|
|
Mình mới mua 1 con vps chạy centos 5. với phiên bản kernel là :
Code:
2.6.18-308.el5.028stab099.3
iptables là
Code:
khi mình đánh câu lệnh
Code:
iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 20 --connlimit-mask 32 -j DROP
để chống lại slowloris nhưng lại báo lỗi sau
Code:
iptables: Unknown error 4294967295
. trong khi máy của mình củng xài phiên bản kernel 2.6.18-308 cùng phiên bản iptables thì vẫn có connlimit và limit. nên mình ko hiểu dc.
nhờ mọi người tư vấn giúp
|
|
|
conmale wrote:
khang0001 wrote:
conmale wrote:
yum install nc
hizhiz. em đã cài nc từ lâu rồi anh Conmale ơi. nếu chưa cài nc thì nó phải báo lỗi khác chứ ạ. còn dòng báo lỗi trong /etc/sysctl.conf. có vẻ như em chưa có tập lệnh đó thì phải.
Nếu netcat đã có rồi thì thử:
nc -vv -u -l 9 &
rồi thử lại đi.
Còn mấy cái lỗi trong sysctl là do kernel của em cũ nên mấy cái parameters nào dùng cho kernel 2.6.25 trở đi mới có thì sẽ bị báo lỗi như vậy trên kernel của em.
thử với lệnh nc -vv -u -l 9 &
kết quả
Code:
[root@dhcppc38 ~]# nc -vv -u -l 9 &
[1] 1628
sau đó em đã thử flood udp thì vẫn gặp tình trạng ngẽn đường truyền ssh và truy cập web gặp khó khăn.
vậy h em có cần phải nâng cấp kernel của em lên 2.6.25 không ạ.
|
|
|
conmale wrote:
yum install nc
hizhiz. em đã cài nc từ lâu rồi anh Conmale ơi. nếu chưa cài nc thì nó phải báo lỗi khác chứ ạ. còn dòng báo lỗi trong /etc/sysctl.conf. có vẻ như em chưa có tập lệnh đó thì phải.
|
|
|
conmale wrote:
Thử ngưng dịch vụ discard đi. Chạy cái này:
nc -vv -u -l 9
Rồi thảy mấy cái này vô trong /etc/sysctl.conf:
net.netfilter.nf_conntrack_udp_timeout = 5
net.netfilter.nf_conntrack_udp_timeout_stream = 10
net.ipv4.udp_mem = 758496 1011328 1516992
net.ipv4.udp_rmem_min = 8192
net.ipv4.udp_wmem_min = 8192
Rồi chạy: sysctl -p
Rồi thử lại coi?
Đã config lại file /etc/sysctl.conf theo cấu hình sau
Code:
[root@dhcppc38 ~]# sysctl -p
net.ipv4.ip_forward = 0
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.default.accept_source_route = 0
kernel.sysrq = 0
kernel.core_uses_pid = 1
net.ipv4.tcp_syncookies = 1
kernel.msgmnb = 65536
kernel.msgmax = 65536
kernel.shmmax = 4294967295
kernel.shmall = 268435456
error: "net.netfilter.nf_conntrack_tcp_timeout_syn_sent" is an unknown key
error: "net.netfilter.nf_conntrack_tcp_timeout_syn_recv" is an unknown key
net.ipv4.tcp_syn_retries = 5
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_fin_timeout = 10
error: "net.netfilter.nf_conntrack_udp_timeout" is an unknown key
error: "net.netfilter.nf_conntrack_udp_timeout_stream" is an unknown key
net.ipv4.udp_mem = 758496 1011328 1516992
net.ipv4.udp_rmem_min = 8192
net.ipv4.udp_wmem_min = 8192
nhưng bị báo lỗi
Code:
error: "net.netfilter.nf_conntrack_udp_timeout" is an unknown key
error: "net.netfilter.nf_conntrack_udp_timeout_stream" is an unknown key
- sau khi stop dịch vụ xinetd và thử chạy câu lệnh
Code:
thì không có dấu hiệu gì xẩy ra chỉ thấy xuống hàng . nên em đánh ctrl + c để thoát ra
Code:
[root@dhcppc38 ~]# nc -vv -u -l 9
không biết là máy em có config sai chỗ nào không mà câu lệnh nc -vv -u -l 9 và 2 dòng trên bị báo lỗi.
|
|
|
conmale wrote:
khang0001 wrote:
conmale wrote:
Vậy thì REDIRECT có thể được dùng. Vấn đề là phải đọc tài liệu căn bản của iptables để hiểu cần phải dùng ra làm sao.
Kernel 32-bit không thể dùng gói cho 64-bit mà cài được.
Em đã thêm Rule REDIRECT vào bảng nat . với cấu hình như sau.
Code:
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*nat
REROUTING DROP [0:0]
-A PREROUTING -p udp -j REDIRECT --to-ports 9
-A PREROUTING -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
COMMIT
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
COMMIT
sau đó em dùng low orbit ion cannon. để flood UDP tiếp và dùng câu lệnh
Code:
watch iptables -L -n -v -t nat
để xem traffic thì thấy
Code:
Every 2.0s: iptables -L -n -v -t nat Mon Mar 12 08:17:23 2012
Chain PREROUTING (policy DROP 63 packets, 1788 bytes)
pkts bytes target prot opt in out source destination
522K 31M REDIRECT udp -- * * 0.0.0.0/0 0.0.0.0/0 www ports 9
10 600 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80
Chain POSTROUTING (policy ACCEPT 4 packets, 303 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 4 packets, 303 bytes)
pkts bytes target prot opt in out source destination
quả thật là udp đã đến công số 9. nhưng ssh vẫn bị dơ. truy cập web vẫn ko khó khăn. vậy em đã làm đúng chưa ạ. em mún cho wwwect trên bảng mangle nhưng khi dùng câu lệnh mangle thì báo lỗi ko thể dùng được.
Đừng có set cái policy cho PREOUTING là DROP. Cứ để cho nó wwwect vô port 9 là xong.
