banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Messages posted by: somenuchi  XML
Profile for somenuchi Messages posted by somenuchi [ number of posts not being displayed on this page: 0 ]
 
Mấy cái request dạng này đều có điểm chung nhât định. Theo như log bạn gửi lên thì nó đều chứa referer từ một site không có thực nào đó. Bạn có thể dựa vào điểm này để loại bỏ các request bất hợp lệ. VD như chỉ cho những request nào có referer được phép thì mới được truy cập, tất cả các dạng khác thì deny.
Ngoài ra bạn có thể tìm thêm một số đặc điểm nhận dạng khác để kết hợp, giảm thiểu tình trạng chặn nhầm.
Nếu cứ có keep-alive mà chặn thì bạn sẽ chặn nhầm rất nhiều trường hợp.
Chỉ keep-alive không thôi thì không đủ để coi đó là dấu hiệu DDoS.
Nếu bạn không ngại thay đổi cấu trúc website thì cách đơn giản và khá phổ biến sau đây có thể xử lý được:
B1: Chuyển toàn bộ source code vào thư mục mới (new_folder) nằm dưới thư mục cũ.
B2: Tại thư mục cũ tạo một file index.html có nhiệm vụ khi người dùng click vào đường link thì sẽ wwwect vào thư mục mới.
Cách này hơi bất tiện cho người truy cập web nhưng khá đơn giản. Apache sẽ chỉ trả ra 1 file html do đó tải sever sẽ không tăng đáng kể. Trong trường hợp của bạn thì sẽ có hiệu quả.

ftp không kết nối được thì bạn kiểm tra xem service ftp đã chạy chưa?
Bạn có thể kiểm tra theo hướng dẫn bên dưới:
Code:
http://www.sudosu.in/2013/03/ftp-service-is-not-workinglistening-in.html
Trên modsecurity.org ghi mod security cho Nginx là bản stable rồi.

Code:
http://www.modsecurity.org/download/
Trên OpenVZ vẫn dùng được mod connlimit của iptables, nhưng nó phải được add từ server thay vì add trên VM.
Còn để xử lý slow read thì không thể chỉ dựa vào Nginx được, bạn thử tìm hiểu phuơng thức xử lý của mod_security xem sao.

Link:
Code:
http://blog.spiderlabs.com/2012/01/modsecurity-advanced-topic-of-the-week-mitigation-of-slow-read-denial-of-service-attack.html
Bạn dump file để phân tích hoặc gửi lên forum xem.
bạn tìm hiểu về mod_rpaf có đáp ứng nhu cầu của bạn không.
Code:
http://stderr.net/apache/rpaf/

tuanksor tham khảo mod recent của iptables có đáp ứng mục đích của bạn không.

link:
Code:
http://linux.die.net/man/8/iptables


recent

Allows you to dynamically create a list of IP addresses and then match against that list in a few different ways.
Trong mấy cái rule mà bạn đưa lên chẳng có cái rule này DROP bất cứ thứ gì cả. Bạn thử trả lời những câu hỏi sau xem có giúp ích được không.
1. Bạn có hiểu rõ ý nghĩa của từng rule trong bảng iptables mà bạn đã add không ?
2. Bạn đã thử xoá hết các rule đi để kiểm tra chưa ?
3. Bạn đã Disable SElinux chưa ?
Cá nhân mình thấy không có một tiêu chí, định hướng cụ thể nào ứng được với tất cả mọi người. Theo mình cách tốt nhất cũng giống như ý kiến của Ikut đã đưa ra đó là bạn phải thử sức mình trong một công việc thực tế. Nó cho phép bạn có cái nhìn thực thay vì phải hỏi ý kiến, đánh giá của người khác vì đó chỉ vẫn chỉ là kinh nghiệm, là cái nhìn của người được hỏi, không phải là nhìn nhận của bạn và chỉ có bạn thì mới biết cái gì thì phù hợp với mình.

