banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Messages posted by: conmale  XML
Profile for conmale Messages posted by conmale [ number of posts not being displayed on this page: 4 ]
 
Bỏ dòng này ra: LogFormat "%a %h %l %u %t \"%r\" %>s %b" common
Xem cái này: /hvaonline/posts/list/38297.html#235456

ListentoMyHeart9X wrote:
Em đã đọc qua tất cả các bình luận của các anh, trước khi nói về nhận xét của mình em muốn hỏi các anh một cậu : Trojan hoàn toàn không có một ích lợi nào trong mọi trường hợp và tất cả những ai viết hay sử dụng nó đều là người xấu ? ( Câu hỏi này em muốn nhận đc câu trả lời từ tất cả các mem trong diễn đàn, nhất là anh Conmale và anh TQN ) 


Nên tập thói quen cẩn thận lắng nghe người khác và cẩn thận đọc kỹ những gì người khác viết trước khi có ý kiến.

amorousmartin wrote:
anh conmale ơi,cho em nói câu.Thật sự thì em không đồng ý với comment của anh.Vì học CNTT thì ắt hẳn biết càng nhiều càng tốt.Nếu mà virus,trojan,worm...thuộc lĩnh vực CNTT mà chúng ta cũng không biết tạo ra thì có phải là CNTT của ta mơ hồ quá không.Biết là nó là xấu nhưng chúng ta biết nhiều thì chúng ta chưa chắc hẳn xấu,xấu chăng là những người sử dụng nó với mục đích gì thôi.Chúng ta biết mà chúng ta chỉ cùng nhau học tập nghiên cứu không viết để phá hoại ai thì nó đâu có gì xấu cũng như những bông hoa sen vẫn ngát hương mặc dù sống trên những mảnh đất bùn.Virus không xấu có chăng là ai đã viết nên nó và xử dụng với mục đích gì,có khi virus,trojan,...cứu cả một quốc gia,thế giới trong việc thu thập tài liệu để phá huỷ một âm mưu chống lại khủng bố hạt nhân của bọn khủng bố chẳng hạn.Uh em có suy nghĩ vậy thôi anh conmale đừng giận nhé. 


Anh cũng nói thật và em cũng không nên giận.

Lối suy nghĩ cho rằng "biết cách viết trojan thì mới biết cách giệt trojan" hoặc "trojan cũng là 1 phần của CNTT" hoặc "không biết viết trojan thì CNTT của ta mơ hồ" ...v...v.... là cách nhìn của những người không biết rõ bản chất của vấn đề, không nắm sâu kỹ thuật mà chỉ suy diễn dựa trên đồn đại và cảm tính. Tại sao anh nhận định như vậy? Lý do:

1. Khi nói đến "lập trình trojan" thì hầu hết đều nghĩ đến cách tạo "một con trojan" và gần như tuyệt đối người hỏi là người không có căn bản lập trình hoặc khả năng lập trình rất kém. Những câu hỏi này thường xuất phát từ những cá nhân thích "mì ăn liền" và thích tạo ra "đồ chơi" để phá hoại nhưng ranh mãnh trang bị với cái vỏ "đóng góp cho CNTT".

2. Một người có kinh nghiệm lập trình hệ thống một cách sâu dày, có kiến thức đích thực thì người ấy có thể nhận thấy và hình thành biện pháp tiêu diệt hầu như các loại trojan bởi vì người ấy nắm rõ những gì một ứng dụng bình thường thường có và những gì không bình thường (mà trojan hoặc malware tạo ra). Trong khi đó, những kẻ đòi "lập trình trojan" cùng lắm chỉ nắm được 1 dạng trojan theo kiểu step-by-step và hoàn toàn mù với những loại trojan khác bởi vì không đủ kiến thức nền.