Đã nhắc nhiều lần là không dùng ngôn ngữ chít chát rồi mà?
Em đã set cái policy cho PREOUTING là ACCEPT luôn rồi.
Code:
Every 2.0s: iptables -L -vn -t nat Mon Mar 12 08:52:46 2012
Chain PREROUTING (policy ACCEPT 23 packets, 840 bytes)
pkts bytes target prot opt in out source destination
923K 55M REDIRECT udp -- * * 0.0.0.0/0 0.0.0.0/0 www ports 9
Chain POSTROUTING (policy ACCEPT 5 packets, 324 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 5 packets, 324 bytes)
pkts bytes target prot opt in out source destination
nhưng vẫn bị tình trạng đơ khi truy cập web và ssh. có cách nào để khăc phục tình trạng trên không ạ. không lẽ đành phải set rule deny ip , anh Conmale.
P/s : em quên nên viết tắt. anh Conmale thứ lỗi. cho em hỏi 1 câu ngoài lề là nick Conmale của anh có ý nghĩa gì vậy ạ. vì sao anh lại chọn nick đó ạ.
|
|
|
conmale wrote:
Vậy thì REDIRECT có thể được dùng. Vấn đề là phải đọc tài liệu căn bản của iptables để hiểu cần phải dùng ra làm sao.
Kernel 32-bit không thể dùng gói cho 64-bit mà cài được.
Em đã thêm Rule REDIRECT vào bảng nat . với cấu hình như sau.
Code:
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*nat
REROUTING DROP [0:0]
-A PREROUTING -p udp -j REDIRECT --to-ports 9
-A PREROUTING -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
COMMIT
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
COMMIT
sau đó em dùng low orbit ion cannon. để flood UDP tiếp và dùng câu lệnh
Code:
watch iptables -L -n -v -t nat
để xem traffic thì thấy
Code:
Every 2.0s: iptables -L -n -v -t nat Mon Mar 12 08:17:23 2012
Chain PREROUTING (policy DROP 63 packets, 1788 bytes)
pkts bytes target prot opt in out source destination
522K 31M REDIRECT udp -- * * 0.0.0.0/0 0.0.0.0/0 www ports 9
10 600 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80
Chain POSTROUTING (policy ACCEPT 4 packets, 303 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 4 packets, 303 bytes)
pkts bytes target prot opt in out source destination
quả thật là udp đã đến công số 9. nhưng ssh vẫn bị dơ. truy cập web vẫn ko khó khăn. vậy em đã làm đúng chưa ạ. em mún cho wwwect trên bảng mangle nhưng khi dùng câu lệnh mangle thì báo lỗi ko thể dùng được.
|
|
|
conmale wrote:
phiên bản của iptables không quyết định có REDIRECT hay không mà kernel module quyết định chuyện này.
Thử chạy lsmod | grep REDIRECT
coi thử nó báo cái gì?
Kernel của em là phiên bản nào? Chạy 32-bit hay 64-bit mà đòi cài cái iptables-1.4.6-1.el6.x86_64.rpm?
Đây là vấn nạn của tình trạng đọc và làm theo nhưng không hiểu rõ ngọn ngành của những thứ mình dùng. Em đốt giai đoạn và không chuẩn bị cho mình cái nền cho nên thủng lổ lung tung hết.
lsmod | grep REDIRECT
Code:
ipt_REDIRECT 6081 0
ip_nat 21101 1 ipt_REDIRECT
x_tables 17349 3 ipt_REDIRECT,xt_tcpudp,ip_tables
Kernel của em phiên bản 2.6.18-194.el5. chạy 32 bit ạ.
|
|
|
Nonstop wrote:
Xin chào tất cả anh/chị/chú/bác.
Em/cháu có thắc mắc nho nhỏ về việc học security mong mọi người giải đáp giúp.
Theo mọi người lộ trình học như thế này có được không :
CCNA sau đó là MCSA song song với MCSE tiếp là MCITP và cuối là CEH.
Thanks.
MCSE là nâng cap của MCSA . nên học cả 2 song song là không nên. nếu đã chuyên sâu về security thì cậu nên học thêm về linux. sẽ bổ trợ cho cậu nhiều hơn trong CEH.
|
|
|
conmale wrote:
khang0001 wrote:
conmale wrote:
Trong mớ ở trên, chỗ nào nói là đã DROP udp đâu?
"Em đang cấu hình iptables với rule sau"
-A INPUT -p udp -j DROP
--> em "cấu hình" ở đâu? Cụ thể em làm những gì? Hãy trình bày cụ thể từng bước em thực thi xem?
1. đầu tiên em dùng lệnh vi /etc/sysconfig/iptables để add thêm rule drop udp vào iptables
A INPUT -p udp -j DROP
sau đây là toàn bộ rule của iptables của em
Code:
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -j DROP
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
sau đó restart lại dịch vụ iptables để rule được thực thi.
kiểm tra lại bằng lệnh iptables -L -v -n
Code:
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
93 5796 RH-Firewall-1-INPUT all -- * * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 93 packets, 11092 bytes)
pkts bytes target prot opt in out source destination
Chain RH-Firewall-1-INPUT (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
84 5052 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
5 628 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80
4 116 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
sau đó em đã thử bằng cách dùng chương trình low orbit ion cannon để flood udp đến web server trong mạng local. và dùng tcpdump bắt dc cả mấy chục ngàn gói tin udp . bên cạnh đó truy cập web rất chậm và ssh bị đơ luôn.
nhờ anh conmale chỉ giúp với ạ
Lần trước không có cái này:
5 628 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0
Lần này thì có.
Chứng tỏ lần trước làm sai gì đó.
Web chậm và ssh bị đơ là do đường truyền bị nghẽn do UDP flood. Trong trường hợp này iptables cản INPUT là vô ích. Tìm đọc vài chương cuối của "Ký sự DDoS HVA" để tìm hiểu thêm.
