[Question] Re: Flood Apache Webserver. |
29/01/2008 03:01:20 (+0700) | #31 | 112668 |
|
levinthan
Member
|
0 |
|
|
Joined: 16/01/2008 22:38:43
Messages: 78
Offline
|
|
Cảm ơn bạn đã góp ý . Mình cũng nghe nói là Linux bảo mật tốt hơn nhưng mình không biết dùng Linux và các chương trình của mình dùng để chạy server game không hỗ trợ Linux .
Các bạn cho mình hỏi . Mình có đọc nhiều tài liệu . Nhưng không hiểu tại sao mình phải config virtual hosts. Mình đâu có nhu cầu dùng nhiều domain , nhiều host đâu.
Còn về mpm cho apache . Mình có đọc và hiểu các thông số . Nhưng mình không tìm thấy nơi nào dùng để set cấu hình mpm. Mình thấy " Use "apachectl -l" to find out the active mpm". Nhưng trong bin lại không có apachectl . Mình chưa biết nên nhờ các bạn chỉ giúp . Cảm ơn. |
|
|
|
|
[Question] Re: Flood Apache Webserver. |
29/01/2008 03:08:47 (+0700) | #32 | 112669 |
|
levinthan
Member
|
0 |
|
|
Joined: 16/01/2008 22:38:43
Messages: 78
Offline
|
|
Timeout 30
KeepAlive On
MaxKeepAliveRequests 5
KeepAliveTimeout 15
Hiện tại mình đã config httpd-default như vậy. Load web có hơi lâu thật nhưng cũng đỡ vì bình thường nó flood lên đến ... vài ngàn recvq . nay chỉ vài chục là tự ngắt . |
|
|
|
|
[Question] Re: Flood Apache Webserver. |
29/01/2008 04:58:35 (+0700) | #33 | 112686 |
subnetwork
Member
|
0 |
|
|
Joined: 05/09/2004 06:08:09
Messages: 1666
Offline
|
|
levinthan wrote:
Cảm ơn bạn đã góp ý . Mình cũng nghe nói là Linux bảo mật tốt hơn nhưng mình không biết dùng Linux và các chương trình của mình dùng để chạy server game không hỗ trợ Linux .
Các bạn cho mình hỏi . Mình có đọc nhiều tài liệu . Nhưng không hiểu tại sao mình phải config virtual hosts. Mình đâu có nhu cầu dùng nhiều domain , nhiều host đâu.
Còn về mpm cho apache . Mình có đọc và hiểu các thông số . Nhưng mình không tìm thấy nơi nào dùng để set cấu hình mpm. Mình thấy " Use "apachectl -l" to find out the active mpm". Nhưng trong bin lại không có apachectl . Mình chưa biết nên nhờ các bạn chỉ giúp . Cảm ơn.
Trên các phiên bản Apache 2.x hỗ trợ multi-processing module thay vì prefork như Apache 1.x
Cách dùng, so sánh nó ra vào xin mời đọc cuốn /book/ trong thư viện HVA
Hèm, nên nhớ server của bro đang dùng là server Windows chứ không phải server Linux
C:\> cd \xampp\apache\bin
C:\> httpd.exe -l
Trong đây chứa danh sách các module được cài đặt cho Apache của bro .
Nếu muốn cấu hình MPM trên WinNT thì trong http-mpm.conf
# WinNT MPM
# ThreadsPerChild: constant number of worker threads in the server process
# MaxRequestsPerChild: maximum number of requests a server process serves
<IfModule mpm_winnt_module>
ThreadsPerChild 250
MaxRequestsPerChild 0
</IfModule>
Nếu muốn "bật" tập tin http-mpm.conf thì đảm bảo tập tin cấu hình Apache của bro có thêm dòng
# Server-pool management (MPM specific)
Include conf/extra/httpd-mpm.conf
Bỏ dấu # ở đằng trước kế chữ Include , các mục sau cũng làm tương tự .
levinthan wrote:
Timeout 30
KeepAlive On
MaxKeepAliveRequests 5
KeepAliveTimeout 15
Hiện tại mình đã config httpd-default như vậy. Load web có hơi lâu thật nhưng cũng đỡ vì bình thường nó flood lên đến ... vài ngàn recvq . nay chỉ vài chục là tự ngắt .
Bro nên đọc cuốn sách mà tôi giới thiệu ở trên và giải thích từng tham số của các tập tin được lưu trữ trong thư mục conf , extra của Apache .
Nhìn đoạn log của bro đưa ra, tôi chỉ nhìn thấy mấy cú GET hợp lệ chứ chẳng thấy "triệu chứng" server của bro bị người ta phá .
- Có khả năng server của bro cấu hình kém chẳng hạn dẫn đến tình trạng crash MSSQL .
- Băng thông 4M cũng là vấn đề lớn, với đường truyền ở VN hiện nay ví dụ ở nhà cung cấp từ VNPT thiết lập cho bro với gói 4M ở đầu DSLAM tuy nhiên khi lên đến BRAS bị "bóp" một chút thì gói cước của bro sẽ thay đổi rõ rệt, nếu làm server game nhỏ thì theo tôi nên thuê luôn gói cước Megawan có tốc độ upload, download không đổi thì tốt hơn .
