ổn định. Đối với các ISP khác thì 2 sao hoạt động bình thường
 


Hiện giờ,ai đang dùng mạng FPT đã vào 2sao bình thường rồi.
HaCk t0 LeArN,N0t LeArN t0 HaCk
[Up] [Print Copy]
  [Announcement]   Báo VietNamNet tiếp tục bị tấn công. 20/01/2011 13:25:55 (+0700) | #62 | 229897
[Avatar]
H3x4
Member

[Minus]    0    [Plus]
Joined: 02/04/2009 00:03:16
Messages: 242
Offline
[Profile] [PM]
Thanks anh conmale vì đã bỏ công ra phân tích hết sức cụ thể và thuyết phục.
Và em cũng có một số thắc mắc sau:
Theo như những gì anh đã đưa ra thì dường như vietnamnet không có biện pháp gì hữu hiệu để chống lại DDoS ( hay nói cách khác là đưa lưng ra ăn đấm)??
Em thử đưa 1 url sai vào trình duyệt (vietnamnet.vn/abc) thì nhận được kết quả là một cái IIS.
Trong trường hợp vnn sử dụng windows server và IIS thì có cách nào ngăn chặn DDOS hiệu quả không?
Em cũng có đọc qua một số giải pháp cho việc chống DDoS và cũng thấy 1 số cái khá hay thí dụ như:
http://blog.unixy.net/2010/08/the-penultimate-guide-to-stopping-a-ddos-attack-a-new-approach/

Mọi người có thể cùng đọc qua và thảo luận xem giả sử áp dụng giải pháp này cho vnn thì liệu có stop được DDOS kiểu này không?
[Up] [Print Copy]
  [Announcement]   Báo VietNamNet tiếp tục bị tấn công. 20/01/2011 13:56:30 (+0700) | #63 | 229899
[Avatar]
chandoidibui
Member

[Minus]    0    [Plus]
Joined: 10/08/2006 12:41:52
Messages: 2
Offline
[Profile] [PM]
Các forum hay sử dụng 1 trang đệm trứoc khi vào trang chính để chống DDOS, sao VNN ko dùng nhỉ?
Wing of Liberty...
[Up] [Print Copy]
  [Announcement]   Báo VietNamNet tiếp tục bị tấn công. 20/01/2011 14:20:31 (+0700) | #64 | 229900
[Avatar]
chandoidibui
Member

[Minus]    0    [Plus]
Joined: 10/08/2006 12:41:52
Messages: 2
Offline
[Profile] [PM]
À sorry commanle đã giải thích trong page 3, admin VNN đã cho điều hướng sang 1 trang index nhưng KQ vẫn ko ổn thì phải.

Cách làm mà Commale gợi ý cho VNN (chặn packet có rate time <5ms) ko bít các bạn VNN có định thử ko nhỉ.

Sáng nay và tới giờ, mọi truy cập vào VNN vẫn rất tốt.
Wing of Liberty...
[Up] [Print Copy]
  [Announcement]   Báo VietNamNet tiếp tục bị tấn công. 20/01/2011 15:18:43 (+0700) | #65 | 229903
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

H3x4 wrote:
Thanks anh conmale vì đã bỏ công ra phân tích hết sức cụ thể và thuyết phục.
Và em cũng có một số thắc mắc sau:
Theo như những gì anh đã đưa ra thì dường như vietnamnet không có biện pháp gì hữu hiệu để chống lại DDoS ( hay nói cách khác là đưa lưng ra ăn đấm)??
Em thử đưa 1 url sai vào trình duyệt (vietnamnet.vn/abc) thì nhận được kết quả là một cái IIS.
Trong trường hợp vnn sử dụng windows server và IIS thì có cách nào ngăn chặn DDOS hiệu quả không?
 

Theo kinh nghiệm cá nhân anh, Windows 2003 có những điểm cải thiện trên tcp/ip stack và đặc biệt trên IIS6 có khái niệm "connection pool" và cho phép bao nhiêu % tài nguyên dành cho các "pool" này. Đây là biện pháp giới hạn tài nguyên nhằm duy trì sự tồn tại của máy chủ. Tuy nhiên, khi bị DDoS và khi đụng phải giới hạn tài nguyên cho phép thì dịch vụ web của IIS sẽ hoàn toàn tắt nghẽn. Anh không rõ Windows 2008 như thế nào nên không thể ý kiến. Nói chung, anh thấy Windows server có khả năng chịu đựng DDoS kém hơn UNIX nói chung vì các thông số cho phép "tune" trên kernel và tcp/ip stack rất giới hạn.

H3x4 wrote:

Em cũng có đọc qua một số giải pháp cho việc chống DDoS và cũng thấy 1 số cái khá hay thí dụ như:
http://blog.unixy.net/2010/08/the-penultimate-guide-to-stopping-a-ddos-attack-a-new-approach/

Mọi người có thể cùng đọc qua và thảo luận xem giả sử áp dụng giải pháp này cho vnn thì liệu có stop được DDOS kiểu này không?
 

Đây là giải pháp anh đã từng dùng cho HVA (2 nodes trong cái "constellation" thay vì nhiều nodes như bài viết) và anh dùng Apache "worker" (thread thay vì process như prefork) làm proxy thay vì Nginx nhưng nguyên tắc căn bản thì như nhau. Tất nhiên biện pháp "chẻ" nguồn tấn công ra thành nhiều nhánh nhỏ để chịu đựng là biện pháp hữu lý và logical nhất. Giá trị quan trọng của bài viết trên là việc vận dụng VM có giá trị kinh tế (đỡ tốn kém). Chi tiết kỹ thuật trong bài viết không nhiều, đặc biệt chức năng limit_reg và limit_rate của nginx và những kernel parameters quan trọng cho việc đối phó vời DDoS. Ngoài ra, nếu chạy trên Linux thì có những netfilter modules và những iptable rules quan trọng nhằm kiểm soát DDoS.

Thật ra chống đỡ DDoS rất khó. Mình phải theo dõi, phân tích và tách rời những tính chất đặc thù của dạng DDoS đang tấn công mình càng cụ thể càng tốt thì mới có biện phải khả dĩ. Gia tăng tài nguyên là điều tối quan trọng và hình thành biện pháp cản lọc cụ thể cũng quan trọng không kém.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Announcement]   Báo VietNamNet tiếp tục bị tấn công. 20/01/2011 15:20:08 (+0700) | #66 | 229905
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

chandoidibui wrote:
Các forum hay sử dụng 1 trang đệm trứoc khi vào trang chính để chống DDOS, sao VNN ko dùng nhỉ? 