3. Virus không có gì xấu nếu như viết nó ra rồi chứa nó trong 1 cái USB rồi cất vô tủ vì nó chẳng hại ai nhưng virus cực xấu vì chính mục đích tạo nó ra là để gây hại chớ chẳng phải mang lại ích lợi. Nếu vác chuyện dùng virus để theo dõi bọn "khủng bố hạt nhân" thì có chăng cũng chỉ là 1, 2 trường hợp trong hàng tỉ con viruses đã hoành hành và phá hoại và làm thiệt hại hàng trăm tỉ đô la trong suốt mấy mươi năm qua. Không thể dùng 1, 2 trường hợp được tự cho rằng "có ích" (và chuyện này vẫn có thể xét lại xem có ích hay có hại) để bào chữa cho hàng tỉ trường hợp phá hoại khác.

4. "Học tập và nghiên cứu" thì thường được xem là tốt nhưng "học tập và nghiên cứu" theo kiểu "mì ăn liền" thì chẳng những không tốt mà còn có hại vì nó hình thành lối tư duy què cụt, tạm bợ, thiếu thực chất. Tệ hơn nữa, nếu biết rằng mình sắp sửa tạo ra một cái gì đó dung hại mà vẫn cố tình dùng cái vỏ "học tập và nghiên cứu" để che chắn thì mình trực tiếp sa vào một chuyện nữa đó là: giả dối vì thực chất chẳng có gì là "học tập và nghiên cứu" theo đúng tinh thần tốt đẹp của nó cả.

5. Viết ra một con trojan chỉ để "học tập và nghiên cứu" và rốt cuộc "chẳng để hại ai" thì học cái gì và kết quả của việc học ấy là để làm gì? Chẳng phải "học tập và nghiên cứu" kiểu này để rồi chẳng mang lại một cái gì hết và lãng phí thời gian hay sao?

Không nên dùng những thứ tốt đẹp để gán cho hành động không đẹp và để che chắn nó. Càng không nên dùng cách nhìn hạn hẹp của một sự việc để đánh tráo khái niệm cho cả một ngành nghề to lớn (theo kiểu trojan đóng góp cho CNTT nước nhà) vì đây là lối suy diễn quy chụp, phi khoa học và thiếu trung thực.

tranhuuphuoc wrote:

conmale wrote:
Anh không gọi nhà cung cấp dịch vụ hosting mình đang dùng là ISP (Internet Service Provider) mà họ là Data Center thì đúng hơn. ISP chỉ đúng cho người bình thường cần truy cập Internet.

Về việc null-routing mà Data Center ở đây cung cấp, anh nghĩ một phần là do mình trả phí thuê máy chủ khá đậm (vì có cấu hình khá và băng thông rộng) và một phần là do họ cần làm như vậy để bảo đảm chất lượng dịch vụ. 


ISP có trách nhiệm cao hơn phía Data Center bởi vì 1 Data Center thông thường phải mướn, phải thuê 1 đường truyền từ ISP sang với tốc độ băng thông phía DataCenter yêu cầu.

Ở VN theo em thấy dường như khái niệm null-routing em chưa thấy ở các nhà cung cấp dịch vụ !!! Đọc bài viết này của anh, tra cứu thêm mới tận tường thêm nhiều điểm mình chưa biết.  


Ở những nước như Mỹ, Anh, Pháp, Đức, Úc, Nhật, Hàn...v..v... có 3 dạng:

1. Carrier: là đám quản lý / làm chủ hệ thống đường truyền. Đám này cho tụi ISP thuê lại hoặc chính đám này làm ISP để bán sỉ hoặc bán lẻ. Ví dụ, ở Úc có tụi Telstra, Optus, AAPT..... tụi này còn gọi là Tier1 carrier.

2. ISP: là đám thuê lại hệ thống đường truyền của đám carrier rồi mới cung cấp dịch vụ truy cập Internet cho người dùng bình thường. Đám này thì đông như quân Nguyên và hầu hết thuê lại đường truyền để bán lẻ.

3. Data center: đám này thường thuê hẳn đường truyền của đám carrier chớ không thuê của đám ISP bởi vì họ đòi hỏi BW rất lớn và họ cần những exclusive deal để có lợi về giá cả cũng như điều khoản.