Trên đây chỉ là ở vấn đề suy đoán, còn nếu muốn kiểm tra nó thì cần có thời gian để điều tra, phân tích, xác minh sự cố thì mới biết được server của bro hiện nay bị lỗi là do đâu. |
|
Quản lý máy chủ, cài đặt, tư vấn, thiết kế, bảo mật hệ thống máy chủ dùng *nix
http://chamsocmaychu.com |
|
|
|
[Question] Re: Flood Apache Webserver. |
29/01/2008 11:12:59 (+0700) | #34 | 112724 |
|
levinthan
Member
|
0 |
|
|
Joined: 16/01/2008 22:38:43
Messages: 78
Offline
|
|
Cảm ơn bạn đã chỉ dẫn . Về vấn đề có bị phá hay không thì mình là người hiểu rõ nhất . Mình chạy server này , game này , web này đã 2 năm rồi . Rất ổn định . Chỉ có gần đây mình block mấy cheater . Rồi bắt đầu bị tình trạng này . ISA thỉnh thoảng vẫn báo deny các truy cập , các port ko hợp lệ . Google các port này thì toàn là thông tin về ddos . Đã thế vừa bị được 2 ngày là đã nhận được email " Sao rồi hả bạn , mấy hôm nay thích không ? " Đau đầu là xem log apache , log isa cũng không biết request nào gây như vậy. Chỉ biết là tắt apache sv thì nó ngắt ngay, không làm gì được nữa. Mình biết là flood không nhiều , ít , nhưng những packet đó có tác dụng rất mạnh đến gameserver nên cũng ráng tìm , đọc kĩ các dòng mà vẫn không thấy . Mình nghĩ nếu bị mạnh thì apache service bị stop /restart hay modem tắt luôn ( cái này mình nghe nói ). Mình đang download ebook bạn chỉ . Hi vọng sẽ biết được nhiều điều .Rất cảm ơn! |
|
|
|
|
[Question] Re: Flood Apache Webserver. |
29/01/2008 14:28:19 (+0700) | #35 | 112750 |
|
levinthan
Member
|
0 |
|
|
Joined: 16/01/2008 22:38:43
Messages: 78
Offline
|
|
Hic . Mình có google và thấy "The Worker MPM is a Multiprocessing Model for the Linux/Unix Operating System Platform." Thế có nghĩa là Windows không dùng được PMP này à ? Mình thấy bên PMP Worker có các thông số MaxClient,Min-MaxSpareThread mà PMP WINNT không có .Thử đem các thông số của PMP worker đưa vào PMP Winnt thì không được . Còn cuốn sách Hungry Mind - Apache Server 2 Bible bạn chỉ thì mình download đến 79% thì đứng . 3 tiếng rồi , không resume , redownload cũng không được . Google sách đó thì toàn là sách bán . Bạn xem lại link giúp mình nhé . |
|
|
|
|
[Question] Re: Flood Apache Webserver. |
29/01/2008 17:51:12 (+0700) | #36 | 112768 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
levinthan wrote:
Cảm ơn bạn đã chỉ dẫn . Về vấn đề có bị phá hay không thì mình là người hiểu rõ nhất . Mình chạy server này , game này , web này đã 2 năm rồi . Rất ổn định . Chỉ có gần đây mình block mấy cheater . Rồi bắt đầu bị tình trạng này . ISA thỉnh thoảng vẫn báo deny các truy cập , các port ko hợp lệ . Google các port này thì toàn là thông tin về ddos . Đã thế vừa bị được 2 ngày là đã nhận được email " Sao rồi hả bạn , mấy hôm nay thích không ? " Đau đầu là xem log apache , log isa cũng không biết request nào gây như vậy. Chỉ biết là tắt apache sv thì nó ngắt ngay, không làm gì được nữa. Mình biết là flood không nhiều , ít , nhưng những packet đó có tác dụng rất mạnh đến gameserver nên cũng ráng tìm , đọc kĩ các dòng mà vẫn không thấy . Mình nghĩ nếu bị mạnh thì apache service bị stop /restart hay modem tắt luôn ( cái này mình nghe nói ). Mình đang download ebook bạn chỉ . Hi vọng sẽ biết được nhiều điều .Rất cảm ơn!
Web site của bồ chỉ cần chọn 1 chục URL hoàn toàn hợp lệ (tồn tại và hợp lệ) và vài người thay phiên nhau flood cũng đủ chết. Bởi vì những request này hợp lệ và không bị dồn dập nên không thể nhận diện được từ log.
Website nào hiện diện trên mạng và có firewall thì 99.99% sẽ nhận được các thông báo "deny truy cập", "port không hợp lệ".... Đây là chuyện hoàn toàn bình thường. Riêng việc bồ nhận được e-mail khiêu khích thì có vẻ bồ bị "chơi" thật. Khổ một nỗi, trọn bộ các log files bồ cung cấp không có gì chứng tỏ bồ bị flood cả. Bởi thế, không có cách gì giúp bồ khắc phục được.
Riêng phần apache thì như tôi đã nói ở trên, Apache của bồ thiếu nhiều thứ quan trọng nên nó hoàn toàn chạy ở chế độ mặc định. Nếu bị flood 1 tí sẽ bị nghẽn ngay. Tôi không đưa ra cấu hình cụ thể cho apache của bồ vì tôi không biết site của bồ ra sao (và đây là trách nhiệm của bồ - người làm chủ website). Theo kinh nghiệm bản thân, tôi cho rằng apache chạy trên Windows chỉ đạt tối đa 1/2 hiệu suất so sánh với apache chạy trên *nix (Linux nói riêng). Apache chạy trên Windows chỉ có thể dùng Prefork MPM mà thôi. Bởi vậy, nên tham khảo sâu khoản này. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Re: Flood Apache Webserver. |
30/01/2008 01:19:41 (+0700) | #37 | 112820 |
JAL
Administrator
|
Joined: 21/12/2001 08:20:25
Messages: 342
Offline
|
|
có thể log apache không thể log được khi bị dạng giống flash DoS, nên tìm trong apache log sẽ không ra, ngoại trừ dùng ct dạng sniffit |
|
|
|
|
[Question] Re: Flood Apache Webserver. |
30/01/2008 06:58:08 (+0700) | #38 | 112864 |
subnetwork
Member
|
0 |
|
|
Joined: 05/09/2004 06:08:09
Messages: 1666
Offline
|
|
conmale wrote:
Apache chạy trên Windows chỉ có thể dùng Prefork MPM mà thôi. Bởi vậy, nên tham khảo sâu khoản này.