"Trang đệm" như các forum dùng chỉ có thể đỡ những dạng DDoS có cường độ nhỏ mà thôi. Gặp phải 20 ngàn IP trở lên thì những "trang đệm" như trên vô ích.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Announcement]   Báo VietNamNet tiếp tục bị tấn công. 20/01/2011 15:21:52 (+0700) | #67 | 229906
nguoididingoaipho
Member

[Minus]    0    [Plus]
Joined: 10/12/2007 00:44:11
Messages: 90
Offline
[Profile] [PM]

conmale wrote:


Trên thực tế, ngay trong tình trạng "slashdot" (có nghĩa là có số lượng người dùng hoàn toàn hợp lệ) cùng duyệt vnn quá nhiều đi chăng nữa, không thể có tình trạng 300 ngàn IP cùng ập vô 1 lượt bởi vì người dùng bình thường duyệt và đọc. Bởi vậy, request rate (cho mỗi giây hoặc mỗi phút) đi từ mỗi IP rất thấp (ví dụ, không thể có chuyện người đọc bài báo nhanh đến độ cứ mỗi 5 giây đọc hết 1 trang được). Từ logic này mới hình thành ra cái gọi là: packet rate. Packet rate này là thước đo gần như trung thực cho nhu cầu đọc báo của những độc giả (là con người) và những gì đi quá packet rate thì tạm coi là bất hợp lệ. Nếu vậy, giả sử packet rate được xem hợp lý là 5 giây / 1 request (chẳng hạn) và mỗi IP trong 300 ngàn IP có người bấm, có người đọc, có người không bấm trong 10 phút...v...v... thì tính ra 300000 / 5 giây cũng chỉ mới có 60 ngàn IP cùng gởi request 1 lúc. Số còn lại (240 ngàn IP) có thể thuộc dạng zombie và có thể được triệt tiêu. Nói một cách khác, bất cứ IP nào gởi quá 1 packet trong 5 giây và tình trạng này kéo dài liên tục trong 60 giây thì đó chính là "chàng DDoS" chớ không chạy đi đâu được hết.
 

"Bạn có thể đọc nhanh bằng tốc độ ánh sáng" của HVA đây phải ko bác smilie. Nhưng chắc phải thử nghiệm nhiều mới áp dụng. Chớ như VNN ăn chơi đến khi đụng chuyện thế này làm sao đủ tỉnh táo mà áp dụng cho mềm dẻo được.
Mà cái phương pháp này cũng ko làm người đọc hợp pháp dể chịu cho lắm.
Công Lý là diễn viên hài bỏ vợ
[Up] [Print Copy]
  [Announcement]   Báo VietNamNet tiếp tục bị tấn công. 20/01/2011 15:27:57 (+0700) | #68 | 229910
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

nguoididingoaipho wrote:

conmale wrote:


Trên thực tế, ngay trong tình trạng "slashdot" (có nghĩa là có số lượng người dùng hoàn toàn hợp lệ) cùng duyệt vnn quá nhiều đi chăng nữa, không thể có tình trạng 300 ngàn IP cùng ập vô 1 lượt bởi vì người dùng bình thường duyệt và đọc. Bởi vậy, request rate (cho mỗi giây hoặc mỗi phút) đi từ mỗi IP rất thấp (ví dụ, không thể có chuyện người đọc bài báo nhanh đến độ cứ mỗi 5 giây đọc hết 1 trang được). Từ logic này mới hình thành ra cái gọi là: packet rate. Packet rate này là thước đo gần như trung thực cho nhu cầu đọc báo của những độc giả (là con người) và những gì đi quá packet rate thì tạm coi là bất hợp lệ. Nếu vậy, giả sử packet rate được xem hợp lý là 5 giây / 1 request (chẳng hạn) và mỗi IP trong 300 ngàn IP có người bấm, có người đọc, có người không bấm trong 10 phút...v...v... thì tính ra 300000 / 5 giây cũng chỉ mới có 60 ngàn IP cùng gởi request 1 lúc. Số còn lại (240 ngàn IP) có thể thuộc dạng zombie và có thể được triệt tiêu. Nói một cách khác, bất cứ IP nào gởi quá 1 packet trong 5 giây và tình trạng này kéo dài liên tục trong 60 giây thì đó chính là "chàng DDoS" chớ không chạy đi đâu được hết.
 

"Bạn có thể đọc nhanh bằng tốc độ ánh sáng" của HVA đây phải ko bác smilie. Nhưng chắc phải thử nghiệm nhiều mới áp dụng. Chớ như VNN ăn chơi đến khi đụng chuyện thế này làm sao đủ tỉnh táo mà áp dụng cho mềm dẻo được.
Mà cái phương pháp này cũng ko làm người đọc hợp pháp dể chịu cho lắm.  


"Người đọc hợp pháp" mà chuyển từ link này sang link khác trong vòng vài giây thì trở thành "người đọc bất hợp pháp" mất rồi smilie.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Announcement]   Báo VietNamNet tiếp tục bị tấn công. 20/01/2011 15:40:25 (+0700) | #69 | 229912
nguoididingoaipho
Member

[Minus]    0    [Plus]
Joined: 10/12/2007 00:44:11
Messages: 90
Offline
[Profile] [PM]

conmale wrote:

nguoididingoaipho wrote:

conmale wrote:


Trên thực tế, ngay trong tình trạng "slashdot" (có nghĩa là có số lượng người dùng hoàn toàn hợp lệ) cùng duyệt vnn quá nhiều đi chăng nữa, không thể có tình trạng 300 ngàn IP cùng ập vô 1 lượt bởi vì người dùng bình thường duyệt và đọc. Bởi vậy, request rate (cho mỗi giây hoặc mỗi phút) đi từ mỗi IP rất thấp (ví dụ, không thể có chuyện người đọc bài báo nhanh đến độ cứ mỗi 5 giây đọc hết 1 trang được). Từ logic này mới hình thành ra cái gọi là: packet rate. Packet rate này là thước đo gần như trung thực cho nhu cầu đọc báo của những độc giả (là con người) và những gì đi quá packet rate thì tạm coi là bất hợp lệ. Nếu vậy, giả sử packet rate được xem hợp lý là 5 giây / 1 request (chẳng hạn) và mỗi IP trong 300 ngàn IP có người bấm, có người đọc, có người không bấm trong 10 phút...v...v... thì tính ra 300000 / 5 giây cũng chỉ mới có 60 ngàn IP cùng gởi request 1 lúc. Số còn lại (240 ngàn IP) có thể thuộc dạng zombie và có thể được triệt tiêu. Nói một cách khác, bất cứ IP nào gởi quá 1 packet trong 5 giây và tình trạng này kéo dài liên tục trong 60 giây thì đó chính là "chàng DDoS" chớ không chạy đi đâu được hết.
 

"Bạn có thể đọc nhanh bằng tốc độ ánh sáng" của HVA đây phải ko bác smilie. Nhưng chắc phải thử nghiệm nhiều mới áp dụng. Chớ như VNN ăn chơi đến khi đụng chuyện thế này làm sao đủ tỉnh táo mà áp dụng cho mềm dẻo được.
Mà cái phương pháp này cũng ko làm người đọc hợp pháp dể chịu cho lắm.  