Ở VN thì hầu như Carrier + ISP bị nhập nhằng thành 1.

Với những máy chủ mình thuê cho HVA thì tụi data center hầu như là quản lý luôn cả hệ thống pipe và IP pool riêng luôn chớ không còn dính dáng hoặc lệ thuộc ở cấp ISP nào hết.

khongchunbuoc wrote:
anh conmale cho em hỏi một chút được ko ạ,vì em là newbie nên ko được rõ lắm
hi vọng anh và các anh có thể giúp e!!!
e đã tìm được IP của một máy đích, vậy việc tiếp theo để xâm nhập vào máy của họ sẽ phải làm như thế nào ạ
mong các anh có thể chỉ giáo giúp e
yahoo e : lovepost01,mong mọi người giúp đỡ smilie 


Đọc bài đầu tiên của chủ đề này chưa mà hỏi câu trên?

haiminhjon wrote:
mệt quá chừng,đang theo dõi để học mà gặp mấy bác chém nhau như thế này,em ko biết làm sao? Mấy bác có gì hay đóng góp cho anh em học hỏi,để tiếp thu. Chứ nói thật mấy bác làm vậy chả được cái gì hết. Nói thật cái tôi của mấy bác lớn quá. Tôi đang cần và muốn học anh văn nên vào diễn đàn để xem mà thấy toàn chém...và chém..nản hết sức. 


Nếu thật sự muốn học thì ngay cả trong những thứ dùng để "chém" vẫn có cái để học nhưng nếu không thật sự muốn học mà chỉ muốn phàn nàn thì trong lớp học chính quy cũng vẫn có thứ để phàn nàn.
Song song vào các "bạn lạ" còn có các "bạn ta" cũng nhào vô ăn theo:

Code:
222.255.1.149 - - [10/Jul/2012:14:40:22 +0700] "GET / HTTP/1.1" 502 - "/tof/" "Mozilla/5.0 (Windows; U; Windows NT 6.0; nl; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6"
222.255.1.149 - - [10/Jul/2012:14:40:27 +0700] "GET / HTTP/1.1" 502 - "/tof/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.2.8) Gecko/20100722 Firefox/3.6.8"
(Windows NT 6.1; WOW64) AppleWebKit/536.11 (KHTML, like Gecko) Chrome/20.0.1132.47 Safari/536.11"
222.255.1.149 - - [10/Jul/2012:14:40:32 +0700] "GET / HTTP/1.1" 403 2108 "/tof/" "Opera/9.80 (Windows NT 5.1; U; MRA 5.5 (build 02842); ru) Presto/2.7.62 Version/11.00"
222.255.1.149 - - [10/Jul/2012:14:40:32 +0700] "GET / HTTP/1.1" 403 2108 "/tof/" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.7) Gecko/20100726 CentOS/3.6-3.el5.centos Firefox/3.6.7"
222.255.1.149 - - [10/Jul/2012:14:40:32 +0700] "GET / HTTP/1.1" 403 2108 "/tof/" "Opera/9.80 (Windows NT 5.1; U; MRA 5.5 (build 02842); ru) Presto/2.7.62 Version/11.00"
222.255.1.149 - - [10/Jul/2012:14:40:32 +0700] "GET / HTTP/1.1" 200 6380 "/tof/" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_5_8; en-US) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.224 Safari/534.10"
222.255.1.149 - - [10/Jul/2012:14:40:33 +0700] "GET / HTTP/1.1" 403 2108 "/tof/" "Opera/9.80 (Windows NT 5.1; U; MRA 5.5 (build 02842); ru) Presto/2.7.62 Version/11.00"
222.255.1.149 - - [10/Jul/2012:14:40:33 +0700] "GET / HTTP/1.1" 403 2108 "/tof/" "Opera/9.80 (Windows NT 5.1; U; MRA 5.5 (build 02842); ru) Presto/2.7.62 Version/11.00"