Em đã đọc kí sự ddos HVA phần 24. và cài đặt thành công dịch vụ Discard. nhưng đến lúc thêm rule REDIRECT thì ko được. có lẽ do phiên bản iptables của em là 1.3.5 đã củ rồi nên ko có REDIRECT. em tìm trên mạng có phiên bản iptables-1.4.6-1.el6.x86_64.rpm . nhưng dành cho Centos 6. còn của em là centos 5.5 ko biết cài vô có sao ko nữa. Anh conmale có gợi ý gì cho em trong trường hợp nầy ko ạ.
|
|
|
conmale wrote:
Trong mớ ở trên, chỗ nào nói là đã DROP udp đâu?
"Em đang cấu hình iptables với rule sau"
-A INPUT -p udp -j DROP
--> em "cấu hình" ở đâu? Cụ thể em làm những gì? Hãy trình bày cụ thể từng bước em thực thi xem?
1. đầu tiên em dùng lệnh vi /etc/sysconfig/iptables để add thêm rule drop udp vào iptables
A INPUT -p udp -j DROP
sau đây là toàn bộ rule của iptables của em
Code:
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -j DROP
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
sau đó restart lại dịch vụ iptables để rule được thực thi.
kiểm tra lại bằng lệnh iptables -L -v -n
Code:
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
93 5796 RH-Firewall-1-INPUT all -- * * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 93 packets, 11092 bytes)
pkts bytes target prot opt in out source destination
Chain RH-Firewall-1-INPUT (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
84 5052 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
5 628 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80
4 116 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
sau đó em đã thử bằng cách dùng chương trình low orbit ion cannon để flood udp đến web server trong mạng local. và dùng tcpdump bắt dc cả mấy chục ngàn gói tin udp . bên cạnh đó truy cập web rất chậm và ssh bị đơ luôn.
nhờ anh conmale chỉ giúp với ạ
|
|
|
conmale wrote:
chạy iptables -L -v -n và gởi kết quả lên coi?
đây ạ
Code:
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
18 928 RH-Firewall-1-INPUT all -- * * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 24 packets, 2464 bytes)
pkts bytes target prot opt in out source destination
Chain RH-Firewall-1-INPUT (1 references)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
18 928 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80
0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
|
|
|
có ai giúp dùm em với
|
|
|
Em đang cấu hình iptables với rule sau
Code:
với mục đích là drop tất cả gói tin udp, từ bất cứ nguồn nào và bất cứ port nào. thế nhưng gói tin UDP vẫn qua được
- cách em test như sau :
- 1 máy trong mạng lan, dùng ct low orbit ion cannon, sữ dụng UDP flood vào cổng 80 của server, máy server đã cài rule như trên , dùng tcpdump để bắt gói packet. em đã thử dùng rất nhiều rule của iptables để chặn triệt để gói tin udp nhưng ko cái nào khả thi cả.
- nhờ các anh chỉ giúp , câu lệnh trên của em bị sai chỗ nào ạ
|
|
|
Mình đang xây dựng 1 system chống ddos. đang dùng web hunter để test. nhưng web hunter đòi hỏi phải có proxy mới có thể chạy dc. nên nhờ mọi người chỉ giúp cách làm proxy trong mạng local.
|
|
|
mình đã thiết lập 1 mô hình 3 máy. trong đó máy web server chạy centos ip 192.168.1.40 . còn máy ddos chạy backtrack 5 ip : 192.168.1.41 . còn 1 máy dùng để kiểm tra đường truyền và truy cập thử.
máy back track mình chạy ct ddos slowloris với câu lệnh
Code:
./sloworis.pl - dns 192.168.1.40
ở máy web server chạy tcpdump thì được file dump với thông số mình như sau:
Code:
18:00:18.773141 IP 192.168.1.40.http > 192.168.1.41.41117: P 1:488(487) ack 239 win 1716 <nop,nop,timestamp 1794571 94534>
18:00:18.773710 IP 192.168.1.40.http > 192.168.1.41.41117: F 488:488(0) ack 239 win 1716 <nop,nop,timestamp 1794571 94534>
18:00:18.773700 IP 192.168.1.41.41117 > 192.168.1.40.http: R 290594790:290594790(0) win 0
18:00:18.774328 IP 192.168.1.41.41117 > 192.168.1.40.http: R 290594790:290594790(0) win 0
18:00:18.774870 IP 192.168.1.40.http > 192.168.1.41.41238: P 1:488(487) ack 231 win 1716 <nop,nop,timestamp 1794573 94535>
18:00:18.774946 IP 192.168.1.40.http > 192.168.1.41.41238: F 488:488(0) ack 231 win 1716 <nop,nop,timestamp 1794573 94535>
18:00:18.775515 IP 192.168.1.41.41238 > 192.168.1.40.http: R 380264568:380264568(0) win 0
18:00:18.775520 IP 192.168.1.41.41238 > 192.168.1.40.http: R 380264568:380264568(0) win 0
18:00:18.776189 IP 192.168.1.40.http > 192.168.1.41.41060: P 1:488(487) ack 239 win 1716 <nop,nop,timestamp 1794574 94533>
18:00:18.776521 IP 192.168.1.41.41060 > 192.168.1.40.http: R 289287127:289287127(0) win 0