"Người đọc hợp pháp" mà chuyển từ link này sang link khác trong vòng vài giây thì trở thành "người đọc bất hợp pháp" mất rồi smilie

Lý thuyết là như thế, nhưng thật sự đa số người đọc báo đều bấm liên tù tì, nên sẽ có rất nhiều người sẽ dính smilie. Nên áp dụng 1 cách mềm dẻo trong cho giải pháp này thì cần 1 thời gian theo dỏi, đánh giá và áp dụng, tránh gây phiền hà cho người đọc. Báo điện tử mà vào cứ thấy "Bạn có thể đọc nhanh bằng tốc độ ánh sáng" thì sao nhỉ smilie
Công Lý là diễn viên hài bỏ vợ
[Up] [Print Copy]
  [Announcement]   Báo VietNamNet tiếp tục bị tấn công. 20/01/2011 15:46:38 (+0700) | #70 | 229914
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

nguoididingoaipho wrote:

conmale wrote:

nguoididingoaipho wrote:

conmale wrote:


Trên thực tế, ngay trong tình trạng "slashdot" (có nghĩa là có số lượng người dùng hoàn toàn hợp lệ) cùng duyệt vnn quá nhiều đi chăng nữa, không thể có tình trạng 300 ngàn IP cùng ập vô 1 lượt bởi vì người dùng bình thường duyệt và đọc. Bởi vậy, request rate (cho mỗi giây hoặc mỗi phút) đi từ mỗi IP rất thấp (ví dụ, không thể có chuyện người đọc bài báo nhanh đến độ cứ mỗi 5 giây đọc hết 1 trang được). Từ logic này mới hình thành ra cái gọi là: packet rate. Packet rate này là thước đo gần như trung thực cho nhu cầu đọc báo của những độc giả (là con người) và những gì đi quá packet rate thì tạm coi là bất hợp lệ. Nếu vậy, giả sử packet rate được xem hợp lý là 5 giây / 1 request (chẳng hạn) và mỗi IP trong 300 ngàn IP có người bấm, có người đọc, có người không bấm trong 10 phút...v...v... thì tính ra 300000 / 5 giây cũng chỉ mới có 60 ngàn IP cùng gởi request 1 lúc. Số còn lại (240 ngàn IP) có thể thuộc dạng zombie và có thể được triệt tiêu. Nói một cách khác, bất cứ IP nào gởi quá 1 packet trong 5 giây và tình trạng này kéo dài liên tục trong 60 giây thì đó chính là "chàng DDoS" chớ không chạy đi đâu được hết.
 

"Bạn có thể đọc nhanh bằng tốc độ ánh sáng" của HVA đây phải ko bác smilie. Nhưng chắc phải thử nghiệm nhiều mới áp dụng. Chớ như VNN ăn chơi đến khi đụng chuyện thế này làm sao đủ tỉnh táo mà áp dụng cho mềm dẻo được.
Mà cái phương pháp này cũng ko làm người đọc hợp pháp dể chịu cho lắm.  


"Người đọc hợp pháp" mà chuyển từ link này sang link khác trong vòng vài giây thì trở thành "người đọc bất hợp pháp" mất rồi smilie

Lý thuyết là như thế, nhưng thật sự đa số người đọc báo đều bấm liên tù tì, nên sẽ có rất nhiều người sẽ dính smilie. Nên áp dụng 1 cách mềm dẻo trong cho giải pháp này thì cần 1 thời gian theo dỏi, đánh giá và áp dụng, tránh gây phiền hà cho người đọc. Báo điện tử mà vào cứ thấy "Bạn có thể đọc nhanh bằng tốc độ ánh sáng" thì sao nhỉ smilie 


Chính người đọc "bấm liền tù tì" tự tạo phiền hà cho họ vì họ có đọc gì đâu? Người đọc thât sự thì họ dành thời gian để đọc chớ không bấm liền tù tì và bởi vậy, họ không phải là "người đọc bất hợp pháp". Mềm dẻo là sao? Là cho phép ai muốn "bấm liền tù tì" mà không hề đọc cũng được? smilie
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Announcement]   Báo VietNamNet tiếp tục bị tấn công. 20/01/2011 15:48:06 (+0700) | #71 | 229916
[Avatar]
H3x4
Member

[Minus]    0    [Plus]
Joined: 02/04/2009 00:03:16
Messages: 242
Offline
[Profile] [PM]

conmale wrote:

Đây là giải pháp anh đã từng dùng cho HVA (2 nodes trong cái "constellation" thay vì nhiều nodes như bài viết) và anh dùng Apache "worker" (thread thay vì process như prefork) làm proxy thay vì Nginx nhưng nguyên tắc căn bản thì như nhau. Tất nhiên biện pháp "chẻ" nguồn tấn công ra thành nhiều nhánh nhỏ để chịu đựng là biện pháp hữu lý và logical nhất. Giá trị quan trọng của bài viết trên là việc vận dụng VM có giá trị kinh tế (đỡ tốn kém). Chi tiết kỹ thuật trong bài viết không nhiều, đặc biệt chức năng limit_reg và limit_rate của nginx và những kernel parameters quan trọng cho việc đối phó vời DDoS. Ngoài ra, nếu chạy trên Linux thì có những netfilter modules và những iptable rules quan trọng nhằm kiểm soát DDoS.

Thật ra chống đỡ DDoS rất khó. Mình phải theo dõi, phân tích và tách rời những tính chất đặc thù của dạng DDoS đang tấn công mình càng cụ thể càng tốt thì mới có biện phải khả dĩ. Gia tăng tài nguyên là điều tối quan trọng và hình thành biện pháp cản lọc cụ thể cũng quan trọng không kém. 


Biện pháp chẻ nguồn tấn công như trên sử dụng Round Robin ở DNS server để chia đều tải cho các nginx server đứng phía sau nó như vậy cái DNS server này của mình hay là của Service Provider vậy anh?
Liệu như cái DNS server của mình thì anh có thể cho em một phép tính tổng quát về các gói DNS request tới cái dns server của mình khi DDOS diễn ra để có thể biết dc server dns đó như thế nào thì chịu đựoc không ?
[Up] [Print Copy]
  [Announcement]   Báo VietNamNet tiếp tục bị tấn công. 20/01/2011 16:09:21 (+0700) | #72 | 229919
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

H3x4 wrote:

conmale wrote:

Đây là giải pháp anh đã từng dùng cho HVA (2 nodes trong cái "constellation" thay vì nhiều nodes như bài viết) và anh dùng Apache "worker" (thread thay vì process như prefork) làm proxy thay vì Nginx nhưng nguyên tắc căn bản thì như nhau. Tất nhiên biện pháp "chẻ" nguồn tấn công ra thành nhiều nhánh nhỏ để chịu đựng là biện pháp hữu lý và logical nhất. Giá trị quan trọng của bài viết trên là việc vận dụng VM có giá trị kinh tế (đỡ tốn kém). Chi tiết kỹ thuật trong bài viết không nhiều, đặc biệt chức năng limit_reg và limit_rate của nginx và những kernel parameters quan trọng cho việc đối phó vời DDoS. Ngoài ra, nếu chạy trên Linux thì có những netfilter modules và những iptable rules quan trọng nhằm kiểm soát DDoS.

Thật ra chống đỡ DDoS rất khó. Mình phải theo dõi, phân tích và tách rời những tính chất đặc thù của dạng DDoS đang tấn công mình càng cụ thể càng tốt thì mới có biện phải khả dĩ. Gia tăng tài nguyên là điều tối quan trọng và hình thành biện pháp cản lọc cụ thể cũng quan trọng không kém. 