Cám ơn anh conmale chỉ rõ điểm sai của em ở chổ này |
|
Quản lý máy chủ, cài đặt, tư vấn, thiết kế, bảo mật hệ thống máy chủ dùng *nix
http://chamsocmaychu.com |
|
|
|
[Question] Re: Flood Apache Webserver. |
01/02/2008 11:48:33 (+0700) | #39 | 113233 |
mR.Bi
Member
|
0 |
|
|
Joined: 22/03/2006 13:17:49
Messages: 812
Offline
|
|
bắt đầu nhảy sang *nix rồi, Windows coi bộ lép về quá.
Lúc Reply bài của anh xong thì em làm một giấc ngay, sáng lại phải đi xa, h vào lại thì ngập tràn kiến thức, ko đủ level để bàn .
Nếu còn ở sg thì chắc qua nghía con server của anh phát, h đi xa rồi, tiếc thật.
**Anh nghiên cứu kĩ các module của apache, config lại một lần nữa thử xem, ko ai đảm bảo mình config apache ko sai sót. Chỉ nói tới đây thôi |
|
All of my life I have lived by a code and the code is simple: "honour your parent, love your woman and defend your children" |
|
|
|
[Question] Re: Flood Apache Webserver. |
02/02/2008 11:58:31 (+0700) | #40 | 113340 |
|
levinthan
Member
|
0 |
|
|
Joined: 16/01/2008 22:38:43
Messages: 78
Offline
|
|
Hic . Mấy hôm nay không vào được HVA . Không hiểu sao . Cứ tưởng bị gì rồi. Cảm ơn các bạn đã giúp đỡ. Hiện tại mình đã config lại các module , đọc các tài liệu . Nhưng vẫn chưa khắc phục được. Đang dùng 2 đường truyền rồi . Tách riêng cái webserver ra , cho chạy đường truyền riêng . Cứ tưởng vậy thì có sập cũng sập webserver , không ảnh hưởng đến game . Ai ngờ đâu không biết bằng cách nào nó vẫn đánh được .
Cơ bản là mình tổ chức như vầy :
Máy Webserver 192.168.1.13 nằm trong internal không đi qua ISA , default gateway dẫn ra modem A .
Máy Gameserver 192.168.1.3 nằm trong internal đi qua ISA , ISA đi ra modem B.
DNS Web dẫn về máy Webserver 192.168.1.13, tại đây , máy này chỉ nằm chung switch với máy Gameserver 192.168.1.3, không liên kết gì nữa cả . Chỉ có connect đến mssql của máyGameserver 192.168.1.3 thôi. Ấy thế mà gameserver vẫn bị flood.
Mình nghĩ log Apache khi bị flood không lưu lại log được. Mình thử cho tấn công bên ngoài . 5 IP khác nhau đánh thử bằng DDOS share.swf thì log apache lưu lại ok , và vẫn ok , gameserver vẫn không ảnh hưởng như vậy.
Vấn đề thật đau đầu , mình thử limit lại các giá trị Timeout ,MaxKeepAliveRequests ,KeepAliveTimeout , ThreadsPerChild , MaxRequestsPerChild . Để thấp quá thì apache báo lỗi , mọi người không vào web được nữa nhưng vẫn bị flood ào ào chứ không bị ngắt . Còn để 0 thả cửa thì bị flood hàng giờ luôn .
Mình có dùng thử soft Attacker 3.0 của www.foundstone.com để sniff lại . Nhưng không hiểu sao cứ sniff là bên ngoài ko kết nối đc , cứ như apache service không hoạt động vậy á. Không biết còn soft nào theo dõi trực tiếp như vậy không nữa .
Cho mình hỏi thêm là có cách nào , mod nào giúp apache khi có quá nhiều truy cập đến như lúc bị flood vậy á, mọi người ko vào được , thì tự động stop , restart lại service không .
Hi . Mình hỏi hơi nhiều . Các bạn giúp mình nhé . Đau đầu vụ này lắm rồi. |
|
|
|
|
[Question] Re: Flood Apache Webserver. |
02/02/2008 23:26:25 (+0700) | #41 | 113358 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
Dùng Ethereal để sniff ngay trên server chạy apache. Chỉ sniff packets đến cổng nào chạy apache mà thôi. Sau đó post lên ở đâu đó để tôi xem thử. Tôi nhắc lại một lần nữa, apache log của bồ không có biểu hiện nào chứng tỏ bị DDoS cả.
Sẵn tiện, post lên tất cả các config của apache mà bồ dùng để tôi góp ý cho. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Re: Flood Apache Webserver. |
02/02/2008 23:52:43 (+0700) | #42 | 113360 |
|
levinthan
Member
|
0 |
|
|
Joined: 16/01/2008 22:38:43
Messages: 78
Offline
|
|
Vâng . Đây là các thông số của mình . Mời bạn xem qua .