Không hiểu các "bạn quen" đang làm cái trò khỉ gì cho mục đích gì nữa.
Ha ha, hoá ra các "bạn lạ" của ta tấn công. Bữa giờ các bạn chơi trò du kích dích ku, toàn lựa mấy cái giờ ác ôn không có mình nên mình không chộp được. Bữa nay trúng ngay lúc console sẵn sàng thì lòi ra toàn là IP từ Jiangsu với JIANGXI không mới mệt. Đúng là "hở" ra là "lạnh" với các bạn ấy thiệt smilie

thinh191 wrote:

conmale wrote:

thinh191 wrote:

conmale wrote:

thinh191 wrote:
Mọi người ơi cho e hỏi chút.E có 1 con dcom 3g .Khi vào mạng nó được cấp địa chỉ ip là 27.69.46.251 .Đây có phải là địa chỉ ip cá nhân không ak .Nếu em muốn share 1 ổ của mình rồi truy cập vào đó qua mạng internet bằng chính địa chỉ ip đó thì có đc không .Em thấy nếu truy cập vào 1 địa chỉ ip thì cần phải có user và pass , nhưng làm thể nào để set user và pass ip cho chú dcom của e ak .Xin cảm ơn các bác đã đọc , rất mong các bác giúp đỡ vs ak 


Chủ đề này có liên quan gì đến "thâm nhập"? 

thì em thấy rằng nếu " truy cập " từ bên ngoài vào mà không được phép thì có thể gọi là " thâm nhập " chứ ak .
Em muốn thử ở cấp độ thấp nhất là share ổ và truy cập từ ngoài vào thông qua ip đó . 


Trong bài đầu tiên của bồ chỗ nào nói tới chuyện "không cho phép"? 

vâng .Em trình bày còn kém mong bác thông các .Bác có thể giúp e trả lời câu hỏi
"Nếu em muốn share 1 ổ của mình rồi truy cập vào đó qua mạng internet bằng chính địa chỉ ip 27.69.46.251 thì có được không ak .Và nếu được thì phải làm thế nào ak" 


Share 1 ổ nào? chạy trên hệ điều hành gì?

thinh191 wrote:

conmale wrote:

thinh191 wrote:
Mọi người ơi cho e hỏi chút.E có 1 con dcom 3g .Khi vào mạng nó được cấp địa chỉ ip là 27.69.46.251 .Đây có phải là địa chỉ ip cá nhân không ak .Nếu em muốn share 1 ổ của mình rồi truy cập vào đó qua mạng internet bằng chính địa chỉ ip đó thì có đc không .Em thấy nếu truy cập vào 1 địa chỉ ip thì cần phải có user và pass , nhưng làm thể nào để set user và pass ip cho chú dcom của e ak .Xin cảm ơn các bác đã đọc , rất mong các bác giúp đỡ vs ak 


Chủ đề này có liên quan gì đến "thâm nhập"? 

thì em thấy rằng nếu " truy cập " từ bên ngoài vào mà không được phép thì có thể gọi là " thâm nhập " chứ ak .
Em muốn thử ở cấp độ thấp nhất là share ổ và truy cập từ ngoài vào thông qua ip đó . 


Trong bài đầu tiên của bồ chỗ nào nói tới chuyện "không cho phép"?

thinh191 wrote:
Mọi người ơi cho e hỏi chút.E có 1 con dcom 3g .Khi vào mạng nó được cấp địa chỉ ip là 27.69.46.251 .Đây có phải là địa chỉ ip cá nhân không ak .Nếu em muốn share 1 ổ của mình rồi truy cập vào đó qua mạng internet bằng chính địa chỉ ip đó thì có đc không .Em thấy nếu truy cập vào 1 địa chỉ ip thì cần phải có user và pass , nhưng làm thể nào để set user và pass ip cho chú dcom của e ak .Xin cảm ơn các bác đã đọc , rất mong các bác giúp đỡ vs ak 


Chủ đề này có liên quan gì đến "thâm nhập"?