18:00:18.777820 IP 192.168.1.40.http > 192.168.1.41.41248: P 1:488(487) ack 231 win 1716 <nop,nop,timestamp 1794576 94534>
18:00:18.778675 IP 192.168.1.41.41248 > 192.168.1.40.http: R 372654075:372654075(0) win 0
18:00:18.782013 IP 192.168.1.40.http > 192.168.1.41.41255: P 1:488(487) ack 231 win 1716 <nop,nop,timestamp 1794580 94534>
18:00:18.782563 IP 192.168.1.41.41255 > 192.168.1.40.http: R 384751771:384751771(0) win 0
18:00:18.784784 IP 192.168.1.40.http > 192.168.1.41.41271: P 1:488(487) ack 231 win 1716 <nop,nop,timestamp 1794583 94534>
18:00:18.785522 IP 192.168.1.41.41271 > 192.168.1.40.http: R 375844725:375844725(0) win 0
18:00:18.786896 IP 192.168.1.40.http > 192.168.1.41.41237: P 1:488(487) ack 231 win 1716 <nop,nop,timestamp 1794585 94535>
18:00:18.787191 IP 192.168.1.40.http > 192.168.1.41.41237: F 488:488(0) ack 231 win 1716 <nop,nop,timestamp 1794585 94535>
18:00:18.787382 IP 192.168.1.41.41237 > 192.168.1.40.http: R 369676013:369676013(0) win 0
18:00:18.787454 IP 192.168.1.41.41237 > 192.168.1.40.http: R 369676013:369676013(0) win 0
18:00:18.788521 IP 192.168.1.40.http > 192.168.1.41.41239: P 1:488(487) ack 231 win 1716 <nop,nop,timestamp 1794586 94535>
18:00:18.788978 IP 192.168.1.41.41239 > 192.168.1.40.http: R 373647509:373647509(0) win 0
18:00:18.790465 IP 192.168.1.40.http > 192.168.1.41.41240: P 1:488(487) ack 231 win 1716 <nop,nop,timestamp 1794588 94535>
18:00:18.790779 IP 192.168.1.41.41240 > 192.168.1.40.http: R 380926602:380926602(0) win 0
18:00:18.791893 IP 192.168.1.40.http > 192.168.1.41.41241: P 1:488(487) ack 231 win 1716 <nop,nop,timestamp 1794590 94535>
18:00:18.792328 IP 192.168.1.41.41241 > 192.168.1.40.http: R 377043679:377043679(0) win 0
18:00:18.793710 IP 192.168.1.40.http > 192.168.1.41.41242: P 1:488(487) ack 231 win 1716 <nop,nop,timestamp 1794592 94535>
18:00:18.794132 IP 192.168.1.40.http > 192.168.1.41.41242: F 488:488(0) ack 231 win 1716 <nop,nop,timestamp 1794592 94535>
18:00:18.794384 IP 192.168.1.41.41242 > 192.168.1.40.http: R 371423951:371423951(0) win 0
18:00:18.794436 IP 192.168.1.41.41242 > 192.168.1.40.http: R 371423951:371423951(0) win 0
18:00:18.795513 IP 192.168.1.40.http > 192.168.1.41.41254: P 1:488(487) ack 231 win 1716 <nop,nop,timestamp 1794593 94535>
18:00:18.795754 IP 192.168.1.41.41254 > 192.168.1.40.http: R 381595309:381595309(0) win 0
18:00:18.797191 IP 192.168.1.40.http > 192.168.1.41.41256: P 1:488(487) ack 231 win 1716 <nop,nop,timestamp 1794595 94535>
18:00:18.798061 IP 192.168.1.40.http > 192.168.1.41.41256: F 488:488(0) ack 231 win 1716 <nop,nop,timestamp 1794595 94535>
18:00:18.798025 IP 192.168.1.41.41256 > 192.168.1.40.http: R 372289871:372289871(0) win 0
18:00:18.798362 IP 192.168.1.41.41256 > 192.168.1.40.http: R 372289871:372289871(0) win 0
18:00:18.799557 IP 192.168.1.40.http > 192.168.1.41.41061: P 1:488(487) ack 239 win 1716 <nop,nop,timestamp 1794597 94533>
18:00:18.800051 IP 192.168.1.41.41061 > 192.168.1.40.http: R 289771412:289771412(0) win 0
18:00:18.801903 IP 192.168.1.40.http > 192.168.1.41.41244: P 1:488(487) ack 231 win 1716 <nop,nop,timestamp 1794600 94534>
18:00:18.802191 IP 192.168.1.40.http > 192.168.1.41.41244: F 488:488(0) ack 231 win 1716 <nop,nop,timestamp 1794600 94534>
18:00:18.802558 IP 192.168.1.41.41244 > 192.168.1.40.http: R 372237186:372237186(0) win 0
18:00:18.802962 IP 192.168.1.41.41244 > 192.168.1.40.http: R 372237186:372237186(0) win 0
18:00:18.804190 IP 192.168.1.40.http > 192.168.1.41.41245: P 1:488(487) ack 231 win 1716 <nop,nop,timestamp 1794602 94534>
18:00:18.804395 IP 192.168.1.40.http > 192.168.1.41.41245: F 488:488(0) ack 231 win 1716 <nop,nop,timestamp 1794602 94534>
18:00:18.804814 IP 192.168.1.41.41245 > 192.168.1.40.http: R 370239236:370239236(0) win 0
18:00:18.804816 IP 192.168.1.41.41245 > 192.168.1.40.http: R 370239236:370239236(0) win 0
18:00:18.806046 IP 192.168.1.40.http > 192.168.1.41.41246: P 1:488(487) ack 231 win 1716 <nop,nop,timestamp 1794604 94534>
18:00:18.806436 IP 192.168.1.41.41246 > 192.168.1.40.http: R 382948442:382948442(0) win 0
18:00:18.808086 IP 192.168.1.40.http > 192.168.1.41.41249: P 1:488(487) ack 231 win 1716 <nop,nop,timestamp 1794606 94534>
18:00:18.808405 IP 192.168.1.41.41249 > 192.168.1.40.http: R 382781055:382781055(0) win 0
18:00:18.809520 IP 192.168.1.40.http > 192.168.1.41.41250: P 1:488(487) ack 231 win 1716 <nop,nop,timestamp 1794607 94534>
