đây là loại ddos gì và giúp em cách khắc phục

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận bảo mật

đây là loại ddos gì và giúp em cách khắc phục

[Question] đây là loại ddos gì và giúp em cách khắc phục	18/06/2009 12:05:13 (+0700) \| #1 \| 183869

Vantrung87hvt
Member

Joined: 29/03/2008 16:24:48
Messages: 6
Offline

cả tuần nay em liên lục bị cái này tao treo cả server không biết là cái gì và ai biết xin giúp giùm em cách khắc phục

em đang khó khăn gì cái này

2009-06-17 14:34:14 W3SVC5059 VPS8846 112.213.88.46 POST /forum/default.asp - 80 - 203.162.3.155 HTTP/1.1 YilLik+iS+mE - http://google.com.vn thuvienit.org 404 0 3 1215 286 375
2009-06-17 14:34:14 W3SVC5059 VPS8846 112.213.88.46 POST /forum/default.asp - 80 - 203.162.3.155 HTTP/1.1 YilLik+iS+mE - http://tocdoviet.com thuvienit.org 404 0 3 1215 331 390
2009-06-17 14:34:14 W3SVC5059 VPS8846 112.213.88.46 POST /forum/default.asp - 80 - 203.162.3.155 HTTP/1.1 YilLik+iS+mE - http://tocdoviet.com thuvienit.org 404 0 3 1215 331 359
2009-06-17 14:34:14 W3SVC5059 VPS8846 112.213.88.46 POST /forum/default.asp - 80 - 203.162.3.155 HTTP/1.1 YilLik+iS+mE - http://google.com.vn thuvienit.org 404 0 3 1215 286 375
2009-06-17 14:34:14 W3SVC5059 VPS8846 112.213.88.46 POST /forum/default.asp - 80 - 203.162.3.155 HTTP/1.1 YilLik+iS+mE - http://tocdoviet.com thuvienit.org 404 0 3 1215 331 359
2009-06-17 14:34:14 W3SVC5059 VPS8846 112.213.88.46 POST /forum/default.asp - 80 - 203.162.3.155 HTTP/1.1 YilLik+iS+mE - http://tocdoviet.com thuvienit.org 404 0 3 1215 331 375
2009-06-17 14:34:14 W3SVC5059 VPS8846 112.213.88.46 POST /forum/default.asp - 80 - 203.162.3.155 HTTP/1.1 YilLik+iS+mE - http://tocdoviet.com thuvienit.org 404 0 3 1215 331 375
2009-06-17 14:34:14 W3SVC5059 VPS8846 112.213.88.46 POST /forum/default.asp - 80 - 203.162.3.155 HTTP/1.1 YilLik+iS+mE - http://tocdoviet.com thuvienit.org 404 0 3 1215 331 375
2009-06-17 14:34:14 W3SVC5059 VPS8846 112.213.88.46 POST /forum/default.asp - 80 - 203.162.3.155 HTTP/1.1 YilLik+iS+mE - http://tocdoviet.com thuvienit.org 404 0 3 1215 331 406
2009-06-17 14:34:14 W3SVC5059 VPS8846 112.213.88.46 POST /forum/default.asp - 80 - 203.162.3.155 HTTP/1.1 YilLik+iS+mE - http://tocdoviet.com thuvienit.org 404 0 3 1215 331 375
2009-06-17 14:34:14 W3SVC5059 VPS8846 112.213.88.46 POST /forum/default.asp - 80 - 203.162.3.155 HTTP/1.1 YilLik+iS+mE - http://tocdoviet.com thuvienit.org 404 0 3 1215 331 375
2009-06-17 14:34:14 W3SVC5059 VPS8846 112.213.88.46 POST /forum/default.asp - 80 - 203.162.3.155 HTTP/1.1 YilLik+iS+mE - http://tocdoviet.com thuvienit.org 404 0 3 1215 331 359
2009-06-17 14:34:14 W3SVC5059 VPS8846 112.213.88.46 POST /forum/default.asp - 80 - 203.162.3.155 HTTP/1.1 YilLik+iS+mE - http://tocdoviet.com thuvienit.org 404 0 3 1215 331 359
2009-06-17 14:34:14 W3SVC5059 VPS8846 112.213.88.46 POST /forum/default.asp - 80 - 203.162.3.155 HTTP/1.1 YilLik+iS+mE - http://tocdoviet.com thuvienit.org 404 0 3 1215 331 359
2009-06-17 14:34:14 W3SVC5059 VPS8846 112.213.88.46 POST /forum/default.asp - 80 - 203.162.3.155 HTTP/1.1 YilLik+iS+mE - http://tocdoviet.com thuvienit.org 404 0 3 1215 331 359
2009-06-17 14:34:14 W3SVC5059 VPS8846 112.213.88.46 POST /forum/default.asp - 80 - 203.162.3.155 HTTP/1.1 YilLik+iS+mE - http://tocdoviet.com thuvienit.org 404 0 3 1215 331 359
2009-06-17 14:34:14 W3SVC5059 VPS8846 112.213.88.46 POST /forum/default.asp - 80 - 203.162.3.155 HTTP/1.1 YilLik+iS+mE - http://tocdoviet.com thuvienit.org 404 0 3 1215 331 375
2009-06-17 14:34:14 W3SVC5059 VPS8846 112.213.88.46 POST /forum/default.asp - 80 - 203.162.3.155 HTTP/1.1 YilLik+iS+mE - http://tocdoviet.com thuvienit.org 404 0 3 1215 331 359
2009-06-17 14:34:17 W3SVC5059 VPS8846 112.213.88.46 POST /forum/default.asp - 80 - 203.162.3.155 HTTP/1.1 YilLik+iS+mE - http://google.com.vn thuvienit.org 404 0 3 1215 286 390
2009-06-17 14:34:17 W3SVC5059 VPS8846 112.213.88.46 POST /forum/default.asp - 80 - 203.162.3.155 HTTP/1.1 YilLik+iS+mE - http://google.com.vn thuvienit.org 404 0 3 1215 286 375
2009-06-17 14:34:17 W3SVC5059 VPS8846 112.213.88.46 POST /forum/default.asp - 80 - 203.162.3.155 HTTP/1.1 YilLik+iS+mE - http://google.com.vn thuvienit.org 404 0 3 1215 286 390
2009-06-17 14:34:17 W3SVC5059 VPS8846 112.213.88.46 POST /forum/default.asp - 80 - 203.162.3.155 HTTP/1.1 YilLik+iS+mE - http://google.com.vn thuvienit.org 404 0 3 1215 286 390
2009-06-17 14:34:17 W3SVC5059 VPS8846 112.213.88.46 POST /forum/default.asp - 80 - 203.162.3.155 HTTP/1.1 YilLik+iS+mE - http://google.com.vn thuvienit.org 404 0 3 1215 286 375
2009-06-17 14:34:17 W3SVC5059 VPS8846 112.213.88.46 POST /forum/default.asp - 80 - 203.162.3.155 HTTP/1.1 YilLik+iS+mE - http://google.com.vn thuvienit.org 404 0 3 1215 286 406
2009-06-17 14:34:17 W3SVC5059 VPS8846 112.213.88.46 POST /forum/default.asp - 80 - 203.162.3.155 HTTP/1.1 YilLik+iS+mE - http://google.com.vn thuvienit.org 404 0 3 1215 286 390
2009-06-17 14:34:17 W3SVC5059 VPS8846 112.213.88.46 POST /forum/default.asp - 80 - 203.162.3.155 HTTP/1.1 YilLik+iS+mE - http://google.com.vn thuvienit.org 404 0 3 1215 286 390