#File httpd.conf
#Server Root mình đặt tên vậy thôi chứ không dùng xampp, mình dùng 2.2.8 mới nhất từ apachelounge và php mới nhất từ php.net
ServerRoot "c:/xampp"
Listen 80
LoadModule actions_module modules/mod_actions.so
LoadModule alias_module modules/mod_alias.so
LoadModule asis_module modules/mod_asis.so
LoadModule auth_basic_module modules/mod_auth_basic.so
LoadModule authn_default_module modules/mod_authn_default.so
LoadModule authn_file_module modules/mod_authn_file.so
LoadModule authz_default_module modules/mod_authz_default.so
LoadModule authz_groupfile_module modules/mod_authz_groupfile.so
LoadModule authz_host_module modules/mod_authz_host.so
LoadModule authz_user_module modules/mod_authz_user.so
LoadModule autoindex_module modules/mod_autoindex.so
LoadModule cgi_module modules/mod_cgi.so
LoadModule dir_module modules/mod_dir.so
LoadModule env_module modules/mod_env.so
LoadModule include_module modules/mod_include.so
LoadModule isapi_module modules/mod_isapi.so
LoadModule log_config_module modules/mod_log_config.so
LoadModule mime_module modules/mod_mime.so
LoadModule negotiation_module modules/mod_negotiation.so
LoadModule rewrite_module modules/mod_rewrite.so
LoadModule setenvif_module modules/mod_setenvif.so
LoadModule php5_module "c:/xampp/php/php5apache2_2.dll"
LoadModule security2_module modules/mod_security2/mod_security2.so
LoadModule unique_id_module modules/mod_unique_id.so
<IfModule !mpm_netware_module>
<IfModule !mpm_winnt_module>
User daemon
Group daemon
</IfModule>
</IfModule>
ServerAdmin admin@trianglemu.com
ServerName ta3.myvnc.com:80
DocumentRoot "c:/Xampp/htdocs"
<Directory />
Options None
AllowOverride None
Order deny,allow
Deny from all
</Directory>
<Directory "c:/Xampp/htdocs">
Options None
AllowOverride all
Order allow,deny
Allow from all
</Directory>
<IfModule dir_module>
DirectoryIndex index.php index.php3 index.html index.htm index.html.var
</IfModule>
<FilesMatch "^\.ht">
Order allow,deny
Deny from all
Satisfy All
</FilesMatch>
ErrorLog "logs/error.log"
LogLevel warn
SetEnvIfNoCase X-Forwarded-For "." from_proxy=1
<IfModule log_config_module>
LogFormat "%h %l %u %t \"%r\" %s %b \"%{Referer}i\" \"%{User-agent}i\"" combined
LogFormat "%{X-Forwarded-For}i %l %u %t \"%r\" %s %b \"%{Referer}i\" \"%{User-agent}i\"" combined_forwarded
LogFormat "%h %l %u %t \"%r\" %>s %b" common
<IfModule logio_module>
LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\" %I %O" combinedio
</IfModule>
CustomLog logs/access.log common
CustomLog logs/access.log combined env=!from_proxy
CustomLog logs/access.log combined_forwarded env=from_proxy
</IfModule>
<Directory "c:/Apache2/cgi-bin">
AllowOverride None
Options None
Order allow,deny
Allow from all
</Directory>
DefaultType text/plain
<IfModule mime_module>
AddType application/x-compress .Z
AddType application/x-gzip .gz .tgz
AddType application/x-httpd-php .php
AddType application/x-httpd-php .php3
</IfModule>
EnableMMAP off
EnableSendfile off
Win32DisableAcceptEx
Include conf/extra/httpd-mpm.conf
Include conf/extra/httpd-default.conf
#Cấu hình cho httpd-mpm.conf (mpm winnt) :
<IfModule mpm_winnt_module>
ThreadsPerChild 200
MaxRequestsPerChild 0
</IfModule>
#Cấu hình cho httpd-default.conf :
Timeout 200
KeepAlive On
MaxKeepAliveRequests 0
KeepAliveTimeout 15
UseCanonicalName Off
AccessFileName .htaccess
ServerTokens Prod
ServerSignature Off
HostnameLookups Off
|
|
|
|
|
[Question] Re: Flood Apache Webserver. |
02/02/2008 23:56:41 (+0700) | #43 | 113363 |
|
levinthan
Member
|
0 |
|
|
Joined: 16/01/2008 22:38:43
Messages: 78
Offline
|
|
Mình có thử hạ thấp giá trị MaxRequestsPerChild và MaxKeepAliveRequests xuống thấp 50 , 100 nhưng vẫn không hiệu quả . Còn về mpm thì hệ thống đang chạy với winnt mpm , không biết có thể chuyển về prefork không nữa . Mình có thử google thử thì đọc được là apache tự động chạy với duy nhất 1 mpm. Tùy vào mpm đó mà cấu hình và chỉ rõ từng thông số chứ không nói có thể chuyển mpm này sang mpm khác được không , mà mình cũng không biết có chuyển được không nữa. Mới sáng sớm mà comale đã giúp đõ rồi . Cảm ơn rất nhiều . Chúc 1 ngày an lành. |
|
|
|
|
[Question] Re: Flood Apache Webserver. |
03/02/2008 01:01:51 (+0700) | #44 | 113366 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
#Cấu hình cho httpd-mpm.conf (mpm winnt) :
<IfModule mpm_winnt_module>
ThreadsPerChild 200
MaxRequestsPerChild 0
</IfModule>
#Cấu hình cho httpd-default.conf :
Timeout 200
KeepAlive On
MaxKeepAliveRequests 0
KeepAliveTimeout 15
UseCanonicalName Off
AccessFileName .htaccess
ServerTokens Prod
ServerSignature Off
HostnameLookups Off
Đối với httpd-mpm:
Đổi:
ThreadsPerChild 512
MaxRequestsPerChild 5000 (dùng giá trị này để theo dõi xem còn sự cố hay không, nếu không còn sự cố thì gia tăng nó lên thành 20000, đừng để 0 vì system của bồ có thể có vấn đề với memory).
