| |
|
|
Theo mình thì có các khả năng sau đây:
1. File gif, jpg đó là nội dung mail spam (chụp nội dung lại nhằm tránh các bộ lọc spam của các mail server)
2. File gif, jpg đó là file khai thác lỗi buffer overflow của 1 số chương trình xem ảnh (như windows photoviewer, picasa, ...) nếu bạn mở ảnh bằng đúng chương trình xem ảnh mắc lỗi mà mấy file này nhắm vào khai thác thì máy bạn sẽ bị nhiễm virus.
3. Đây là file thực thi được ngụy tạo như 1 file ảnh (nó có đuôi là .exe, .com ... nhưng lại có icon như file ảnh, tên file có thể là abc.jpg.exe) - mở file này máy bạn bị sao thì bạn cũng biết rồi đấy 
|
 |
|
|
Mình làm php và cũng nghĩ đến việc dùng session để kiểm soát lượt truy cập của 1 ip trong 1 giây, tuy nhiên chỉ sợ việc đó sẽ làm overload CPU hoặc nhiều hệ lụy khác (vì xài con VPS có giới hạn resource khá hạn chế)
Nếu anh conmale đã nói thế thì để mình thử deploy trên php luôn xem sao, đỡ mất công cài iptable
|
|
|
|
Cảm ơn bạn, mình sẽ thử xem sao rồi lên đây thông báo kết quả cho mọi người
IP table thì có nhiều luật, có thể mình tìm chỉ chi tiết theo cái mình cần nên nó không ra.
Dù sao mình nghĩ sẽ có rất nhiều người muốn tìm "chỉ một cái luật này"
Thanks again.
|
|
|
|
Mình có vấn đề này muốn nhờ các bạn giúp đỡ:
Mình có con VPX linux, trên đó chạy website với apache, php, mysql...
Mình muốn cấu hình server làm sao để có thể giới hạn số request từ 1 IP trong 1 giây (Kiểu như "Bạn có tốc độ đọc nhanh bằng ánh sáng..." của HVA ấy)
Mình đang tập tành linux, cũng không rành lắm, nên mong có được các hướng dẫn và chỉ bảo chi tiết thì tốt, không thì định hướng để mình tìm hiểu cũng được
Rất mong không có các giúp đỡ kiểu bắt bẻ câu từ, hoặc là "bạn đã tìm hiểu trước khi hỏi chưa", "bạn đã google chưa", vì mình tìm hiểu rồi, google rồi, không ra hoặc ra nhưng chưa thỏa mãn mới lên đây hỏi hi vọng người có kinh nghiệm chỉ giúp.
Thanks.
(PS: Có 1 cái topic dạng này rồi nhưng mình thấy chưa đủ /hvaonline/posts/list/1885.html)
|
|
|
|
|
Tắt máy tính và đi ngủ. :-P
|
|
|
|
Bạn có thể dùng WinPE để chỉnh sửa:
http://www.google.com.vn/search?hl=vi&client=firefox-a&rls=org.mozilla:en-US:official&hs=dIx&sa=X&oi=spell&resnum=0&ct=result&cd=1&q=winpe&spell=1
|
|
|
|
Mình thì vẫn nghĩ là GET hay POST đều có thể dùng để DDOS cả, dù có thể khi POST server sẽ phải xử lý nhiều hơn.
DOS chính là đánh vào "Availability" - tính sẵn sàng của hệ thống. Nếu hệ thống không thể cung cấp dịch vụ cho khách hàng nữa thì cuộc DOS đó gọi là thành công
DDOS thì cũng là 1 dạng DOS, tuy nhiên sử dụng nhiều client để đánh vào 1 victim. Có thể làm cho hệ thống victim không thể đáp ứng bằng nhiều cách: xử lý quá nhiều lệnh nên không có khả năng đáp ứng (POST), băng thông bị nghẽn (GET), timeout quá lâu (SYN FLOOD)...
Thêm một ý nữa là mình thấy tiếc là những bàn luận thế này lại ở trong box tán gẫu.
Nếu có thể, chúng ta tranh luận ở 1 box nào đấy mang tính chuyên môn hơn chăng?
|
|
|
|
|
Load bình thường, nhanh.
|
|
|
|
Phuongdong wrote:
Khi người dùng vào một Link và tha hồ F5 cũng không có ảnh hưởng gì xấu đâu vì lúc đó nó GET thông tin về , bạn có thể đọc thêm thông tin về POST và GET. Chỉ có POST mới gửi requet đến server thôi.