0985649542 wrote:
THeo mình HVA ta nên mở 1 khoá học bảo mật onli, và chi phí là bao nhiêu xin HVA cứ nới, AE se chuyển tiền qua tài khoản tín dụng, và ta nên lập 1 phòng học onli, và nhưng thnahf viên nào nộp tiền thì mới được vào phòng học onli này, mong BQT hãy cân nhắc vần đề này, thì nếu ta có thể tổ chức được thì kiến thức và bề sau, rộng của HVA sẽ được AE tín nhiệm nhiều hơn 


Ha ha, HVA có phải là một quan chức hay là một ban bệ nào đâu mà "tín nhiệm"?

HVA chỉ là một diễn đàn và nếu thật sự muốn trau dồi kiến thức ở HVA thì nên trang bị trước kiến thức căn bản (từ những lớp căn bản ở các trung tâm đào tạo). Vào HVA mà chập chà, chập cheng, không có kiến thức nền thì sẽ bị mù mờ, chán nản.

StarGhost wrote:

conmale wrote:

Cho đến bây giờ vẫn chưa thu thập được những thông tin cốt yếu để xác định HVA vừa bị tấn công cụ thể như thế nào bởi vì ngay khi luồng DDoS ập vào thì nhà cung cấp dịch vụ đã "null-route" trọn bộ traffic đến IP của HVA. Bởi thế, từ bên trong máy chủ, mình không có cách nào capture được thông tin cụ thể.

Xét trên biểu hiện tổng quát thì dường như đây là một dạng spoof IP để DDoS bởi vì trên logs của máy chủ có một số thông tin về cảnh báo spoof IP ngay trước lúc nhà cung cấp dịch vụ tiến hành "null-routing". Đây chỉ là phỏng đoán và không chắc là đúng vì không có bằng chứng cụ thể ở cấp độ "packet".

Giải pháp hiện thời là tạo ra một loạt (càng nhiều càng tốt) các reverse proxies đứng trước HVA để chẻ traffic ra thành nhiều phần nhỏ nhằm tránh tính trạng 1 máy chủ bị "null-route". 


Anh conmale cho em hỏi là ISP tiến hành "null-routing" là do họ tự nguyện hay là do anh thuê cái dịch vụ "null-routing" này của họ? Nếu họ tự nguyện thì anh có biết lí do tại sao họ lại bỏ công sức ra làm vậy hay không?

Cám ơn anh. 


Anh không gọi nhà cung cấp dịch vụ hosting mình đang dùng là ISP (Internet Service Provider) mà họ là Data Center thì đúng hơn. ISP chỉ đúng cho người bình thường cần truy cập Internet.

Về việc null-routing mà Data Center ở đây cung cấp, anh nghĩ một phần là do mình trả phí thuê máy chủ khá đậm (vì có cấu hình khá và băng thông rộng) và một phần là do họ cần làm như vậy để bảo đảm chất lượng dịch vụ.
"Thấy" là thấy làm sao?

net.ipv4.ip_forward = 1 chỉ là forward packets 1 chiều. Cái bồ cần làm là biến centos 6 đó thành 1 router thứ thiệt thì hoạ may.
Tham khảo trang này để fix: http://www.dcwg.org/fix/

tdtv-bkt432 wrote:
Đã gửi mà không thấy phản hồi. smilie 


Cảnh cáo bồ lần cuối. Có gì đáng thảo luận thì thảo luận. Tránh chit chat trong các chủ để kỹ thuật.

nguyenga86 wrote:
mình đã thực hành cái này khá nhiều trong mạng LAN rồi , nhưng có một thắc mắc là nếu xài metasploit qua mạng WAN thì có được không , nếu được thì các bước làm khác gì so với làm trong LÁN, search qua google thì thấy nó kêu phải NAT port nhưng mình cũng chưa hiểu rõ lắm nên post bài hỏi mọi người , ai biết thì giải đáp giùm mình nhé . Thanks  


Tuỳ dạng exploit là dạng gì và mục tiêu dịch vụ là dịch vụ nào nữa. LAN hay WAN chỉ khác nhau ở tính chất nội bộ (cùng network) hoặc ngoại vi (khác network).
Không nên thay đổi localhost thành IP không phải là 127.0.0.1 vì nó sẽ làm hỏng nhiều dịch vụ trên máy chủ.