Thêm:
ThreadLimit 1024
Đối với httpd-default:
Đổi:
MaxKeepAliveRequests 512
KeepAliveTimeout 5
Ngoài ra, chưa có dữ liệu sniff được thì cũng chưa có cái gì rõ ràng cả. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Re: Flood Apache Webserver. |
03/02/2008 01:49:15 (+0700) | #45 | 113372 |
|
levinthan
Member
|
0 |
|
|
Joined: 16/01/2008 22:38:43
Messages: 78
Offline
|
|
Cảm ơn bạn . Mình đã thiết lập như bạn hướng dẫn và vẫn bị . Hiện mình đang cố gắng sniff 1 đoạn chính xác . Sẽ up lên sau . |
|
|
|
|
[Question] Re: Flood Apache Webserver. |
03/02/2008 05:35:48 (+0700) | #46 | 113381 |
|
levinthan
Member
|
0 |
|
|
Joined: 16/01/2008 22:38:43
Messages: 78
Offline
|
|
Đây là file được sniff lúc bình thường : http://stukyo.com/ok.pcap
Đây là 2 file được sniff lúc bị flood :
http://stukyo.com/flood.pcap
http://stukyo.com/flood2.pcap
Mời các bạn xem giúp . 3 file pcap trên mình sniff từ soft wireshark tại đây http://wireshark.zing.org/download/win32/wireshark-setup-0.99.7.exe vì vào trang Ethereal , download về setup bị lỗi và đọc thì thấy nó rename Ethereal thành Wireshark . Chắc bạn dùng Ethereal vẫn mở được.
Nếu bạn không đọc được 3 file trên thì đây là bản text của 3 file đó . Vì export ra text nên có thể sẽ khỏ nhìn , khó kiếm.
http://stukyo.com/ok.txt
http://stukyo.com/flood.txt
http://stukyo.com/flood2.txt
Trên 3 file đó , chỉ có 2 ip Internal : 192.168.1.5 ( Webserver ) và 192.168.1.3 (GameServer , bao gồm MSSQL Server ) . Chỉ có 1 kết nối duy nhất từ 192.168.1.5 đến 192.168.1.3 là kết nối MSSQL Connect để truy xuất dữ liệu , load lên web. Nên mình nghĩ có khả năng GameServer bị ảnh hưởng là do Webserver bị flood , kéo vào MSSQL. Không biết có giải pháp nào chận / giới hạn kết nối MSSQL từ Apache Sv không . Cảm ơn.
|
|
|
|
|
[Question] Re: Flood Apache Webserver. |
03/02/2008 05:57:42 (+0700) | #47 | 113382 |
|
levinthan
Member
|
0 |
|
|
Joined: 16/01/2008 22:38:43
Messages: 78
Offline
|
|
Mình dám cam đoan là mình đang bị phá . Vừa nhận được một Email thách thức , khoái chí của tụi nó nữa |
|
|
|
|
[Question] Re: Flood Apache Webserver. |
03/02/2008 06:18:55 (+0700) | #48 | 113384 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
Xóa ngay mấy cái pcap files đi (vì nó có username + pass trong packets đó). Tôi đã download được rồi. Tôi sẽ phân tích và cho kết quả. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Re: Flood Apache Webserver. |
03/02/2008 06:42:30 (+0700) | #49 | 113386 |
|
levinthan
Member
|
0 |
|
|
Joined: 16/01/2008 22:38:43
Messages: 78
Offline
|
|
Mình đã xóa rồi . Cảm ơn comale rất nhiều . |
|
|
|
|
[Question] Re: Flood Apache Webserver. |
03/02/2008 06:58:30 (+0700) | #50 | 113387 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
Xin hỏi:
192.168.1.5 là web server và 192.168.1.3 là mssql server?
Cho biết giữa 192.168.1.5 và 192.168.1.3 connect qua cơ chế nào? (ODBC?)
Có quá nhiều request / response giữa 2 host này và cũng có quá nhiều malform packets (gói tin không hợp lệ), quá nhiều fragmented packets (gói tin bị chẻ nhỏ ra). Chứng tỏ network connection giữa 2 host này rất kém.
Có quá nhiều response packets từ 192.168.1.5 đến các clients (public IP nào đó) ở dạng "reassembled PDU" và đây là nguyên nhân của sự trì trệ. Hầu như các response stream đi từ 192.168.1.5 đến clients (public IP nào đó) đều bị dính khá nhiều "reassembled PDU". Để khắc phục tình trạng này, bồ phải hạ MTU trên ADSL modem bớt (tôi không rõ bồ dùng ADSL modem nào nên không thể nói chi tiết hạ như thế nào) và chỉnh MTU trên Windows server có y hệt MTU trên ADSL modem. Nếu không, tình trạng này tiếp tục xảy ra và nếu kéo dài, tình trạng sẽ càng lúc tệ hại. Xin lưu ý rằng: việc điều chỉnh MTU trên Windows là việc không nên làm bởi vì nó khá nguy nên tôi không khuyến khích làm việc này.
Vẫn không có dấu hiệu apache bị flood. Tôi e rằng bồ bị flood ngay ở ADSL modem. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Re: Flood Apache Webserver. |
03/02/2008 07:25:14 (+0700) | #51 | 113390 |
|
levinthan
Member
|
0 |
|
|
Joined: 16/01/2008 22:38:43
Messages: 78
Offline
|
|
192.168.1.5 là web server và 192.168.1.3 là mssql server?
Vâng . Chính xác.
Cho biết giữa 192.168.1.5 và 192.168.1.3 connect qua cơ chế nào? (ODBC?)
Không qua ODBC , Qua MSSQL Connect .Vì 2 máy nằm chung network nên chỉ việc connect như thế này .
$muweb['connection'] = 'mssql';
$muweb['localhost'] = '192.168.1.3'';
$muweb['dbhost'] = '192.168.1.3';
$muweb['database'] = 'MuOnline';
$muweb['dbuser'] = 'sa';
$muweb['dbpassword'] = 'xxxxxxxx';
$db = &ADONewConnection('mssql');
$connect_mssql = $db->Connect($muweb['dbhost'],$muweb['dbuser'],$muweb['dbpassword'],$muweb['database']);
Nhưng mình cũng đã có thử dùng ODBC rồi . Vẫn bị.
Chứng tỏ network connection giữa 2 host này rất kém.
2 máy này nằm trong 1 switch , kết nối rất nhanh . Đâu phải remote connection từ xa đâu ạ .Đồng ý là hệ thống của em yếu kém, nhưng em dám chắc là không tự nhiên mà bị thế này . Em chạy đã 2 năm rồi . Không bị gì cả . Chỉ gần đây là bị phá hoại có chủ đích thôi.