Nếu không thể hay chưa thể bắt đầu với một công việc thực tế thì hãy đơn giản là xem qua các web site tuyển dụng cho vị trí quản trị mạng / quản trị hệ thống để có cái nhìn khái quát về nhu cầu tuyển dụng hiện nay.

Cá nhân mình thấy học không bao giờ là thừa. Nếu bạn quan tâm đến database hãy cứ thử bắt đầu với nó, trong quá trình học bạn sẽ tự biết nó có phù hợp với bạn không.

Lời cuối : Cái đích mà bạn hướng đến không phải lúc nào cũng là nơi bạn thực sự đến, có khi bạn sẽ rẽ sang một nhánh khác trong quá trình tìm tòi, học hỏi và trải nghiệm thực tế, đơn giản vì bạn đã tự nhận thức được một hướng đi khác phù hợp hơn.
Chủ đề này rất hay và cũng đang là một trong những vấn đề mình quan tâm. Xin được tham gia thảo luận và đóng góp một vài ý kiến.

1 Đối với người dùng cuối ở nước ngoài, Tinh thần tôn trọng bản quyền cao hơn so với ở Việt Nam cho nên khi training hay khuyến khích họ sử dụng các phần mềm nguồn mở sẽ có thuận lợi lớn hơn so với ở Việt Nam.

2 Một số công ty, tổ chức sử dụng các ứng dụng riêng biệt có thể không hoàn toàn tuơng thích được với nền tảng linux ngay cả khi sử dụng các giải pháp ảo hoá.

Do đó theo mình khả năng chạy đan xen giữa 2 nền tảng windows và Linux sẽ hợp lý hơn, đặc biệt là ở phía người dùng cuối.

3. Trình tự triển khai hợp lý cũng ảnh hưởng rất lớn đến khả năng thành công của dự án. Về điểm này rất mong bạn Ikut3 có thể chia sẻ thêm kinh nghiệm khi thực hiện.
Tài liệu của apache viết khá chi tiết, bạn nêu đọc kĩ trước.

Với apache 2.2
--enable-MODULE=static
By default enabled modules are linked statically. You can force this explicitly.

Code:
http://httpd.apache.org/docs/2.2/programs/configure.html


Với Apache 2.4
--enable-MODULE=shared
The corresponding module will be build as DSO module. By default enabled modules are linked dynamically.

Code:
http://httpd.apache.org/docs/2.4/programs/configure.html
HVA có thẻ IMG cho phép bạn có thể post hình từ một site chia sẻ ảnh như imageshack chẳng hạn. Bạn up lên một site chia sẻ ảnh rồi post link lên.
Bạn không hiểu điểm nào trong những cái hình này thì nên nói cụ thể ra thì các thành viên khác mới có thể giải thích cho bạn được. Thuật toán này bạn có thể được học trong toán rời rạc của bậc cao đẳng hoặc đại học ở VN, ngoài ra khi tìm hiểu về routing OSPF cũng sẽ nhắc đến thuật toán này, có thể nói đấy là một ví dụ thực tiễn của thuật toán dijkstra trong thực tế. Muốn hiểu được thuật toán này thì sau khi đọc tốt nhất bạn nên làm thử các bài tập của nó.
Cách quanta đưa ra theo 2 link ở trên chỉ có thể được thực hiện nếu jin9x có quyền quản trị server chạy openvz hoặc được hỗ trợ từ nhà cung cấp. Ngoài cách sử dụng lệnh vzctl thì bạn có thể sửa trực tiếp trên file config của máy ảo đó.
Mình thấy hầu hết các bài bị đưa vào trash đều do các thành viên mới hoặc ít tham gia diễn đàn khởi tạo. Do đó theo mình thì nên có một cái thông báo hiện lên trước khi tạo một topic mới đối với các thành viên dạng này. Trong đó là những lời nhắc và gợi ý trước khi tạo một bài viết mới, thay vì phải chặn IP, ban nick hay nhắc nhở nhiều lần.
Ngoài kiểm tra traffic bạn có kiểm tra load, CPU, memory của hệ thống có bị quá tải không ?
Với yêu cầu của bạn, bạn thử tìm hiểu về bonding xem :
Code:
http://wiki.openvz.org/Bonding

caochivicm wrote:
Thanks bạn, nếu mình sử dụng 4 sợi cho 2 máy luôn có được không? gì đâu dây kia mình không biết kết nói đến đâu, nên không thể tách đậu kia được. 