Vấn đề em cần làm là chỉnh mỗi dịch vụ (tomcat, terracota...v..v...) để chúng listen trên các IP cụ thể thay vì dùng "localhost".

StarGhost wrote:

conmale wrote:

Mình đang nói đến điểm mạnh và yếu của giao thức mà. Mình chưa bàn đến băng thông.
 

Nói về khả năng chống DDoS của IPv6, hay nói đúng hơn là của IPSec, nhận định của em là như sau:
- Giống như TCP SYN flood, IKEv2 hoàn toàn có thể bị DDoS bằng cách tương tự với các kết nối half-open từ fake(forged) IP.
- Cả TCP và IKEv2 đều hỗ trợ cookie, chỉ riêng điểm này đã nói lên vấn đề với IKEv2
- IKEv2 tệ hơn TCP ở chỗ, khi không hỗ trợ cookie, IKEv2 cần nhiều computing power hơn để xử lý half-open connections, vì nó phải giải mã packet.
- Cả TCP và IPSec đều chống được IP spoofing/forging cho các layer cao hơn nó.
- IPSec có lợi thế hơn TCP ở chỗ nó hoạt động ở IP layer, còn TCP ở tầng cao hơn, và vì thế quá trình bóc tách headers cho mỗi packet cũng ít hơn 1 lần.
- Tuy nhiên, với các kiểu DDoS giả dạng flash crowds, TCP chắc là "sống khoẻ" hơn IPSec nhiều vì nó không đòi hỏi encryption và integrity check.

Từ đó, em nghi ngờ về nhận định rằng với việc IPv6 được sử dụng đại trà, tình trạng và hậu quả của DDoS sẽ được cải thiện.
 

Cái này anh vừa phân tích tổng quát ở trên (trả lời rickb).

Riêng phần xử lý đòi hỏi CPU thì đó là chuyện không thể tránh khỏi đối với IPSec vì đây là 1 phần của hoạt động của giao thức. So với thời IPv4 ra đời, khi CPU quá yếu, quá đơn giản đến bây giờ thì việc thêm CPU để xử lý packets trên các hệ thống máy con hiện thời là một tỉ lệ cực nhỏ.

StarGhost wrote:

conmale wrote:
Chuyện DDoS thì không bao giờ có thể triệt tiêu hoàn toàn được. Chỉ có thể giảm thiểu. 

Đây là vì anh chỉ đứng dưới góc độ của end systems nên mới có nhận định như thế. Cái em muốn thảo luận là về các đặc điểm của một mô hình lí tưởng mà ở đó có thể (chỉ là ví dụ) botnets vẫn tồn tại, nhưng mà dùng nó đi tấn công bất cứ hệ thống nào, dù nhỏ dù lớn, dùng bất cứ phương pháp gì (kể cả bandwidth DDoS) cũng không còn nhiều tác dụng (ví dụ: bị dập tắt chỉ sau 5-10 phút). Bối cảnh đó khác hoàn toàn với tình trạng "sống chung với lũ" và "mạnh ai nấy lo" hiện nay. 

Theo anh thấy, việc xác định máy con bị biến thành zombie dựa trên static IPv6 để điều tra và loại bỏ botnet là việc dễ dàng hơn IPv4 rất nhiều. Ngoài chuyện block chỉ mỗi static IPv6, việc nhận diện client đó để lấy mẫu mã phân tích (nếu xét ở góc độ phân tích malware năng động) thì dễ hơn. Dù gì đi chăng nữa, có block hay không, block chậm hay block liền thì vẫn bị dính DDoS trong một khoảng thời gian nào đó.