Biện pháp chẻ nguồn tấn công như trên sử dụng Round Robin ở DNS server để chia đều tải cho các nginx server đứng phía sau nó như vậy cái DNS server này của mình hay là của Service Provider vậy anh?
Liệu như cái DNS server của mình thì anh có thể cho em một phép tính tổng quát về các gói DNS request tới cái dns server của mình khi DDOS diễn ra để có thể biết dc server dns đó như thế nào thì chịu đựoc không ?
 


DNS của mình tự tạo hay của provider không quan trọng. Miễn sao DNS cũng được bảo mật mà thôi.

Round robin là thuật toán đơn giản nhất trong load balancing. Mỗi IP gởi request đến một địa chỉ và địa chỉ đó có bao nhiêu IP gán thì request cứ đến hết IP này sang IP kia mà thôi. Ví dụ, www.abc.com có 5 "A" records 111.111.111.111, 111.111.111.112, 111.111.111.113, 111.111.111.114, 111.111.111.115 thì một IP aaa.aaa.aaa.aaa gởi request đến www.abc.com cứ tuần từ mà đi từ 1 đến 5 và quay lại 1 từ đầu thôi.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Announcement]   Báo VietNamNet tiếp tục bị tấn công. 21/01/2011 08:57:18 (+0700) | #73 | 229970
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]
Theo tôi cách tốt nhất đối với Vietnamnet trong việc chống đỡ các cuộc tấn công DDoS là có thể thưc hiện các biện pháp sau:

1- Kiểm tra lại topology của toàn bộ hệ thống ( Vietnamnet có trên dưới 10 server sử dụng cho các dịch vụ khác nhau và giữa chúng có những mối liên hệ khá phức tạp) và xây dựng lai một topololy hợp lý nhất (optimal). Để làm được việc này Vietnamnet phải chịu khó thống kê trong một thời gian đủ dài và phân loại riêng số lương trung bình các kết nối (của từng loại khách hàng-client) đến từng dịch vụ.

2- Bố trí các server riêng cho từng loại dịch vụ. Có thể bố trí một cụm server (cluster) cho những dịch vụ nhiều ngưởi truy cập. Server riêng hay cụm server riêng ở đây đươc hiểu là có tên miền riêng và static IP riêng. Khắc phục ngay tình trang tất cả mọi ngưởi khi truy cập đến Vietnamnet thì chỉ biết (hay chỉ cần truy cập đến) một domain Vietnamnet.vn mà thôi. Điều đó có nghĩa là loại bớt hay hết các wwwect link (đền các dịch vụ khác) hiện đang đặt nhiều trên (một) webserver "chủ đạo" hiện nay.
Tất nhiên điều này có khó khăn là nhất thời các khách hàng, user thời gian đầu chưa thuộc tên domain của webserver dịch vụ mà mình muốn truy cập (thí dụ dịch vụ game, media....)

3- Sử dung kỹ thuật Dynamic domain system (với vài Premium domain) để hỗ trợ cho sự hiện diện cùa Vietnamnet trên mạng (kèm các thông báo cần thiết cho khách hàng) khi các webserver của Vietnamnet bị DDoS nặng nề và hầu như đã dropped.
Đây là cách giữ uy tín cho Vietnamnet vì luôn cập nhật thông báo cho khách hàng biết tình hình các webserver của mình đang thế nào (hay đang bị thế nào)

Việt nam ta có một điều rất dở là thường không tìm mọi cách thông báo (từng giờ) tình trạng dịch vụ Web của tổ chức, công ty mình đang ra sao. Khách hàng không truy cập đươc website, rất khó chịu vì mù tịt thông tin, không biết lý do gì, tá hoả điện thoại hỏi nhau.
Có khi phải bố trí một webserver riêng để làm chỉ mỗi việc này hay một vài việc tương tự.


4- Trang bị thêm các Router mạnh ( connection flowrate cao) và nâng cấp kết cấu hạ tâng mảng Front-end. Chú ý sử các Router có lồng ghép (bên trong) các trình diệt virus và IPS device...

5- Cuối cùng thì nếu có thể mới áp dụng kỹ thuật "Nginx constellation" (Nginx đọc là "engine X"). (Bây giờ ta thấy trên mạng quảng cáo hết các kỹ thuật "đám mây" rồi đến "chùm sao"...Hì hì)

Kỹ thuật "Nginx constellation" thưc ra chỉ là kỹ thuật sử dụng các cache proxy server đặt phía trước webserver dịch vụ để giảm tải và phân tải cho webserver chính. Có thể dùng các VM hay VPS (thuê của các ISP khác nhau) làm cache proxy server, cũng như áp dụng kỹ thuật "Round Robin" trong việc phân giải Record A trên hệ thống DNS (của các Cache proxy server nói trên).

Tuy nhiên biện pháp này có không ít nhược điểm: tốn tiền thuê VM hay VPS và tốn nhiều thời gian kiểm tra quản lý chúng, hệ thông cache proxy server sẽ dễ trục trặc khi hacker set TTL cho các DDoS packet đủ ngắn, cache proxy server không "phục vụ" user đúng URL mà user muốn xem, khi mà một vài data trên URL đã đươc update (như tôi có dịp đã viết ở một vài post trong HVA forum này)

Nhưng việc "cần phải làm ngay" là phải nhanh chóng tìm ra nguồn phân tán DDoS tool (tức là virus) và sau đó là các master điều khiển các zoombies (các máy tính bị nhiễm DDoS virus [DDoS tool] trên mạng).

Cần xác định kỹ lại (nhờ CMC infosec) là website đặt ở Đức (.....com) là nguồn phân tán virus (tôi gọi là Virus containing website- VCW) hay là Master hay là cả hai.

Vietnamnet cần tài trợ cho CMC Infosec thiết lập một công cụ quét trên mạng để chủ động phát hiện các máy tính bị nhiễm DDoS tool trên mạng và thông báo cho chủ máy tính diệt trừ chúng, như là cách các nước hiện đại đã làm. Việc này cần có sự hỗ trợ của một số ISP (Viettel, VNPT, FPT...)

Chủ động diệt trừ (bằng mọi cách có thể) nguồn phá hoại tạo ra DDoS là cách bảo vệ hệ thống của ta một cách hữu hiệu nhất và triệt để nhất.


The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Announcement]   Báo VietNamNet tiếp tục bị tấn công. 21/01/2011 10:53:52 (+0700) | #74 | 229984
[Avatar]
xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]
Với sự dư dả về tài chính như Vietnamnet thì có một giải pháp tuy tốn tiền nhưng đảm bảo được Vietnamnet sẽ có khả năng đương đầu với các cuộc tấn công từ chối dịch vụ cường độ lớn là sử dụng dịch vụ Internet content and application delivery của Akamai Technologies, dịch vụ Content delivery của hãng này hoạt động như ta sử dụng NginX nhưng tiện hơn là họ sẽ thay ta maintain cái NginX này, đặc biệt là hệ thống của Akamai có đường kết nối thẳng vào đường backbone của internet, với lưu lượng băng thông cho phép "lớn khủng khiếp", khiến các cuộc DDoS cỡ 400Mbps như trên cũng vô hiệu
Hãng này đang cung cấp dịch vụ trên cho M$, Facebook, Amazon, Al-Jazeerra, Yahoo...
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
  [Announcement]   Báo VietNamNet tiếp tục bị tấn công. 21/01/2011 12:23:27 (+0700) | #75 | 229988
[Avatar]
vikjava
Elite Member

[Minus]    0    [Plus]
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
[Profile] [PM]
- Theo dõi về việc vietnamnet bị hack thì ngoài việc bị DDOS, vietnamnet còn bị "nội bộ" đánh tơi bời. Và theo phần tích thì việc đánh sập hơn 10 server thì phải là người nắm rõ topology của hệ thống mạng vietnamnet. Vì thế theo mình nghĩ những đề xuất của bác PXMMRF cũng xuất phát từ những thông tin trên ==> yêu cầu phải làm "sạch" lại toàn bộ hệ thống.