18:00:18.809860 IP 192.168.1.41.41250 > 192.168.1.40.http: R 382183680:382183680(0) win 0
18:00:18.811481 IP 192.168.1.40.http > 192.168.1.41.41251: P 1:488(487) ack 231 win 1716 <nop,nop,timestamp 1794609 94534>
18:00:18.811859 IP 192.168.1.41.41251 > 192.168.1.40.http: R 382033723:382033723(0) win 0
18:00:18.813035 IP 192.168.1.40.http > 192.168.1.41.41252: P 1:488(487) ack 231 win 1716 <nop,nop,timestamp 1794611 94534>
18:00:18.813377 IP 192.168.1.41.41252 > 192.168.1.40.http: R 369279034:369279034(0) win 0
18:00:18.814695 IP 192.168.1.40.http > 192.168.1.41.41253: P 1:488(487) ack 231 win 1716 <nop,nop,timestamp 1794613 94534>
18:00:18.815070 IP 192.168.1.40.http > 192.168.1.41.41253: F 488:488(0) ack 231 win 1716 <nop,nop,timestamp 1794613 94534>
18:00:18.815668 IP 192.168.1.41.41253 > 192.168.1.40.http: R 370859144:370859144(0) win 0
18:00:18.815695 IP 192.168.1.41.41253 > 192.168.1.40.http: R 370859144:370859144(0) win 0
18:00:18.817070 IP 192.168.1.40.http > 192.168.1.41.41217: P 1:488(487) ack 231 win 1716 <nop,nop,timestamp 1794615 94535>
18:00:18.817347 IP 192.168.1.41.41217 > 192.168.1.40.http: R 340337350:340337350(0) win 0
18:00:18.818989 IP 192.168.1.40.http > 192.168.1.41.41218: P 1:488(487) ack 231 win 1716 <nop,nop,timestamp 1794617 94535>
18:00:18.819384 IP 192.168.1.41.41218 > 192.168.1.40.http: R 338502919:338502919(0) win 0
18:00:18.820630 IP 192.168.1.40.http > 192.168.1.41.41247: P 1:488(487) ack 231 win 1716 <nop,nop,timestamp 1794618 94535>
18:00:18.821047 IP 192.168.1.40.http > 192.168.1.41.41247: F 488:488(0) ack 231 win 1716 <nop,nop,timestamp 1794619 94535>
18:00:18.821118 IP 192.168.1.41.41247 > 192.168.1.40.http: R 381401928:381401928(0) win 0
18:00:18.821417 IP 192.168.1.41.41247 > 192.168.1.40.http: R 381401928:381401928(0) win 0
18:00:18.822632 IP 192.168.1.40.http > 192.168.1.41.41274: P 1:488(487) ack 231 win 1716 <nop,nop,timestamp 1794620 94535>
18:00:18.823022 IP 192.168.1.40.http > 192.168.1.41.41274: F 488:488(0) ack 231 win 1716 <nop,nop,timestamp 1794621 94535>
18:00:18.823074 IP 192.168.1.41.41274 > 192.168.1.40.http: R 387958282:387958282(0) win 0
18:00:18.823656 IP 192.168.1.41.41274 > 192.168.1.40.http: R 387958282:387958282(0) win 0
18:00:18.824812 IP 192.168.1.40.http > 192.168.1.41.41276: P 1:488(487) ack 231 win 1716 <nop,nop,timestamp 1794623 94535>
18:00:18.825102 IP 192.168.1.40.http > 192.168.1.41.41276: F 488:488(0) ack 231 win 1716 <nop,nop,timestamp 1794623 94535>
18:00:18.825517 IP 192.168.1.41.41276 > 192.168.1.40.http: R 382205393:382205393(0) win 0
18:00:18.825721 IP 192.168.1.41.41276 > 192.168.1.40.http: R 382205393:382205393(0) win 0
18:00:19.028495 IP 192.168.1.34.4380 > 192.168.1.40.http: S 3716500718:3716500718(0) win 65535 <mss 1460,nop,nop,timestamp 0 0,nop,nop,sackOK>
18:00:19.029192 IP 192.168.1.40.http > 192.168.1.34.4380: S 922817339:922817339(0) ack 3716500719 win 5840 <mss 1460,nop,nop,sackOK>
18:00:19.029436 IP 192.168.1.34.4381 > 192.168.1.40.http: S 1458436442:1458436442(0) win 65535 <mss 1460,nop,nop,timestamp 0 0,nop,nop,sackOK>
18:00:19.029874 IP 192.168.1.40.http > 192.168.1.34.4381: S 929931266:929931266(0) ack 1458436443 win 5840 <mss 1460,nop,nop,sackOK>
18:00:19.032416 IP 192.168.1.34.4380 > 192.168.1.40.http: . ack 1 win 65535
18:00:19.032489 IP 192.168.1.34.4381 > 192.168.1.40.http: . ack 1 win 65535
18:00:19.032957 IP 192.168.1.34.4380 > 192.168.1.40.http: P 1:437(436) ack 1 win 65535
18:00:19.033224 IP 192.168.1.40.http > 192.168.1.34.4380: . ack 437 win 6432
18:00:19.033017 IP 192.168.1.34.4381 > 192.168.1.40.http: P 1:362(361) ack 1 win 65535
18:00:19.033545 IP 192.168.1.40.http > 192.168.1.34.4381: . ack 362 win 6432
18:00:19.036730 IP 192.168.1.40.http > 192.168.1.34.4380: . 1:1461(1460) ack 437 win 6432
18:00:19.036749 IP 192.168.1.40.http > 192.168.1.34.4380: . 1461:2921(1460) ack 437 win 6432
18:00:19.039268 IP 192.168.1.40.http > 192.168.1.34.4381: P 1:466(465) ack 362 win 6432
18:00:19.039310 IP 192.168.1.40.http > 192.168.1.34.4381: F 466:466(0) ack 362 win 6432
18:00:19.039791 IP 192.168.1.34.4380 > 192.168.1.40.http: . ack 2921 win 65535
18:00:19.039869 IP 192.168.1.40.http > 192.168.1.34.4380: . 2921:4381(1460) ack 437 win 6432
18:00:19.039916 IP 192.168.1.40.http > 192.168.1.34.4380: . 4381:5841(1460) ack 437 win 6432
18:00:19.040008 IP 192.168.1.40.http > 192.168.1.34.4380: . 5841:7301(1460) ack 437 win 6432