Riêng phần băng thông thì băng thông sẽ gia tăng theo thời gian và theo đó, DDoS cũng sẽ gia tăng mức độ tỉ lệ thuận. So với hồi HVA bị x-flash khoảng 5, 7 năm trước với bây giờ thì đúng là trò con nít bởi vì khi ấy, với một đường DSL 5Mbit ở Nhật cũng ráng chống chọi với x-flash. Trong khi đó, gần đây HVA bị những nguồn DDoS khiến cho gần như bão hoà 3 nodes có tổng số hơn 2Gbit thì cũng đủ thấy sự khác biệt đến dường nào.

rickb wrote:


Hi anh conmale,

Anh cho em hỏi theo anh thì cơ chế "bắt tay" phải thay đổi như thế nào thì các dạng flood bằng TCP, UDP và ICMP mới có thể được ngăn chặn được ? Thanks anh

-rickb
 


Anh thấy việc thay đổi cơ chế bắt tay thế nào cũng không thể ngăn chặn flood được. Dạng đơn giản nhất là SYN Flood, có nghĩa mỗi packet đi vào để đòi hỏi SYN đều hợp lệ ở góc độ giao thức. Syn Flood chỉ không hợp lệ ở góc độ tầng số tạo SYN (số SYN packets đi từ 1 IP trong một khoảng thời gian nào đó).

Ngay cả SYN-ACK hoặc ACK cũng có thể dùng để flood và chuyện firewall hay máy chủ có discard những gói tin ấy hay không thì cũng đã bị... flood rồi.

Nói cho cùng, chỉ có thể giảm thiểu flood sau khi số lượng packets đã đến đích và dựa trên số lượng packets này mới có thể xếp loại chúng hợp lệ hay không hợp lệ. Cái này nằm bên ngoài phạm trù giao thức rồi.

StarGhost wrote:

conmale wrote:

- Nếu chủ nhân không muốn tham gia DDoS và là nạn nhân thì trước tiên chỉ có mỗi "nạn nhân" ấy bị block thay vì hàng loạt người bị block như tình trạng hiện nay. Cái này giúp giảm thiểu "từ chối dịch vụ" do chính biện pháp ban. Nếu 100000 static IPv6 IP bị ban thì chỉ 100000 IP đó bị ban thay vì 100000 x 10 hoặc x 100 bị ban như IPv4 hiện nay thì vẫn tốt hơn.
 

À như vậy thì hậu quả DoS so với IPv4 được giảm đi 10 hoặc 100 lần. Nhưng mà như vậy liệu đã phải là cái đích cuối cùng của cuộc chiến chống DDoS?

conmale wrote:

- IP Spoofing không tồn tại với IPv6 được.
 

Ở đây theo em hiểu ý của anh là receiver hoàn toàn có thể xác định IP address của sender trước khi tiến hành communicate ở các layer cao hơn. Điều này thì em đồng ý. Tuy nhiên IPv6 với IPSec căn bản không có chống được ai đó spoof (hoặc nói đúng hơn là fake) IP address và gửi packet khi bắt đầu IKE. Dù IKE có khả năng chịu đựng DDoS tốt hơn các protocol ở layer cao như TCP, nhưng hoàn toàn khác với việc chỉ cần nhìn IP address sau đó drop và drop.

conmale wrote:

- Người bị DDoS (chủ máy, chủ hệ thống) ban chớ chẳng có ISP nào ban cả. Người bị DDoS có trọn quyền cho phép hoặc ban bất cứ nguồn IP nào vi phạm. Nếu "nạn nhân" bị ban vì chính máy mình là zombie thì người bị ban phải có trách nhiệm tự xoá zombie, tự phục hồi để không bị ban.
 

Vậy còn vấn đề bandwidth DDoS thì sao anh? Nếu bandwidth của anh bị bão hoà thì dù anh có cấu hình firewall kiểu gì cũng vô ích.
 


Mình đang nói đến điểm mạnh và yếu của giao thức mà. Mình chưa bàn đến băng thông.