Cái này mình không nghĩ là bạn đúng
GET hay POST thì client đều gửi 1 http request lên webserver, và webserver phải xử lý cái request này, và trả kết quả về cho client (kết quả gọi là http response)
Mình chưa đọc kỹ mọi tài liệu xem liệu với post thì server có phải xử lý nhiều hơn get không, nhưng riêng chuyện GET nghĩa là chỉ get thông tin về mà không ảnh hưởng tới server và chỉ có post mới gửi request đến server là hoàn toàn sai về kiến thức cơ bản
Bạn có thể hỏi thêm một số người khác nữa, mình recommend nhờ bác conmale phân xử
(nếu ddos mà victim không chịu được, thì POST hay GET cũng thế thôi)
Phuongdong wrote:
Có dùng FF không ? có sử dụng about:config không ? Có bao giờ thay đổi cái này không ?
network. http. max-connections Integer Determines the maximum number of simultaneous HTTP connections. Default value is 24. Valid values are between 1 and 65535 inclusive.
network. http. max-connections-per-server Integer Determines the maximum number of simultaneous HTTP connections that can be established per host. If a proxy server is configured, then the server is the proxy server. Default value is 8. Valid values are between 1 and 255 inclusive.
Mình dùng FF là chủ yếu (95%), tuy nhiên hiếm khi sử dụng config, tìm hiểu kỹ về nó thì chưa bao giờ, có thể mình sẽ dành thời gian tìm hiểu về nó một lần cho biết.
================
Sau khi tìm hiểu sơ qua thì mình nghĩ thế này:
The semantics of the GET method change to a "partial GET" if the request message includes a Range header field. A partial GET requests that only part of the entity be transferred, as described in section 14.35. The partial GET method is intended to reduce unnecessary network usage by allowing partially-retrieved entities to be completed without transferring data already held by the client.
The response to a GET request is cacheable if and only if it meets the requirements for HTTP caching described in section 13.
Có thể nếu dùng GET thì không phải tất cả mọi request đếu được xử lý toàn bộ, hoặc là được xử lý bởi server, bởi vì trên đường truyền nếu có một hệ thống cache thì nó sẽ trả về kết quả trước khi gói tin đến được webserver và đc xử lý.
Tuy nhiên theo mình biết thì các hệ thống cache hiện nay không còn đc dùng nhiều nữa do tốc độ của mạng internet đã khá hơn rất nhiều (trước dùng dial up thì nó đc sử dụng khá phổ biến)
Còn GET hay POST thì chỉ là method được sử dụng trong 1 gói tin http request, nghĩ là GET chính xác là một gói tin http request (100%)!
|
|
|
|
Code:
netsh interface ip delete arpcache
Có thể dùng lệnh này ko nhỉ
Code:
Ai đó làm ơn giải thích sự khác nhau giữa 2 lệnh trên? Hay là dùng như nhau?
Có khả năng nào bạn dùng nhiều máy, trong đó có máy bị nhiễm virus nên liên tục arp poisoning bạn ko?
Giải pháp nhanh nhất là cài lại win 
Một giải pháp nữa: Đặt clear arp, đặt static arp cho gateway và đặt static ip cho máy mình
clear arp: arp -d *
đặt static arp cho gateway: sau khi clear arp table, bạn ping đến gateway (của bạn: ping 192.168.1.1) sau đó xem lại bảng arp (arp -a) bạn sẽ thấy 1 dòng tựa như: 192.168.1.1 00-0f-35-d0-7b-fc dynamic
Dùng thông tin ở đây để đặt static cho arp:
arp -s 192.168.1.1 00-0f-35-d0-7b-fc
sau đó đặt lại static ip cho máy bạn (hy vọng phần này bạn tự biết làm, nhưng mình cũng đưa 1 ví dụ ra đây để bạn cấu hình luôn nếu ko biết )
IP có thể là 192.168.1.45 (có thể thay cái số 45 bằng bất kỳ số j giữa 2 và 254, miễn ok làm được)
Mask 255.255.255.0
default gateway: 192.168.1.1
DNS 203.162.0.181
Nếu làm tất cả các bước trên mà vẫn còn bị, thì bạn thử xem tắt mấy cái services như bác gì vừa hướng dẫn trên kia xem
Giải pháp cuối cùng: Windows Reinstall
Goodluck
|
|
|
|
Thực ra đón lỏng trong trường hợp này cũng không có tác dụng phát hiện ra attacker đúng không? Cho nên mình cũng chịu không hiểu các bác BKIS đón lỏng cái kiểu gì? Đến 90% công việc là của ISP và cơ quan công an rồi.