- Đề xuất của xnohat là một giải pháp nhưng theo mình là không khả thi, vietnamnet đang bị tấn công trên nhiều phương diện chứ không riêng gì DDOS. Và vietnamnet cũng không thể so sánh với mấy cái công ty đa quốc gia to đùng kia được.

p/s: sao vietnamnet không thuê bên CMC kết hợp với anh conmale, PXMMRF, mrro ...đối phó nhỉ. smilie
[Up] [Print Copy]
  [Announcement]   Báo VietNamNet tiếp tục bị tấn công. 21/01/2011 15:27:14 (+0700) | #76 | 230004
[Avatar]
halowen3456
Member

[Minus]    0    [Plus]
Joined: 29/12/2009 08:48:56
Messages: 68
Offline
[Profile] [PM]

PXMMRF wrote:











Vietnamnet cần tài trợ cho CMC Infosec thiết lập một công cụ quét trên mạng để chủ động phát hiện các máy tính bị nhiễm DDoS tool trên mạng và thông báo cho chủ máy tính diệt trừ chúng, như là cách các nước hiện đại đã làm. Việc này cần có sự hỗ trợ của một số ISP (Viettel, VNPT, FPT...)



 



Câu này nghe như quảng cáo cho CMC vậy
HỌC, HỌC NỮA, HỌC MÃI
[Up] [Print Copy]
  [Announcement]   Báo VietNamNet tiếp tục bị tấn công. 21/01/2011 17:48:38 (+0700) | #77 | 230016
[Avatar]
bolzano_1989
Journalist

[Minus]    0    [Plus]
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
[Profile] [PM]

halowen3456 wrote:

PXMMRF wrote:











Vietnamnet cần tài trợ cho CMC Infosec thiết lập một công cụ quét trên mạng để chủ động phát hiện các máy tính bị nhiễm DDoS tool trên mạng và thông báo cho chủ máy tính diệt trừ chúng, như là cách các nước hiện đại đã làm. Việc này cần có sự hỗ trợ của một số ISP (Viettel, VNPT, FPT...)



 



Câu này nghe như quảng cáo cho CMC vậy 


Mình thấy sống sao cho có tiếng tốt, người tự giới thiệu mình với người khác mới khó, quăng bom mù để quảng cáo thì dễ hơn nhiều.
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY
[Up] [Print Copy]
  [Announcement]   Báo VietNamNet tiếp tục bị tấn công. 21/01/2011 20:52:26 (+0700) | #78 | 230022
[Avatar]
gsmth
Elite Member

[Minus]    0    [Plus]
Joined: 15/02/2007 13:25:36
Messages: 749
Offline
[Profile] [PM] [WWW] [Yahoo!]
To PXM: theo gsmth biết C.M.C chỉ biet 1phan nho cau chuyen!
Vi du:
http://virusvn.com/forum/showthread.php?3065-Mot-may-chu-dieu-khien-tan-cong-VietnamNet-dat-tai-Duc/page2
...
Thuê cty tu van bao mat thì co nhieu cho khac uy tin hon C.M.C.
Than,
[Up] [Print Copy]
  [Discussion]   Báo VietNamNet tiếp tục bị tấn công. 21/01/2011 21:39:28 (+0700) | #79 | 230023
cantho_tutoring
Member

[Minus]    0    [Plus]
Joined: 17/01/2011 18:47:13
Messages: 0
Offline
[Profile] [PM]
Cần Thơ thấy vụ này các báo xem như tin giật gân, ai cũng muốn đưa bài, cuối cùng có báo thì viết sai chính tả, có báo thì cho rằng những người Hackers này cũng là tầm thường, có báo thì cho là người chuyên nghiệp... thật là không biết đâu mà lần.

1."tấn công cáo" <------ cáo VN net smilie



2. Tìm thấy máy chủ






3. Kết luận của infoSec "Thiết kế đơn giản"




4. Thực hiện bài bản, tinh vi....


[Up] [Print Copy]
  [Announcement]   Báo VietNamNet tiếp tục bị tấn công. 21/01/2011 22:39:42 (+0700) | #80 | 230026
mR.Bi
Member

[Minus]    0    [Plus]
Joined: 22/03/2006 13:17:49
Messages: 812
Offline
[Profile] [PM] [WWW]

vikjava wrote:
- Theo dõi về việc vietnamnet bị hack thì ngoài việc bị DDOS, vietnamnet còn bị "nội bộ" đánh tơi bời. Và theo phần tích thì việc đánh sập hơn 10 server thì phải là người nắm rõ topology của hệ thống mạng vietnamnet. Vì thế theo mình nghĩ những đề xuất của bác PXMMRF cũng xuất phát từ những thông tin trên ==> yêu cầu phải làm "sạch" lại toàn bộ hệ thống.

- Đề xuất của xnohat là một giải pháp nhưng theo mình là không khả thi, vietnamnet đang bị tấn công trên nhiều phương diện chứ không riêng gì DDOS. Và vietnamnet cũng không thể so sánh với mấy cái công ty đa quốc gia to đùng kia được.

p/s: sao vietnamnet không thuê bên CMC kết hợp với anh conmale, PXMMRF, mrro ...đối phó nhỉ. smilie  


Đừng gán ghép vụ Vietnamnet bị tấn công lấy mất database và vụ bị tấn công từ chối dịch vụ. Nó chẳng mang lại lợi ích gì cho topic này cả.
Vietnamnet chả phải bị ddos mà sập 10 servers (anh lấy đâu ra con số này vậy?), khi hệ thống bị tấn công từ chối dịch vụ, thì dịch vụ (cụ thể ở đây là dịch vụ cung cấp website) ngưng trệ, không thể hoặc chậm trễ cung cấp dịch vụ cho người đọc báo, không có nghĩa là hệ thống của Vietnamnet bị đánh sập.

Rõ ràng nhiều công ty (Không chỉ riêng ở VN) chưa sẵn sàng, và có kinh nghiệm với tấn công từ chối dịch vụ. Hãy thử đặt mình vào vị trí những người vận hành hệ thống Vietnamnet, bạn có làm tốt hơn họ không? Bất cứ ai có khả năng như anh list ra ở trên, đều đã nếm mùi thế nào là bị tấn công một cách không thể chống đỡ được trong một khoảng thời gian nào đó. HVA cũng từng bị như thế, và cường độ bị tấn công của HVA (theo nhận định chủ quan) là bé hơn rất nhiều so với Vietnamnet hiện tại, cứ cho rằng hệ thống của Vietnamnet khủng hơn rất nhiều so với máy chủ của HVA.