Ở trên mình có ghi khá rõ rồi. Bạn chú ý phần in đậm. vd:
các dây trắng xanh lá, xanh lá, trắng xanh da trời, xanh da trời làm một đầu nối vào các chân 1,2,3,6 tới máy A.
các dây trắng cam, cam, trắng nâu, nâu làm một đầu nối vào các chân 1,2,3,6 tới máy B.
thì đầu dây mạng còn lại cũng tách ra làm 2 với cùng thứ tự như thế nối vào switch hoặc modem.
Nếu nối dây như bạn lúc đầu thì một trong 2 máy tinh sẽ không vào được mạng.
Chuẩn ethernet 100mb chỉ đòi hỏi phải sử dụng 4/8 sợi của CAT5e phổ thông. Do đó nếu muốn sử dụng 1 sợi cáp cho 2 máy tính thì mỗi đầu dây bạn phải tách ra 2 cặp 4 sợi và 4 sợi này đều phải được đưa vào đúng các chân 1,2,3,6. Tuy nhiên cách làm này có thể dẫn đến gây nhiễu tín hiệu, nếu không có lý do gì đặc biệt thì bạn vẫn nên sử dụng 2 sợi cáp riêng biệt hoặc dùng switch chia mạng sẽ ổn định hơn.

phuongnvt wrote:
vậy dùng linksys được không bác ? 

Đồ linksys cũng là của cisco nhưng nó thiếu nhiều tính năng nên nó không thay thế được cho các switch của tiêu chuẩn của cisco hay juniper.
@ gazzzzzit : Trong topology của bạn mình không thấy phần nào chia địa chỉ cho các phòng ban.
Bạn có thể nói cụ thể hơn không ? Bạn kiểm tra thế nào để biết được nguyên nhân xuất phát từ card mạng?
Theo mình web bên bạn load chậm có thể xuất phát từ một nguyên nhân khác.
Mình không hiểu lắm. Sao bạn lại cần phải add thêm 1 card mạng nữa cho VPS ?
Những thiết lập cho VPS OpenVZ đều có thể được thực hiện thông qua lệnh vzctl hoặc sửa file conf của VPS đó. Bạn có thể tham khảo về lệnh vzctl theo link dưới.
Code:
http://wiki.openvz.org/Man/vzctl.8

Ý nghĩ các tham số của prefork và worker bạn tham khảo theo link sau:
Code:
http://httpd.apache.org/docs/2.2/mod/prefork.html
 http://httpd.apache.org/docs/2.2/mod/worker.html

Những câu hỏi kiểu này trên HVA có rất nhiều rồi. Bạn có thể search trong HVA hoặc đọc các thông tin tuyển dụng để tìm cho mình hướng đi phù hợp.
- Tiếng anh tối thiểu ở mức đọc hiểu tài liệu chuyên ngành.
- Về thiết bị mạng thì bạn có thể tìm hiểu về thiết bị của các hãng như Cisco, juniper với các chứng chỉ như CCNA, CCNP.
- Về máy chủ windows thì tìm hiểu về windows server 2008 với các chứng chỉ như MCITP, MCITP SA.
- Về máy chủ linux thì tìm hiểu về LPI, RHCE.
Trên đây chỉ là những yêu cầu rất phổ thông, ngoài ra tuỳ nhu cầu của mỗi một doanh nghiệp mà còn có thêm các yếu tố cụ thể khác. Các tài liệu liên quan có trên mạng rất nhiều bạn có thể dễ dàng tìm được.