Theo ngu ý của mình thì mình hiểu đón lõng là đón lõng cuộc tấn công (mới?) để hạn chế thiệt hại (mình có đọc "kỹ" trên 1 vài báo là có 2 cuộc tấn công vào bkav vào ngày 5 và ngày 8/10 thì phải (bkav không công nhận bị tấn công vào ngày 5!) có thể là họ đã dựng IPS sau ngày 5 và đợi 1 cuộc tấn công mới?
Nếu họ đã chuẩn bị mà hacker tấn công tiếp thì có thể họ sẽ hoàn toàn theo dõi - khống chế được cuộc tấn công này - từ đó thu thập thêm nhiều bằng chứng để tìm ra kẻ tấn công chẳng hạn?
|
|
|
|
Theo mình biết thì có thể phát hiện và ngăn chặn được kiểu tấn công DDos dùng botnet với kiểu request (hoặc ping) liên tiếp tới server (vài->vài chục request/giây) bằng cách thiết lập rule cho firewall hoặc sử dụng một giải pháp tổng thể nào đó được cung cấp từ hãng thứ 3. Trước đây thường người ta sử dụng IDS - Intrusion detection system - http://en.wikipedia.org/wiki/Intrusion-detection_system để phân tích các gói tin, phát hiện tấn công để cảnh báo sớm cho quản trị. Ngày nay hệ thống này đã được cải tiến, không chỉ mỗi chức năng cảnh báo mà còn có thể đặt luật để chặn các cuộc tấn công, nên gọi là IPS - Intrusion-prevention system - http://en.wikipedia.org/wiki/Intrusion-detection_system
Hì chả biết vụ này như thế nào nhưng mà có 2 điều rất thú vị:
- Một: Ai bắt thủ phạm? BKAV á? Ngộ àh nghen...
- Hai: Nhìn bức hình trong bài báo Dân Trí đăng tải sao thấy nó giống mã AutoIt thế
- Cũng không biết ai bắt, nhưng theo mình có thể là Bkis+C15, "hacker" là 1 chú học sinh trong quảng nam thì phải, hôm qua mới xem video cậu ta quay cảnh điều khiển botnet
- Chính xác là mã autoit, cậu học sinh kia viêt virus bằng autoit và dùng nó để điều khiển zoombie. Cái lợi là dễ viết, cái hại là người ta có thể dịch ngược ra xem mình định làm gì, và cái ngu là dùng chính site của mình, nick của mình, email của mình để điều khiển và tấn công.
Bồ giải thích rõ hơn được không? ấn refresh là ấn cái gì mà lại gởi http request đến webserver? Nếu được thì tớ cũng thử ngồi "ấn refresh" để ddos cho bỏ ghé
- Ừ, thì mình nói rõ vậy, bạn mở 1 trang web bằng browser, thì browser sẽ gửi 1 http request đến webserver đó. Mỗi lần ấn refresh, browser lại 1 lần gửi 1 http request đến webserver. Có điều theo mình mỗi lần gửi http request bằng browser (ấn refresh chẳng hạn) thì nó sẽ đợi http response của webserver trả về. Còn nếu bạn viết chương trình thì có thể request nhiều gói tin một lúc (hi, cái này là suy đoán thôi, cũng chưa kiểm chứng). Nếu bạn có 10 000 máy tính, mỗi máy 1 giây ấn refresh trang web 1 lần thì chắc cũng tương tự dùng 1000 zoombie, mỗi zoombie request 10 gói tin 1 giây mà thôi (gói tin = gói http request)
Hì hì mình post thiếu câu: "BKIS đã dựng lên một hệ thống phòng thủ để đón lỏng tin tặc". Đúng là số lượng traffic của một IP tăng đột biến thì bạn phải nghi ngờ. Nhưng bạn đón lỏng tin tặc thế nào được khi có vài ngàn IP tấn công??? Trừ khi attacker quá sơ hở để lộ IP của mình, nhưng kể cả khi để lộ IP của mình thì việc tìm kiếm không phải là chuyện dễ.