Chưa có kinh nghiệm thì tỏ ra lúng túng là hoàn toàn hợp lí, và trong lúc bị tấn công, Vietnamnet vẫn cố gắng khắc phục và tìm ra cách để người đọc có thể truy cập Vietnamnet một cách thoải mái, như thời điểm em đang trả lời bài này. Rõ ràng khả năng của họ càng ngày càng tăng lên rõ rệt và ứng phó ngày một nhanh hơn.

Nếu Vietnamnet chịu chia hướng tấn công sang các máy chủ khác bằng Round Robin DNS (VTC, VNG) thì họ sẽ thoải mái hơn rất nhiều. Tuy nhiên, nếu theo dõi kĩ, thì có lúc traffic sẽ "lọt" sang máy chủ của các công ty khác, có lúc họ hứng trọn lượng traffic đó. Những lúc như thế, họ đang thử nghiệm cách chống DDOS của mình.
Và không phải kẻ tấn công kia chỉ dùng đúng một cách để đánh hoài đánh mãi.
Nói như thế để các bạn hiểu rằng không phải đội ngũ của Vietnamnet chỉ biết thụ động hứng chịu tấn công, mà họ đang làm hết sức của mình. Thêm nữa, đội ngũ đó không phải là những kẻ không biết gì, họ còn hơn rất nhiều người trong số các bạn.
Nếu hệ thống của bạn có "cơ hội" nhận được một cuộc tấn công tương tự, bạn sẽ biết rằng Vietnamnet đã làm rất tốt việc của mình.
Những kẻ chỉ biết nói mồm thì luôn chỉ có thế mà thôi smilie



All of my life I have lived by a code and the code is simple: "honour your parent, love your woman and defend your children"
[Up] [Print Copy]
  [Announcement]   Báo VietNamNet tiếp tục bị tấn công. 21/01/2011 22:51:31 (+0700) | #81 | 230027
noobeer
Member

[Minus]    0    [Plus]
Joined: 09/01/2011 09:22:42
Messages: 0
Offline
[Profile] [PM]
@Mr.Bi: theo bạn thì "VietnamNet đã làm rất tốt công việc của mình" hay là hai đối tác VNG & VTC nhỉ? smilie

Mình có cách chứng minh cho bạn thấy là VietnamNet chưa làm tốt công việc của mình. smilie
[Up] [Print Copy]
  [Announcement]   Báo VietNamNet tiếp tục bị tấn công. 22/01/2011 00:17:05 (+0700) | #82 | 230039
nguoixanh
Member

[Minus]    0    [Plus]
Joined: 20/03/2010 19:32:23
Messages: 52
Offline
[Profile] [PM]
to nobeer:
Bạn chứng minh luôn xem nào ?!!
[Up] [Print Copy]
  [Announcement]   Báo VietNamNet tiếp tục bị tấn công. 22/01/2011 00:55:06 (+0700) | #83 | 230040
mrro
Administrator

Joined: 27/12/2001 05:07:00
Messages: 745
Offline
[Profile] [PM]

mR.Bi wrote:

Thêm nữa, đội ngũ đó không phải là những kẻ không biết gì, họ còn hơn rất nhiều người trong số các bạn.
Nếu hệ thống của bạn có "cơ hội" nhận được một cuộc tấn công tương tự, bạn sẽ biết rằng Vietnamnet đã làm rất tốt việc của mình.
Những kẻ chỉ biết nói mồm thì luôn chỉ có thế mà thôi
 


Nói đoạn đầu còn nghe được, nói đến đây là thấy khó nghe rồi.

Mình chỉ có một hi vọng là sau đợt này, đội ngũ kỹ thuật của VietnamNet và những người tham gia hỗ trợ sẽ viết và chia sẻ cách họ đã làm.

-m
http://tinsang.net

TetCon 2013 http://tetcon.org

Làm an toàn thông tin thì học gì?/hvaonline/posts/list/42133.html
[Up] [Print Copy]
  [Announcement]   Báo VietNamNet tiếp tục bị tấn công. 22/01/2011 00:55:53 (+0700) | #84 | 230041
[Avatar]
St Konqueror
Member

[Minus]    0    [Plus]
Joined: 08/12/2007 00:47:39
Messages: 229
Offline
[Profile] [PM]

mR.Bi wrote:
Rõ ràng nhiều công ty (Không chỉ riêng ở VN) chưa sẵn sàng, và có kinh nghiệm với tấn công từ chối dịch vụ. Hãy thử đặt mình vào vị trí những người vận hành hệ thống Vietnamnet, bạn có làm tốt hơn họ không? Bất cứ ai có khả năng như anh list ra ở trên, đều đã nếm mùi thế nào là bị tấn công một cách không thể chống đỡ được trong một khoảng thời gian nào đó. HVA cũng từng bị như thế, và cường độ bị tấn công của HVA (theo nhận định chủ quan) là bé hơn rất nhiều so với Vietnamnet hiện tại, cứ cho rằng hệ thống của Vietnamnet khủng hơn rất nhiều so với máy chủ của HVA.

Chưa có kinh nghiệm thì tỏ ra lúng túng là hoàn toàn hợp lí, và trong lúc bị tấn công, Vietnamnet vẫn cố gắng khắc phục và tìm ra cách để người đọc có thể truy cập Vietnamnet một cách thoải mái, như thời điểm em đang trả lời bài này. Rõ ràng khả năng của họ càng ngày càng tăng lên rõ rệt và ứng phó ngày một nhanh hơn.

Nếu Vietnamnet chịu chia hướng tấn công sang các máy chủ khác bằng Round Robin DNS (VTC, VNG) thì họ sẽ thoải mái hơn rất nhiều. Tuy nhiên, nếu theo dõi kĩ, thì có lúc traffic sẽ "lọt" sang máy chủ của các công ty khác, có lúc họ hứng trọn lượng traffic đó. Những lúc như thế, họ đang thử nghiệm cách chống DDOS của mình.
Và không phải kẻ tấn công kia chỉ dùng đúng một cách để đánh hoài đánh mãi.
Nói như thế để các bạn hiểu rằng không phải đội ngũ của Vietnamnet chỉ biết thụ động hứng chịu tấn công, mà họ đang làm hết sức của mình. Thêm nữa, đội ngũ đó không phải là những kẻ không biết gì, họ còn hơn rất nhiều người trong số các bạn.
Nếu hệ thống của bạn có "cơ hội" nhận được một cuộc tấn công tương tự, bạn sẽ biết rằng Vietnamnet đã làm rất tốt việc của mình.
Những kẻ chỉ biết nói mồm thì luôn chỉ có thế mà thôi smilie
 


Wow, khẩu khí của Mr.Bi quả là ngày một hoành tráng. smilie
Nhưng mình phải công nhận là chỉ khi nào "get into the job" rồi mới có thể nhận định cho chính xác và khách quan được thôi. Chứ ngồi ngoài mà phán thì cũng chả bao giờ có thể tốt lên được, đến hồi gặp phải trường hợp tương tự thì chỉ còn nước khóc ròng. (Mình cũng từng ngồi ngoài phán và giờ cũng đang khóc ròng với khách hàng. smilie)

Có lẽ vì vậy mà trong số các bài viết chê Vietnamnet trên HVA thì chỉ có vài bài viết hấp dẫn và chứa đựng thông tin hữu ích như các bài của của chú conmale và bác PXMMRF...