Vẫn không có dấu hiệu apache bị flood. Tôi e rằng bồ bị flood ngay ở ADSL modem.
Mình không dám phản biện lại ý kiến này . Nhưng nếu là flood từ ADSL modem thì tại sao mình stop service ApacheServer là hết bị ngay?
Để khắc phục tình trạng này, bồ phải hạ MTU trên ADSL modem bớt (tôi không rõ bồ dùng ADSL modem nào nên không thể nói chi tiết hạ như thế nào) và chỉnh MTU trên Windows server có y hệt MTU trên ADSL modem. Nếu không, tình trạng này tiếp tục xảy ra và nếu kéo dài, tình trạng sẽ càng lúc tệ hại. Xin lưu ý rằng: việc điều chỉnh MTU trên Windows là việc không nên làm bởi vì nó khá nguy nên tôi không khuyến khích làm việc này.
Hic . Mình backup dữ liệu hàng ngày . Giờ bị phá hoài ức lắm . Rất tức . Mình không phá hoại , gây hiềm khích gì ai cả . Công sức mình làm 2 năm nay , không bỏ trắng được . Nên giờ làm cái gì có thể là mình làm ngay . Mình đang sử dụng ADSL Router DLink-520T . Dùng 2 cái . Mình không hiểu được là tại sao kết nối giữa Web đến MSSQL lại ảnh hưởng đến Joinserver , khiến Joinserver báo lỗi RecvQ như đoạn video mình đã post.
http://stukyo.com/b.swf
Đau đầu quá . Tối nay mình sẽ thử đưa MSSQL ra chạy riêng 1 máy 192.168.1.4. Web 192.168.1.5 Connect đến đó lấy dữ liệu và GameServer 192.168.1.3 để riêng ra , cũng kết nối đến 192.168.1.4 . Xem xem còn bị ảnh hưởng giữa Web và Game nữa không .
Mình đang reply bài ở đây , mà cứ vài giây lại tab qua cửa số remote màn hình xem xem có bị flood hay không . Có là stop service appserv ngay . Cái cảm giác ngồi canh , canh để xem nó phá khi nào mà không làm gì được . Nó ....
Nếu bạn có ý kiến hay lời khuyên nào cho mình hiện tại , mình sẽ thử ngay . Cảm ơn comale rất nhiều . Mình biết không phải ai cũng bỏ thời gian của mình ra để giúp đỡ người khác mà không được gì . Nhưng mình rất quý điều đó và rất biết ơn. Chúc bạn được nhiều niềm vui trong cuộc sống.
|
|
|
|
|
[Question] Re: Flood Apache Webserver. |
03/02/2008 16:02:05 (+0700) | #52 | 113408 |
|
levinthan
Member
|
0 |
|
|
Joined: 16/01/2008 22:38:43
Messages: 78
Offline
|
|
Hic . Đã thử đem MSSQL ra chạy riêng , Tức Web riêng , MSSQL riêng , Game riêng . Vẫn bị . Không hiểu được bị đánh như thế nào nữa |
|
|
|
|
[Question] Re: Flood Apache Webserver. |
03/02/2008 17:57:19 (+0700) | #53 | 113413 |
|
levinthan
Member
|
0 |
|
|
Joined: 16/01/2008 22:38:43
Messages: 78
Offline
|
|
MTU trên ADSL Modem của mình là 1400 Bytes . Liệu mình có nên giảm nó xuống không , và giảm xuốn thì có ảnh hưởng gì đến tốc độ mạng không vậy bạn ? |
|
|
|
|
[Question] Re: Flood Apache Webserver. |
03/02/2008 22:02:23 (+0700) | #54 | 113415 |
PXMMRF
Administrator
|
Joined: 26/09/2002 07:17:55
Messages: 946
Offline
|
|
Tôi đã cố gắng xem hết các bài của bạn, cũng như các bài viết của anh conmale. Anh conmale đã cho những ý kiến, thưc sự là các recommendation xác đáng. Bạn chịu khó đọc kỹ lại các bài của anh conmale.
Trước hết tôi cảm ơn vì bạn đã cung cấp các thông tin đầy đủ và chi tiết về các webserver và Game server của bạn, giúp cho việc tìm ra các nguyên nhân dễ dàng hơn. Trong trường hợp này hay các trường hợp khác tương tự không có gì là đáng "bí mật" cả. Vì để giữ "bí mật' tốt nhất một hệ thống, một công nghệ là luôn luôn, liên tục thay đổi, cải tiến, nâng cấp chúng.
Về topology giữa modem, switch, webserver và Game server... của bạn, tôi không thấy có gì đặc biệt cần lưu ý. Mặc dù có thể chưa là tối ưu. Nhưng xin bạn cho biết model cụ thể của ADSL modem bạn đang dùng. ADSL modem cũng là một yếu tố không thể bỏ qua vì nó là hàng rào đầu tiên.
Trên Apache event log tôi cũng thấy không có dấu hiệu rõ ràng của các cuộc tấn công, dù đó là tấn công Flash DDoS. Tất cà các GET request đều có vẻ hợp lệ và webserver của bạn đã chấp nhận các yêu cầu này một cách "đầy đủ và hoàn hảo".
Bạn có đưa ra nôi dung file config. trong Apache. Dù rằng bạn chưa chú ý đến một số chi tiết cần config. kỹ hơn trong nôi dung, nhiều chỗ bạn dùng "default". Nhưng theo tôi có lẽ nôi dung config. bạn đang dủng trong Apache không phải là nguyên nhân chính dẫn đến những trục trặc mà bạn đang mắc.