18:00:19.043005 IP 192.168.1.34.4381 > 192.168.1.40.http: . ack 467 win 65070
18:00:19.045448 IP 192.168.1.34.4380 > 192.168.1.40.http: . ack 5841 win 65535
18:00:19.046119 IP 192.168.1.40.http > 192.168.1.34.4380: . 7301:8761(1460) ack 437 win 6432
18:00:19.046192 IP 192.168.1.40.http > 192.168.1.34.4380: . 8761:10221(1460) ack 437 win 6432
18:00:19.046408 IP 192.168.1.40.http > 192.168.1.34.4380: . 10221:11681(1460) ack 437 win 6432
18:00:19.045773 IP 192.168.1.34.4381 > 192.168.1.40.http: F 362:362(0) ack 467 win 65070
18:00:19.046735 IP 192.168.1.40.http > 192.168.1.34.4381: . ack 363 win 6432
18:00:19.049841 IP 192.168.1.34.4380 > 192.168.1.40.http: . ack 8761 win 65535
18:00:19.050122 IP 192.168.1.40.http > 192.168.1.34.4380: P 11681:13141(1460) ack 437 win 6432
18:00:19.050160 IP 192.168.1.40.http > 192.168.1.34.4380: . 13141:14601(1460) ack 437 win 6432
18:00:19.050192 IP 192.168.1.40.http > 192.168.1.34.4380: . 14601:16061(1460) ack 437 win 6432
18:00:19.051670 IP 192.168.1.34.4380 > 192.168.1.40.http: . ack 11681 win 65535
18:00:19.051727 IP 192.168.1.40.http > 192.168.1.34.4380: P 16061:16870(809) ack 437 win 6432
18:00:19.052263 IP 192.168.1.34.4380 > 192.168.1.40.http: . ack 14601 win 65535
18:00:19.053006 IP 192.168.1.34.4380 > 192.168.1.40.http: . ack 16870 win 65535
18:00:19.059017 IP 192.168.1.34.4380 > 192.168.1.40.http: F 437:437(0) ack 16870 win 65535
18:00:19.059767 IP 192.168.1.34.4380 > 192.168.1.40.http: R 438:438(0) ack 16870 win 0
18:00:19.306963 IP 192.168.1.41.41502 > 192.168.1.40.http: FP 1:230(229) ack 1 win 913 <nop,nop,timestamp 94797 1791979>
18:00:19.309316 IP 192.168.1.40.http > 192.168.1.41.41502: P 1:488(487) ack 231 win 1716 <nop,nop,timestamp 1795107 94797>
18:00:19.309693 IP 192.168.1.40.http > 192.168.1.41.41502: F 488:488(0) ack 231 win 1716 <nop,nop,timestamp 1795107 94797>
18:00:19.309942 IP 192.168.1.41.41502 > 192.168.1.40.http: R 699922692:699922692(0) win 0
18:00:19.310193 IP 192.168.1.41.41502 > 192.168.1.40.http: R 699922692:699922692(0) win 0
18:00:20.354961 IP 192.168.1.41.41465 > 192.168.1.40.http: P 1:230(229) ack 1 win 913 <nop,nop,timestamp 95060 1794063>
18:00:20.356857 IP 192.168.1.40.http > 192.168.1.41.41465: . ack 231 win 1716 <nop,nop,timestamp 1796155 95060>
18:00:20.356103 IP 192.168.1.41.41466 > 192.168.1.40.http: FP 1:230(229) ack 1 win 913 <nop,nop,timestamp 95060 1793157>
18:00:20.362753 IP 192.168.1.40.http > 192.168.1.41.41465: P 1:488(487) ack 231 win 1716 <nop,nop,timestamp 1796160 95060>
18:00:20.364647 IP 192.168.1.41.41465 > 192.168.1.40.http: R 558004003:558004003(0) win 0
18:00:20.368191 IP 192.168.1.40.http > 192.168.1.41.41466: P 1:488(487) ack 231 win 1716 <nop,nop,timestamp 1796166 95060>
18:00:20.368893 IP 192.168.1.40.http > 192.168.1.41.41466: F 488:488(0) ack 231 win 1716 <nop,nop,timestamp 1796167 95060>
18:00:20.369948 IP 192.168.1.41.41466 > 192.168.1.40.http: R 548238874:548238874(0) win 0
18:00:20.370045 IP 192.168.1.41.41466 > 192.168.1.40.http: R 548238874:548238874(0) win 0
18:00:21.162851 IP 192.168.1.40.http > 192.168.1.41.41482: S 929225845:929225845(0) ack 569751786 win 5792 <mss 1460,sackOK,timestamp 1796958 94380,nop,wscale 2>
18:00:21.165725 IP 192.168.1.41.41482 > 192.168.1.40.http: . ack 1 win 913 <nop,nop,timestamp 95261 1796958,nop,nop,sack 1 {0:1}>
18:00:21.177787 IP 192.168.1.34.bxp > 192.168.1.40.ssh: P 1:53(52) ack 168 win 64843
mình đọc mãi chả hiểu nó ghi như vậy là ý gì nên nhờ mọi người phiên dịch giúp mình :
|
|
|
smile_sad wrote:
Mình thấy trong backtrack cũng có 1 số tool DoS thì phải? Bạn cài backtrack ở máy con rùi cấu hình network cho cùng dải LAN với máy server -> cứ thế mà dập.
uhm, mình củng nghĩ vậy, 1 máy web server chạy centos. 1 máy client chạy backtrack để dos. 1 win để test. cả 3 cùng 1 mạng lan.
|
|
|
quanta wrote:
khang0001 wrote:
cậu có thể chỉ mình cách đọc log dc ko. mình nhìn vô log chả biết là ip nào đang dos mình hết
/hvaonline/posts/list/0/32553.html#200845
thanks anh quanta , em đang tu luyện ở mấy cái đoạn script của anh đây ạ.
chiro8x wrote:
Bạn không cần đầu tư một LAN cho tốn kém. Nếu máy tính của cậu cấu hình ổn một chút thì thử cài virtual box xem sao. Còn các mã DoS. Cậu có thể tìm kiếm trên internet. SYN FLOOD, UDP FlOOD, ICMP FlOOD, HTTP FLOOD,.... đều có cả. Sau đó cần có chút kiến thức để build nó và thử nghiệm, ngoài ra cần có 1 vài tool phụ trợ như wireshark kiểm chứng.