trojan horse wrote:
Cổng (port)
Là một khái niệm trừu tượng dùng để định danh địa chỉ của 1 và chỉ 1 vùng nhớ. Trên nền HDH DOS, ta đã biết các cổng truyền thông nối tiếp và song song như cổng COM 1 định danh vùng nhớ truyền thông nối tiếp thứ nhất theo chuẩn RS232 từ địa chỉ $02F8 đến $02FF, cổng LPT1 là cổng song song điều khiển máy in chiếm vùng nhớ từ địa chỉ $0378 đến $037F…
Trong giao tiếp mạng mỗi cổng đại diện cho 1 vùng nhớ, là nơi chuyển và nhận dữ liệu giữa 2 máy kết nối với nhau. Số lượng cổng có thể mở trên 1 PC là 65535, tuy nhiên chỉ có 1 số ít cổng được dùng. Các cổng còn lại bị đóng và không cho giao tiếp qua.
- Cổng 80 (http-Hypertext Transmission Protocol): phục vụ truyền siêu văn bản.
- Cổng 21 (http-File Transmission Protocol): Cổng dùng cho dịch vụ chuyển file.
- Cổng 23 (telnet): dịch vụ truy cập máy từ xa qua giao diện console.
- Cổng 25 (smtp-Simple Mail Transfer Protocol): Dịch vụ thư tín đơn giản.
- Cổng 110 (pop3): dịch vụ “POP” thư điện tử qua các chương trình như: Outlook…
 

Mình nghĩ bạn hiểu sai khái niệm cổng (Port) của một thiết bị trên PC, với cổng (Port) của một dịch vụ mạng. Bạn có thể đọc thêm tài liệu liên quan đến transport layer để biết thêm chi tiết.

kurtresmi wrote:
Em đang phân vân không biết nên chọn ngành lập trình hay quản trị mạng. Mong các mems phân tích cho em đặc điểm từng ngành và cơ hội nghề nghiệp trong 2 ngành trên. Thaks các mems trước! smilie  

Bạn chọn ngành nào cũng được. Điểm quan trọng nhất là bạn phải yêu thích, có tâm huyết với ngành mình theo học và làm việc. Mỗi lĩnh vực ngành nghề đều có cái hay, cái dở riêng của nó. Nếu bạn không biết lựa chọn thế nào thì cứ tham gia vào cả hai, tự bạn sẽ thấy được cái gì là phù hợp với mình. Thời điểm mới bắt đầu thường mất nhiều thời gian và khá lúng túng để chọn lựa hướng đi phù hợp, nhưng khi bạn đã tham gia, đã tự trải nghiệm, bạn sẽ có được câu trả lời cho mình. Phân tích của các thành viên trên HVA về lập trình và quản trị mạng có khá nhiều, bạn có thể search các bài viết liên quan trong mục thảo luận định hướng.
Theo mình thì zimbra có nhiều tính năng và phần giao diện người dùng tốt hơn so với iredmail. Tuy nhiên bạn cần cân nhắc lựa chọn bản trả phí và bản miễn phí của zimbra. Theo mình điểm khác nhau lớn nhất ở hai bản này là phần tính năng domain admin chỉ có trên bản trả phí.
Bạn có thể tham khảo qua bảng so sánh tính năng sau đây :
Code:
http://www.zimbra.com/products/compare_products.html
Bạn thử tìm hiểu về Network Bridge xem.
Bạn có thể tham khảo hướng dẫn theo link sau :
Code:
http://www.windowsnetworking.com/articles_tutorials/wxpbrdge.html



Với Apache thì bạn thay đổi như vậy là được rồi còn với directadmin thì mình không rõ.
Sau khi thực hiện các thay đổi này bạn đã restart hay reload lại httpd chưa ?
 
Go to Page:  Page 2 Last Page

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|