Tôi cũng đã tìm ra tên miền của webserver của bạn và tôi sẽ check kỹ để tìm ra những điểm yếu trên hệ thống, có thể dẫn đến khi hacker tấn công vào đó sẽ làm hệ thống sụp đổ. Khi hệ thống có một điểm yếu thì hacker chỉ cần gửi vài chục request với character đặc biệt đến một nơi nào đó trên hệ thống có thể làm cho hệ thống ngưng hoạt đông, mà có thể một số log nào đó, thí dụ http.log trong Apache không ghi nhận đựoc. Các cuộc tấn công này có "hàm lượng trí tuệ" cao hơn rất nhiều các cuộc tấn công DDos tràn lan như ta đã thấy, kể cả Flash DDoS. Ấy là ví von như vây cho vui.
Khi có tìm ra điều gì tôi xin thông báo cho bạn, nhưng không thể báo cho bạn trong thời gian ngắn. Vì mấy hôm nay tôi rất bận.
|
|
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
|
|
|
|
[Question] Re: Flood Apache Webserver. |
03/02/2008 22:31:52 (+0700) | #55 | 113417 |
|
levinthan
Member
|
0 |
|
|
Joined: 16/01/2008 22:38:43
Messages: 78
Offline
|
|
Cảm ơn bạn đã quan tâm bài viết của mình . Mình sử dụng modem của Dlink . Đời 520 T . Mình rất đồng ý với ý kiến của PXMMRF đã đưa ra về trường hợp của mình , đặc biệt là đoạn cuối . Mình không biết phải nói sao . Đúng là về phía apache thì rất bình thường. Nhưng khi bị tấn công thì webserver của mình bị sụm lại , không ai vào được , kể cả localhost. Và Authentication Server của game báo có rất nhiều yêu cầu đang đợi xử lý (RecvQ- Receive Queue). Vâng . Thích thì anh ta flood khoảng 5 10 phút , để cho khoảng 50 % số người chơi văng ra còn buồn thì anh ta flood vài tiếng cho đến khi không còn ai online cả ( Nếu mình không stop service Apache ) và khi anh ta ngưng tấn công thì tất cả mọi thứ đều trở lại bình thường. Bình thường thì anh ta tấn công mọi lúc , đôi khi tối thứ 7 , chủ nhật hay ngày lễ thì anh ta tha cho , chắc là đi chơi với người yêu hay nhật nhẹt . Có điều mình đã tìm kiếm rất nhiều mà vẫn không biết khe hở đó bắt nguồn từ đâu mặc dù đã cố gắng dùng source web khác. Và mình cũng đã biết được , người flood server của mình lại lại một thành viên của HVA ONLINE. Trớ trêu. |
|
|
|
|
[Question] Re: Flood Apache Webserver. |
04/02/2008 04:34:57 (+0700) | #56 | 113435 |
PXMMRF
Administrator
|
Joined: 26/09/2002 07:17:55
Messages: 946
Offline
|
|
levinthan wrote:
Cảm ơn bạn đã quan tâm bài viết của mình . Mình sử dụng modem của Dlink . Đời 520 T . Mình rất đồng ý với ý kiến của PXMMRF đã đưa ra về trường hợp của mình , đặc biệt là đoạn cuối . Mình không biết phải nói sao . Đúng là về phía apache thì rất bình thường. Nhưng khi bị tấn công thì webserver của mình bị sụm lại , không ai vào được , kể cả localhost. Và Authentication Server của game báo có rất nhiều yêu cầu đang đợi xử lý (RecvQ- Receive Queue). Vâng . Thích thì anh ta flood khoảng 5 10 phút , để cho khoảng 50 % số người chơi văng ra còn buồn thì anh ta flood vài tiếng cho đến khi không còn ai online cả ( Nếu mình không stop service Apache ) và khi anh ta ngưng tấn công thì tất cả mọi thứ đều trở lại bình thường. Bình thường thì anh ta tấn công mọi lúc , đôi khi tối thứ 7 , chủ nhật hay ngày lễ thì anh ta tha cho , chắc là đi chơi với người yêu hay nhật nhẹt . Có điều mình đã tìm kiếm rất nhiều mà vẫn không biết khe hở đó bắt nguồn từ đâu mặc dù đã cố gắng dùng source web khác. Và mình cũng đã biết được , người flood server của mình lại lại một thành viên của HVA ONLINE. Trớ trêu.
Vâng! Mọi vấn đề cơ bản có lẽ đã rõ.
Hiện nay, giờ này, bạn đã chuyển trang gameonline "trianglemu.com" hosting tại một webserver của một công ty cho thuê hosting websites, có trụ sở đặt tại Mỹ. Trang gameonline này không còn đặt trong một gameonline server, nằm trong mạng LAN sau một ADSL modem của bạn, có private IP là 192.168.1.x, như bạn đã mô tả trước đây. Việc truy cập đến trang gameonline nay đã cải thiện rất nhiều. Cách giải quyết của bạn như vậy là hợp lý và đúng đắn phải không bạn?
Webserver của bạn có tên miền là "ta1.myvnc.com" thì vẫn đặt ở "chỗ cũ". Chỗ cũ là một chỗ trong mạng LAN sau ADSL modem D-Link 250T, webserver đựong nhiên phải có một private IP như bạn đã từng nói.
Trang web "ta1.myvnc.com" nay chỉ cho các user truy cập đến một trang duy nhất với một số thông báo cần thiết. Nó không còn hoành tráng như xưa, như là trước đây các user chơi gameonline đã từng nhìn thấy.
Tuy vậy bây giờ tôi vẫn còn "nhìn thấy" đựoc những trang "hoành tráng" của website dù đã cho ẩn (hiden). Công nhận những trang đó thiết kế khá đẹp, bố trí hài hòa. Bạn là người có kiến thức khá về nhiều mặt.
Tôi "nhìn thấy" được những trang này là vì khi check bảo mật đến website "trianglemu.com' tôi tìm ra được các link bị disclosed (lộ đừong dẫn) và theo đó tôi "mò" vào đựoc những trang đẹp trên webserver "ta1.myvnc.com"(dù rằng việc truy cập đến các URL này rất chậm, rất hay bị "timeout"). Website này cũng còn một số lỗi khác, nhưng lúc này không phải là lúc bàn đến chuyện "lỗi".