Thân.
[Up] [Print Copy]
  [Announcement]   Báo VietNamNet tiếp tục bị tấn công. 22/01/2011 08:08:01 (+0700) | #85 | 230047
mR.Bi
Member

[Minus]    0    [Plus]
Joined: 22/03/2006 13:17:49
Messages: 812
Offline
[Profile] [PM] [WWW]

noobeer wrote:
@Mr.Bi: theo bạn thì "VietnamNet đã làm rất tốt công việc của mình" hay là hai đối tác VNG & VTC nhỉ? smilie

Mình có cách chứng minh cho bạn thấy là VietnamNet chưa làm tốt công việc của mình. smilie  

Tối qua hơi xỉn nên lời nói có chút bênh vực cho mấy bạn Vietnamnet smilie
Văn phong của bạn rất quen thuộc, nếu như mình đoán đúng thì mình tin bạn có cách chứng minh, nên mình không thách làm gì smilie
All of my life I have lived by a code and the code is simple: "honour your parent, love your woman and defend your children"
[Up] [Print Copy]
  [Announcement]   Báo VietNamNet tiếp tục bị tấn công. 22/01/2011 09:53:46 (+0700) | #86 | 230058
PXMMRF
Administrator

Joined: 26/09/2002 07:17:55
Messages: 946
Offline
[Profile] [PM]

halowen3456 wrote:

PXMMRF wrote:


Vietnamnet cần tài trợ cho CMC Infosec thiết lập một công cụ quét trên mạng để chủ động phát hiện các máy tính bị nhiễm DDoS tool trên mạng và thông báo cho chủ máy tính diệt trừ chúng, như là cách các nước hiện đại đã làm. Việc này cần có sự hỗ trợ của một số ISP (Viettel, VNPT, FPT...)

 



Câu này nghe như quảng cáo cho CMC vậy 

Không, tôi không có ý quảng cáo cho CMC Infosec. Tôi chỉ đang tìm những khía cạnh, dù là nhỏ nhất, để gợi ý giúp cho Vietnamnet, nếu nó hữu ích.
CMC Infosec, như theo thông báo chính thức, đã tỉm ra DDoS tool (virus, bot...) là........ thì tốt nhất nên nhờ các anh ở đấy viết ra một trình phát hiện DDoS tool này trên mạng (chẳng lẽ lại đi nhờ người khác?). Muốn quét hữu hiệu lẽ dĩ nhiên phải nhờ đến sự hỗ trợ của các IPS Việt nam. Ho sẽ dùng công cụ nói trên để quét trên các mạng do họ quản lý. Một công ty bên ngoài, ngay cả CMC, cũng không thể làm tốt việc này. Cần chú ý là ngay trong những năm 2001-2002-2003... một số công ty bảo mật của Mỹ đã có những tool quét mạng để phát hiện ra các DDoS tool, đó là những DDoS tool đầu tiên xuất hiện trên mạng. Họ đã đi xa hơn chúng ta nhiều và suy nghĩ tính toán bài bản

Tôi không nghĩ rằng CMC tham gia chủ lưc trong quá trình phòng chống DDoS. Tôi nghĩ rằng đã có khá nhiều công ty, tổ chức khác đang giúp Vietnamnet. Và bản thân anh em Vietnamnet cũng rất cố gắng, làm việc hết mình trong việc khắc phục sự cố. CMC chỉ lảm được một phần việc trong một khối lượng rất lớn công việc mà Vietnamnet đã và đang phải làm. Tôi chưa bao giở chê anh em ở Vietnamnet cả. Cỏn góp ý cho họ lại là chuyện khác

Mà các bạn, lúc này, cũng không nên chê Vietnamnet. Vì nhiều nguyên nhân. Có một nguyên nhân dễ hiểu là -như có một bạn đã nói ở trên- : Nếu chúng ta bị rơi vào đúng hoàn cảnh của họ, ta chắc có làm tốt hơn họ không. Câu trả lời logic nhất chắc phải là: chưa chắc, có khi còn kém hơn, vì ta đơn độc. Ai cũng phải nghĩ như vậy, kể cả HVA.

Vì tôi đang nghĩ rằng dường như có một thế lưc hùng hâu đứng sau cuộc tấn công vào một thế lưc cũng khá hùng hậu: Vietnamnet. Vì vậy để giải quyết việc này đòi hỏi có những giải pháp lớn, đôi khi phải cần sự hợp lưc của nhiều tổ chức, cơ quan Việt nam, không chỉ một mình Vietnamnet. Fix chỗ này chỗ kia trên webserver... chỉ là những giải pháp manh mún, mang tính "ngộ kỹ thuật" trong một hoàn cảnh khó khăn hơn nhiều.

Ngoài ra tôi vẫn luôn nghĩ rằng việc cần thiết là phải chủ động tìm ra càng sớm càng tốt nguồn phát tán bot, các master điều khiền.... để loại trừ hiểm hoạ hay ít nhất hạn chế nó. Vì có khi tìm ra, nhưng không dễ loại trừ, khi kẻ tấn công là một thế lực, có tổ chức, mục đích và có một đôi ngũ hacker đông đảo tinh thông nghề nghiệp. Tôi không tán thành giải pháp chỉ tập trung củng cố, điều chỉnh, fix chỗ này chỗ kia trên hệ thống. Điều này kết quả rất hạn chế, hay có người gọi là vô ích.

Khi một cuôc tấn công DD0S bão táp với cường độ lên tới 300.000-500.000 gói tin/sec hay hơn nhiều, thì phải có những biện pháp đối phó tương xứng liên quan đến thay đổi kết cấu hạ tầng front-end, sự bố trí hợp lý kết cấu hạ tầng ấy (topology) và những vấn đề lớn khác. Trong đó việc hợp lưc giải quyết của các tổ chức có trách nhiệm là yếu tố vô cùng quan trọng
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
[Up] [Print Copy]
  [Announcement]   Báo VietNamNet tiếp tục bị tấn công. 22/01/2011 10:42:37 (+0700) | #87 | 230063
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]
Đề nghị các bạn không nên lái hướng thảo luận đến chỗ khen ai hoặc chê ai và càng không nên khen chê hoặc nhận xét một cách cảm tính và thiếu khoa học.

HVA tham gia thảo luận về tình trạng vietnamnet ở góc độ kỹ thuật và nhằm mục đích đưa ra những giải pháp, dù tổng quát, giúp khắc phục những hoàn cảnh tương tự chớ không phải để tạo điều kiện khen chê, dè biểu một cách tiêu cực và vô ích.

Bản thân tớ, khi tham gia chủ đề này mặc dù tớ chẳng có bất cứ dữ liệu kỹ thuật nào trong tay ngoài vài con số rời rạc trên một số bài báo. Tớ sử dụng những con số này và một số đo đạc, thử nghiệm một cách khoa học nhằm tạo một "case study" khá rộng để kích thích thảo luận. Đây là thiện ý và cũng là ích lợi kỹ thuật. Bởi vậy, những thảo luận mang tính phỏng đoán và đi đến chỗ nhận định cảm tính có thể phá hỏng hướng đi của chủ đề.