Với lại nếu đã block IP thì các IP khác vẫn phải vào được bình thường và không lẽ BKIS đoán được ngày giờ và kể cả phương pháp DDoS nếu giả sử rằng cu cậu kia không xài backdoor mà định ngày giờ cụ thể. Mình thấy củ chuối là ở chỗ đó.
Ngoài ra bạn không thấy tào lao khi nói cái cơ chế block IP là "giải pháp tình thế" à? Có ai nói chuyện quan sát traffic rồi chặn IP có traffic tăng đột biến là một "giải pháp tình thế" để chống DDoS không?? Theo quan điểm của mình, cơ chế quan sát và hạn chế là kiến thức cơ bản trong việc phòng chống DDoS. Giải pháp tình thế tốt nhất để chống DDoS là tắt luôn server cho xong chuyện (không hiểu BKAV có xài chiêu này khi bị tấn công trong ngày 5/09 rồi nói là nâng cấp server gì gì đó không?).
-Vài ngàn IP cũng có thể đón lõng được, nếu phân tích đúng được kiểu tấn công, và dùng phần mềm hỗ trợ, mình ví dụ như IPS đã nói ở trên
-Theo mình khi ddos thì ip trong gói tin gửi tới server là ip của zoombie chứ ko phải ip của attacker (master), và nó cũng chẳng khác gì 1 máy tính thông thường cả, với kiến thức bảo mật còn hạn chế như mình thì mình nghĩ có thể thiết lập 1 luận là nếu 1 ip nào đó trong 1 giây gửi >=5 (10 - 15...) gói tin gì đó thì block ip đó lại??? He he, chẳng nhẽ các bác bkis cũng dùng cách này? Thế thì gà quá.
-Cái câu có chữ backdoor của bạn mình ko hiểu lắm, vì theo mình hiểu thì ông bạn này điều khiển botnet qua irc chứ ko liên quan gì tới backdoor cả (hay ý bạn là backdoor tại zoombie?)
- Thực sự thì mình cũng chưa biết được cách chống DDos nào là tốt nhất, có lẽ vẫn chỉ là thiết lập được những luật tốt và đối phó với từng cuộc tấn công thôi  (
|
|
|
|
Có một câu đọc được đâu đó trong CEH đại ý rằng: Khi hệ thống của bạn bị tấn công (hacker, virus, rootkit...) bạn không thể tin tưởng nó nữa!
Nếu máy bạn bị nhiềm virus trước, rồi mới cài phần mềm AV thì nó hoàn toàn có thể "xử lý" AV đó
Hoặc nếu rootkit mà lên trước drive của AV (nhảy lên trước nhất tại Ring 0) thì AV không thể xóa nó
Tốt nhất bạn xác định file virus. rồi dùng đía boot mà xóa file cho nhanh.
Regard.
|
|
|
|
lamer wrote:
Tập tin HTML này có một đoạn mật khẩu nhưng đã bị đổi mã. Nếu tìm ra được đoạn mật khẩu này, các bạn sẽ biết được nhiều cách mà người tấn công có thể sử dụng để che dấu mã độc của họ.
http://www.yousendit.com/download/Y2o5d0VPK3hwTVZjR0E9PQ
Vấn đề nằm ở "charset=US-ASCII" thôi
|
|
|
|
quỷ lệ wrote:
refresh là request àh?
Mỗi lần ấn refresh, trình duyệt sẽ gửi 1 http request tới web sever chứa website mà nó đang hiển thị
|
|
|
|
|
|
|
|
![[Rule]](/hvaonline/templates/viet/images/icon_mini_rule.gif "[Rule]"){kind=icon}
![[Home]](/hvaonline/templates/viet/images/icon_mini_groups.gif "[Home]"){kind=icon}
![[Portal]](/hvaonline/templates/viet/images/icon_mini_portal.gif "[Portal]"){kind=icon}
![[Members]](/hvaonline/templates/viet/images/icon_mini_members.gif "[Members]"){kind=icon}
![[Statistics]](/hvaonline/templates/viet/images/icon_mini_stats.gif "[Statistics]"){kind=icon}
![[Search]](/hvaonline/templates/viet/images/icon_mini_search.gif "[Search]"){kind=icon}
![[Reading Room]](/hvaonline/templates/viet/images/icon_mini_book.gif "[Reading Room]"){kind=icon}
![[Register]](/hvaonline/templates/viet/images/icon_mini_register.gif "[Register]"){kind=icon}
Register![[Login]](/hvaonline/templates/viet/images/icon_mini_login.gif "[Login]"){kind=icon}
Login [