Chuyện DDoS thì không bao giờ có thể triệt tiêu hoàn toàn được. Chỉ có thể giảm thiểu.

ngtrongtri wrote:
Cảm ơn anh, nhưng em chưa hiểu cái yêu cầu đầu tiên cho lắm.
Anh có thể giải thích giúp em "All your session attributes must implement java.io.Serializable" là gì và mình nên làm những gì không ạ ?
Cảm ơn anh 1 lần nữa. 


Đây là phần thuộc về coding. Java application nào đó được deployed trên Tomcat phải có những class quản lý session được implement java.io.Serializable thì cluster trên tomcat mới hoạt động được. Hy vọng là liferay đã làm chuyện này rồi.

Bồ nên đọc thật kỹ:
http://www.liferay.com/community/wiki/-/wiki/Main/High+Availability+Guide#section-High+Availability+Guide-Tomcat+Clustering

có rất nhiều chi tiết cần kiểm tra cẩn thận. Nên soát lại từng dòng 1 coi thử có sót cái gì không.

lam_nhi wrote:
Vâng, Em cảm ơn Anh! Hệ thống này, em setup cả nginx,jetty trên cùng 1 server và nó cấu hình: CPU 2 cores, RAM 4G, hiện tại tối đa chỉ 4-50 connections đồng thời.
Với những ý kiến của anh, em fix lại như sau:
Với Kernel: /sbin/sysctl -w net.core.somaxconn=512
Với nginx.conf:
worker processes 2;
....
upstream localhost {
server 127.0.0.1:8080;
}
....
proxy_pass http://localhost;
proxy_read_timeout 75;
proxy_connect_timeout 75;

Với jetty.xml:
<Set name="connectors">
.....
<Set name="Acceptors">2</Set>
<Set name="acceptQueueSize">512</Set>
.....
</Set>

Đó là những chỉnh sửa của em, anh xem, rồi cho ý kiến ạ!

Em xin cảm ơn! 


Nếu jetty listen ở localhost:8080 thì proxy_pass cũng phải "pass" vô localhost:8080 không thì proxy không biết pass đi đâu hết.

Cứ thử đi rồi chỉnh lại từ từ cho thích hợp. Những con số tôi đưa ra chỉ là để minh hoạ. Đừng dùng những con số ấy mà phải tự thử nghiệm và điều chỉnh cho thích hợp.
To run session replication in your Tomcat 7.0 container, the following steps should be completed:

All your session attributes must implement java.io.Serializable
Uncomment the Cluster element in server.xml
If you have defined custom cluster valves, make sure you have the ReplicationValve defined as well under the Cluster element in server.xml
If your Tomcat instances are running on the same machine, make sure the tcpListenPort attribute is unique for each instance, in most cases Tomcat is smart enough to resolve this on it's own by autodetecting available ports in the range 4000-4100
Make sure your web.xml has the <distributable/> element
If you are using mod_jk, make sure that jvmRoute attribute is set at your Engine <Engine name="Catalina" jvmRoute="node01" > and that the jvmRoute attribute value matches your worker name in workers.properties
Make sure that all nodes have the same time and sync with NTP service!
Make sure that your loadbalancer is configured for sticky session mode.
 


Bồ cần thoả mãn hết tất cả những thứ ở trên và chú trọng những phần màu đỏ.

quanta wrote:

conmale wrote:

Tôi vào trang đó và ctlr + 4 lần cũng không bị cuộn gì hết.
 

Anh thử với link em đưa ở trên chưa: /hvaonline/posts/list/42771.html 


Trang này bị cuộn không phải là do gia tăng kích chữ từ ctlr + mà do các block dùng để quote bị tăng kích thước nên phải cuộn.

Vấn đề là phông chữ có kích thước bao nhiêu là thích hợp với mọi người? 9 người 10 ý thì làm sao để thoả mãn hết được?
 
Go to Page:  First Page Page 2 3 4 5 7 8 9 Page 10 Last Page

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|