Cám ơn.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Announcement]   Báo VietNamNet tiếp tục bị tấn công. 23/01/2011 08:12:40 (+0700) | #88 | 230114
[Avatar]
vikjava
Elite Member

[Minus]    0    [Plus]
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
[Profile] [PM]

mR.Bi wrote:

vikjava wrote:
- Theo dõi về việc vietnamnet bị hack thì ngoài việc bị DDOS, vietnamnet còn bị "nội bộ" đánh tơi bời. Và theo phần tích thì việc đánh sập hơn 10 server thì phải là người nắm rõ topology của hệ thống mạng vietnamnet. Vì thế theo mình nghĩ những đề xuất của bác PXMMRF cũng xuất phát từ những thông tin trên ==> yêu cầu phải làm "sạch" lại toàn bộ hệ thống.

- Đề xuất của xnohat là một giải pháp nhưng theo mình là không khả thi, vietnamnet đang bị tấn công trên nhiều phương diện chứ không riêng gì DDOS. Và vietnamnet cũng không thể so sánh với mấy cái công ty đa quốc gia to đùng kia được.

p/s: sao vietnamnet không thuê bên CMC kết hợp với anh conmale, PXMMRF, mrro ...đối phó nhỉ. smilie  


Đừng gán ghép vụ Vietnamnet bị tấn công lấy mất database và vụ bị tấn công từ chối dịch vụ. Nó chẳng mang lại lợi ích gì cho topic này cả.
Vietnamnet chả phải bị ddos mà sập 10 servers (anh lấy đâu ra con số này vậy?), khi hệ thống bị tấn công từ chối dịch vụ, thì dịch vụ (cụ thể ở đây là dịch vụ cung cấp website) ngưng trệ, không thể hoặc chậm trễ cung cấp dịch vụ cho người đọc báo, không có nghĩa là hệ thống của Vietnamnet bị đánh sập.

Rõ ràng nhiều công ty (Không chỉ riêng ở VN) chưa sẵn sàng, và có kinh nghiệm với tấn công từ chối dịch vụ. Hãy thử đặt mình vào vị trí những người vận hành hệ thống Vietnamnet, bạn có làm tốt hơn họ không? Bất cứ ai có khả năng như anh list ra ở trên, đều đã nếm mùi thế nào là bị tấn công một cách không thể chống đỡ được trong một khoảng thời gian nào đó. HVA cũng từng bị như thế, và cường độ bị tấn công của HVA (theo nhận định chủ quan) là bé hơn rất nhiều so với Vietnamnet hiện tại, cứ cho rằng hệ thống của Vietnamnet khủng hơn rất nhiều so với máy chủ của HVA.

Chưa có kinh nghiệm thì tỏ ra lúng túng là hoàn toàn hợp lí, và trong lúc bị tấn công, Vietnamnet vẫn cố gắng khắc phục và tìm ra cách để người đọc có thể truy cập Vietnamnet một cách thoải mái, như thời điểm em đang trả lời bài này. Rõ ràng khả năng của họ càng ngày càng tăng lên rõ rệt và ứng phó ngày một nhanh hơn.

Nếu Vietnamnet chịu chia hướng tấn công sang các máy chủ khác bằng Round Robin DNS (VTC, VNG) thì họ sẽ thoải mái hơn rất nhiều. Tuy nhiên, nếu theo dõi kĩ, thì có lúc traffic sẽ "lọt" sang máy chủ của các công ty khác, có lúc họ hứng trọn lượng traffic đó. Những lúc như thế, họ đang thử nghiệm cách chống DDOS của mình.
Và không phải kẻ tấn công kia chỉ dùng đúng một cách để đánh hoài đánh mãi.
Nói như thế để các bạn hiểu rằng không phải đội ngũ của Vietnamnet chỉ biết thụ động hứng chịu tấn công, mà họ đang làm hết sức của mình. Thêm nữa, đội ngũ đó không phải là những kẻ không biết gì, họ còn hơn rất nhiều người trong số các bạn.
Nếu hệ thống của bạn có "cơ hội" nhận được một cuộc tấn công tương tự, bạn sẽ biết rằng Vietnamnet đã làm rất tốt việc của mình.
Những kẻ chỉ biết nói mồm thì luôn chỉ có thế mà thôi smilie



 


hi mr bi,

Anh trả lời theo luồng post bài gợi ý của anh PXM và xnohat. Anh không nói DDos làm sập 10 server của vietnamnet hồi nào cả. Trước đây, có môt topic phân tích vietnamnet bị hack ( không phải bị DDOS), theo một số giả định là do có người nắm đươc toàn bộ sơ đồ hệ thống... Anh viết tiếng việt nên em vui lòng đọc kỹ lại nhé.

Việc nó có mạng lợi ích hay không tuỳ mỗi người nhận biết, có thể đối với em không hữu ích nhưng người khác thì hữu ích. Anh cũng không nói vietnamnet không làm tốt công việc của mình, những người mà anh nêu ra là những người có kinh nghiệm trong lĩnh vực chống DDOS, trong trường hợp sự cố xảy ra lúc nào cũng cần người có nhiều kinh nghiệm hỗ trợ, mặc dù bản thân mình rất giỏi.

Bài post của em, có cảm tưởng em muốn chứng tỏ với mọi người là mình rất hiểu biết về chống DDOS và đã từng trải qua. Vậy thì em có thể tư vấn hoặc chia sẽ kỹ thuật về hiểu biết của mình giúp cho mọi người hiểu thêm.
[Up] [Print Copy]
  [Announcement]   Báo VietNamNet tiếp tục bị tấn công. 23/01/2011 10:33:27 (+0700) | #89 | 230130
mR.Bi
Member

[Minus]    0    [Plus]
Joined: 22/03/2006 13:17:49
Messages: 812
Offline
[Profile] [PM] [WWW]
tiếng Việt vốn đa dạng nhiều nghĩa, lưỡi người thì nhiều đường lắt léo, tùy vào người viết, người đọc, người hiểu và người trà lời thôi.
em thì em cũng già rồi, trình độ không có, thấy chỗ nào có chém gió thì nhảy vào chém chung cho kiến thức mình nâng lên trong...mắt người ta ấy mà.
Nhưng mà có lúc anh cần tư vấn, mà không thuê được chuyên gia, thì có thể thuê em với giá phải chăng, nếu rảnh thì em làm smilie
All of my life I have lived by a code and the code is simple: "honour your parent, love your woman and defend your children"
[Up] [Print Copy]
  [Announcement]   Báo VietNamNet tiếp tục bị tấn công. 24/01/2011 07:40:40 (+0700) | #90 | 230191
[Avatar]
chube
Member

[Minus]    0    [Plus]
Joined: 22/10/2010 02:34:04
Messages: 105
Location: ░░▒▒▓▓██
Offline
[Profile] [PM]
@mR.Bi: Nên tôn trọng những quy tắc các anh quản trị đã quy định, thảo luận kĩ thuật, không nên cảm tính bạn ạ
.-/ / )
|/ / /
/.' /
// .---.
/ .--._\ Awesome Season to hack :') Dont you think so? xD
/ `--' /
/ .---'
/ .'
/
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|