Những sư việc trục trặc mà bạn đã gặp phải chắc là do các nguyên nhân sau:
- Webserver của bạn là một homeserver sử dụng một tên miền năng động (Dynamic domain name): ta1.myvnc.com do công ty kinh doanh dịch vụ tên miền động "no-ip" quản lý www.no-ip.com). Tuy là tên miền của bạn là loại phải mua (không phải là free), nhưng không phải là preminum class. Nếu là tên miền năng động preminum class thì thường chúng phải có dạng khác, thí dụ như px.com hay ta1.com.... Các tên miền Secondary class như ta1.myvnc.com thường hay gặp trục trặc trong quá trình phân giải (resolution), do server phân giải chịu trách nhiệm phân giải quá nhiều tên miền, do công ty không bố trí nhiều DNS server tại các đia điểm khác nhau trên TG để giúp việc phân giải nhanh hơn , hiệu quả hơn...vân vân. Do vậy việc truy cập từ ngoài đến các webserver có tên miền năng động loại này đôi khi trục trặc hay dễ bị overflow khi bị tấn công, dù chỉ tấn công không mạnh.
(Xin chú ý là giá một Dynamic domain name loại preminum class cao hơn giá domaine thông thường như .net, .com, .org loại "tĩnh" từ 3 đến 5 lần)
- Webserver lại đặt trong một mạng thuê bao do một ISP VIệt nam quản lý và bạn thuê bao với gói dịch vụ trung bình ( không phải là loại cao), trong khi mạng LAN lại đặt cả webserver và gameonline server và giữa chúng có quan hê truyền dữ liệu, thì hiện tựong trục trặc càng dễ xảy ra.
Vì vậy bạn đã bố trí lại như hiện nay (webserver thì lắp trong LAN sau modem có các link chỉ đến website gameonline, website gameonline thì hosting trên một webserver mạnh của nước ngoài) là hợp lý.
Không có ai ở HVA tấn công bạn đâu. Nếu có chỉ là một cá nhân nào đó, người này không thể đại diện cho HVA, họ làm với tư cách cá nhân. Vì HVA không chủ trương việc này (xem nôi quy HVA).
|
|
The absence of disagreement is not harmony, it's apathy.
(Socrates)
Honest disagreement is often a good sign of progress.
(Mahatma Gandhi)
|
|
|
|
[Question] Re: Flood Apache Webserver. |
04/02/2008 04:58:26 (+0700) | #57 | 113436 |
Defender
Locked
|
Joined: 03/07/2006 11:27:43
Messages: 624
Offline
|
|
|
|
[Question] Re: Flood Apache Webserver. |
04/02/2008 05:29:20 (+0700) | #58 | 113439 |
|
levinthan
Member
|
0 |
|
|
Joined: 16/01/2008 22:38:43
Messages: 78
Offline
|
|
|
|
[Question] Re: Flood Apache Webserver. |
04/02/2008 05:37:25 (+0700) | #59 | 113441 |
|
levinthan
Member
|
0 |
|
|
Joined: 16/01/2008 22:38:43
Messages: 78
Offline
|
|
Bác PXMMRF phân tích cực kì chính xác . Hiện bác khó vào được trang http://ta1.myvnc.com vì mình liên tục bị flood , và hay tắt service nên bác bị timeout. Còn cái NO-IP . Cái này chỉ là DNS thôi . Khi đã qua nó rồi thì nó kết nối đến IP thật . Rất nhanh. Còn như ý của bác nói thì , hịc . Hồi trước em làm 1 line , người chơi đông gấp 2 lần giờ còn không vấn đề gì . Giờ còn có 1/2 players , mà 2 line , mà vẫn bị sập . Web ta1.myvnc.com public lên trianglemu.com nên ổng biết , ổng xem mà flood nên không ổn định . Đây là link web phụ đây : http://taw.myvnc.com/wb . Bác xem xem sao . ( mà giờ ổng đang đọc cũng ko biết chừng ) Đây cũng là Webserver appserv đặt trong LAN nhưng có default gateway khác với game. Không dám public cái link đó lên trianglemu.com luôn. Chỉ có vài chục người gamer quen biết . Họ vào địa chỉ đó chẳng bị gì cả.Em có 2 line ADSL , đã thử dùng 1 line chạy riêng cho Webserver , 1 line chạy riêng cho Game, nhưng khi line Web bị flood , vẫn ảnh hưởng đến Game vì web có kết nối MSSQL đến game trong mạng lan. Em tính đưa cái web lên host của servage cho nó host . chạy mssql connect tới mssql server của em . mà nó ko support MSSQL connect , chỉ có MYSQL thôi . So banana <= câu này lychailon nói trong vài trang web mà ổng học tiếng Anh. |
|
|
|
|
[Question] Re: Flood Apache Webserver. |
04/02/2008 05:50:09 (+0700) | #60 | 113442 |
Defender
Locked
|
Joined: 03/07/2006 11:27:43
Messages: 624
Offline
|
|
levinthan wrote:
Dạ thưa . Đó là sự thật . Người chơi cheat tại game của mình có nick là lychailon . Có chat vài lần thì biết là hắn làm trong 1 tiệm net , hai mươi mấy tuổi , có kiến thức IT , và vài thông tin khác . Google lychailon thì không có nhiều kết quả lắm đâu Ổng đây : /hvaonline/posts/preList/10953/69853.html#69853,
Bạn biết đấy, ai cũng có thể reg một cái nick ở HVA cả. Mọi người vào thảo luận giúp đỡ bạn và rồi bạn lại kết bằng một câu như thế. Nên không bạn!? |
|
|
Users currently in here |
1 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|