Bạn tìm hiểu thêm ở đây
http://en.wikipedia.org/wiki/DoS
P/S: cần thêm chút kiến thức C/C++ để chỉnh mấy cái code chúc bạn vọc vui. Và có kết quả thì dùng wireshark "tóm" lại rồi chia sẽ cho anh em cùng học hỏi. Chứ anh em không có điều kiện như bạn .
mình củng đang làm 1 mạng bằng viturl box với 1 máy centos chạy web server, 2 máy win, 1 win dùng ddos, 1 win dùng để test. nhưng mình vẫn chưa có 1 mô hình hoàn chỉnh để chống ddos. mình đề xuất 1 mô hình thế nầy ko biết là dc chưa .
1 reverse proxy - web server . ở web server chạy mô hình LAMP. với iptables + snort inline chặn tầng ip, mod security chặn tầng apps. không biết còn thiếu cái nào hôn nữa. nhờ mọi người tư vấn giúp.
|
|
|
A.T wrote:
hoá ra cần tools nè search DosHTTP v2.5
cậu có thể chỉ mình cách đọc log dc ko. mình nhìn vô log chả biết là ip nào đang dos mình hết
|
|
|
A.T wrote:
hình như Bạn đang "hoc" ngược quy trình Bảo mật xong thì sang học tấn công .Theo lý thì Người làm bảo mật sẻ có công đoạn như sau :
kiến thức tốt về "mãng" Bạn đang làm sau đó nghiên cứu sâu hơn để nhìn ra những hạn chế,yếu điểm của "mãng" bạn đang làm,sau đó biết cách làm "sai,lệch..." nó, rồi thành Người đưa nó về "trạng thái Ban đầu,đồng thời nêu ra giải pháp khắc phục đi kèm là xong
Gợi ý cho Bạn nhé : Server của Bạn hãy chạy 1 website đơn giản đi, 2 máy Trạm 1 máy chạy request đến website đó,1 máy dùng tấn công.công cụ tấn công dùng http ddos.ban đầu máy trạm 1 truy cập website bình thường,ping web....ok cả,sau đó chạy tools DDoS ...request lại ko vào được website nữa thì xong
thì server của mình chạy webserver rồi . bây h cái mình cần là cái tool để dos server mình đó.
|
|
|
Em đã hoàn thành phần bảo mật , bây giờ chuyển sang phần chống ddos. em định làm 1 mạng lan với 1 server, 2 máy con. trong đó 1 máy con tự dos đến máy server. nhưng em ko biết là làm sao để có thể giả lập dos. dùng phần mềm nào. mọi người có thể tư vấn giúp em được ko ạ
- khi đọc log thì cần lưu ý vấn đề gì để nhận diện dc ip nào đang dos mình. xin nhờ các anh giúp đỡ ạ
|
|
|
mình có 1 cái soft, với mỗi máy sẽ cho ra 1 id khác nhau, dựa vào id nầy sẽ có 1 key để reg. mình thắc mắc là có cách nào để biết nó dựa vào đâu để tạo ra id ứng với mỗi máy. đã thử thay đổi name computer, name của người đăng ký nhưng vẫn ko dc. có pác nào đã từng viết soft dạng nầy cho mình chút kn với
|
|
|
có ai ko , giúp mình với
|
|
|
mới update code nhờ mọi người xem giúp
|
|
|
azteam wrote:
Bạn gửi thêm đoạn scripts của bạn cho mọi người check lại xem sao.
đoạn script của mình nè. nhờ các cậu xem giúp mình
Code:
<form action="" method="post">
<input type="text" name="check" value="<?php if(isset($_POST["check"]))
echo($_POST["check"])?>" style="width: 274px; height: 24px;" />
<input type="submit" value="Verify" />
</form>
<?php
if(isset($_POST["check"]))
{
$res = CheckMail(trim($_POST["check"]));
if (substr($res[0],0,3) == "250")
echo("<strong>Result</strong>: Ok");
else
{
echo("<strong>Result</strong>: Bad");
echo("<br/><br/> Description: ".$res[0]);
}
echo("<br/><br/><strong>Log:</strong><br/>");
$d = $res[2];
$d = str_replace("<","<", $d);
$d = str_replace(">",">", $d);
$d = str_replace("\r","<br/>", $d);
echo($d);
}
function CheckMail($Email)
{
$HTTP_HOST = $_SERVER["HTTP_HOST"];
$FROM = "admin@localhost.com";
$Return = array();
if (!eregi("^[_a-z0-9-]+(\.[_a-z0-9-]+)*@[a-z0-9-]+(\.[a-z0-9-]+)*(\.[a-z]{2,4})$", $Email))
{
$Return[0] = "Bad Syntax";
return $Return;
}
list ( $Username, $Domain ) = split ("@",$Email);
if ( checkdnsrr ( $Domain, "MX" ) )
{
$log .= "MX record about {$Domain} exists.\r";
if ( getmxrr ($Domain, $MXHost))
{
}
$ConnectAddress = $MXHost[0];
$Connect = fsockopen ( $ConnectAddress, 25 );
$Return[1] = $ConnectAddress;
if ($Connect)
{
if ( ereg ( "^220", $reply = fgets ( $Connect, 1024 ) ) )
{
}
}
else
{
return $Return;
}
}
else
$Return[0]=$to_reply;
$Return[2]=$log;
return $Return;
}
?>
nhập 1 mail gmail bất kì rồi nhấn verifed. sẽ có lỗi. nhờ mọi người xem giúpên trên nầy dc . có cách nào khác được không cậu
|
|
|
azteam wrote:
Bạn kiểm tra port connect xem có được open không?
mình đã thử bằng port 25 thì bị chặn, nên thử bằng port 465 với ct PHPMailer thì gửi dc mail. dùng port 465 thì script của mình vẫn báo lỗi unable to connect to smtp.gmail.com .
|
|
|
mình dùng script connect vào smtp gmail . nhưng bị lỗi fsockopen không thể connect vào smtp mail server. mình không nghĩ là do host mình chặn hàm fsockopen vì đây là host mua. có cách nào kiểm tra xem host có chăn hàm fsockopen không các bạn. mình xem trong phpinfo ko thấy có disable hàm fsockopen
|
|
|
acoustics89 wrote:
khang0001 wrote:
TheShinichi wrote:
khang0001 wrote:
mình có thói quen dùng máy ảo để test virut và xài soft có keygen hay patch. thế nhưng thỉnh thoảng vẫn thấy anti virut của mình báo là có virut dc phát hiện ở máy ảo. mình xài virturl box. cấu hình mạng xài nat, không share bất cứ folder nào ở máy chính cho máy ảo và ngược lại. mình nghĩ nếu virut mà bị phát hiện như thế thì các con virut mới hơn , qua mặt dc anti virut thì khả năng máy chính bị nhiễm khá cao. có pác nào có cao kiến gì để có thể test virut an toàn trong máy ảo không
Bạn có thể mô tả chi tiếp phần màu đỏ không ? Mình chưa hình dung được ?
có nghĩa là khi mình sữ dụng soft có crack hoặc lướt web thì trình anti virut của mình cảnh báo có 1 con virut abc gì gì đó ở trong máy ảo. và nó đã block . theo mình hiểu thì có thể con virut đó đã thoát ra khỏi máy ảo xâm nhập vào máy thật nên anti virut đã cảnh báo .
hình nè
Theo mình đọc mô tả, và quan trọng nhất là hình bạn đưa, mình cho rằng bạn vẫn An toàn khi dùng máy ảo, không cần phải lo lắng.
Lý do có thông báo của KIS: mình đoán bạn dùng máy ảo, thiết lập ở chế độ NAT khi truy cập mạng, khi đó mọi luồng dữ liệu của máy ảo trước tiên phải đi qua máy thật rồi mới ra ngoài. Địa chỉ kết nối tới chứa mã độc, do KIS phát hiện ra, nên KIS thông báo. Tiến trình kết nối là máy ảo.
Cách khắc phục: Bạn thiết lập Network Adapter của máy ảo là Bridge. Máy ảo của bạn sẽ tương đương 1 máy tính khác trong LAN, ngang hàng với máy thật. Trong chế độ này, bạn hãy tắt chế độ chia sẻ file của máy thật và cập nhật các bản vá cho máy thật, đề phòng bị tấn công khi máy thật có lỗ hổng.
Ngoài ra để an toàn cho bạn, bạn thiết lập 1 VLAN, sau đó đặt chế độ Bridge cho máy ảo, sử dụng dải VLAN khác với máy thật. Điều này sẽ là tốt nhất cho bạn, hạn chế các tấn công kiểu Zero-day.
Về việc quét bộ nhớ của máy ảo: theo mình là có khả năng này, nhưng cực thấp vì những lý do sau:
- Bộ nhớ máy ảo được mã hoá và tổ chức khác với dữ liệu bình thường, do đó nếu không sử dụng các API do máy ảo cung cấp, bạn không thể truy cập được dữ liệu này. Theo mình biết, hiện tại VMware cung cấp API cho phép quét các file và bộ nhớ bên trong máy ảo, VirtualBox thì không biết thế nào
- Nếu AV quét cả nội dung dữ liệu bên trong máy ảo, thường AV đó hay đặt tại các server hoặc các máy host cho thuê. Trong các version cho người dùng thông thường, họ sẽ bỏ tính năng này vì không cần thiết.
thanks cậu nhiều trước h xài nat cho tiện chắc h chuyển sang xài brige cho tiện. cậu có thể hd mình làm 1 cái vlan cho máy ảo dc ko. cảm ơn cậu nhiều
|
|
|
Ky0 wrote:
Thực ra các antivirus quét vùng nhớ được cấp phát cho máy ảo nên phát hiện ra thôi!
Nguy cơ nhiễm virus từ máy ảo khá cao, và thực tế đã có vài loại virus đã lây lan từ máy ảo qua máy thật. Tốt nhất nên dùng Ollydebug hoặc một tool nào đó khác chạy chương trình step by step phân tích thì hay hơn
- Ky0 -
vậy có cách nào để chạy trong máy ảo an toàn tuyệt đối ko, chứ thế thì test soft crack với keygen dễ bị dính quá
|
|
|
TheShinichi wrote:
khang0001 wrote:
mình có thói quen dùng máy ảo để test virut và xài soft có keygen hay patch. thế nhưng thỉnh thoảng vẫn thấy anti virut của mình báo là có virut dc phát hiện ở máy ảo. mình xài virturl box. cấu hình mạng xài nat, không share bất cứ folder nào ở máy chính cho máy ảo và ngược lại. mình nghĩ nếu virut mà bị phát hiện như thế thì các con virut mới hơn , qua mặt dc anti virut thì khả năng máy chính bị nhiễm khá cao. có pác nào có cao kiến gì để có thể test virut an toàn trong máy ảo không
Bạn có thể mô tả chi tiếp phần màu đỏ không ? Mình chưa hình dung được ?
có nghĩa là khi mình sữ dụng soft có crack hoặc lướt web thì trình anti virut của mình cảnh báo có 1 con virut abc gì gì đó ở trong máy ảo. và nó đã block . theo mình hiểu thì có thể con virut đó đã thoát ra khỏi máy ảo xâm nhập vào máy thật nên anti virut đã cảnh báo .
hình nè
|
|
|
Cuc.Sat wrote:
khang0001 wrote:
tình hình mình đang tìm các gửi mail bằng smtp của gmail qua cmd nhưng làm đến bước xác thực email thì ko thể làm dc. có bạn nào có thể giúp mình vấn đề nầy dc ko
Sau khi HELO thì anh send user rồi đến pass đã được encode base64 để authenticate. Những command còn lại thì bình thường.
mình đã làm dc giống cách của cậu rồi, cảm ơn nhiều
|
|
|
|
|
|
|