[Question] đây là loại ddos gì và giúp em cách khắc phục	18/06/2009 13:17:51 (+0700) \| #2 \| 183880

khovingu89
Member

Joined: 24/02/2008 22:08:27
Messages: 14
Offline

em thì ko biết về hệ thống anh có thể cấm ip nào đã tấn công site mình đấy còn loại ddos nào thì chịu

[Question] đây là loại ddos gì và giúp em cách khắc phục	18/06/2009 13:20:08 (+0700) \| #3 \| 183881

Vantrung87hvt
Member

Joined: 29/03/2008 16:24:48
Messages: 6
Offline

khovingu89 wrote:

em thì ko biết về hệ thống anh có thể cấm ip nào đã tấn công site mình đấy còn loại ddos nào thì chịu

lúc thì ip này lúc thì ip kia không chặn hết được không biết có phần mềm nào tự band ip khi request quá nhiều không nhỉ

[Question] đây là loại ddos gì và giúp em cách khắc phục	18/06/2009 16:13:17 (+0700) \| #4 \| 183889

flier_vn
Member

Joined: 15/07/2008 01:13:39
Messages: 28
Offline

lúc thì ip này lúc thì ip kia không chặn hết được không biết có phần mềm nào tự band ip khi request quá nhiều không nhỉ

Bạn có thể dùng Mod_Security của apache và Iptables của Linux Kernel.

Còn với mớ log trên kia, rất có khả năng bạn bị xFlash DDoS. Nó send nhìu request dạng POST khống đến site của bạn, vì là post khống nên đều bị trả về 404 ( not found ) nhưng Server vẫn phải sử lý -> theo time và số lượng Serv của bạn bị ùn tắt smilie

Good luck !

MerChant.Vn - Website học hỏi, trao đổi thảo luận về kinh doanh.

DànhChoBé.VN - Chuyên bán đồ chơi chất lượng, thương hiệu Fisher price, Disney, Thomas & Friends

[Question] đây là loại ddos gì và giúp em cách khắc phục	18/06/2009 20:31:00 (+0700) \| #5 \| 183896

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

Vantrung87hvt wrote:

khovingu89 wrote:

em thì ko biết về hệ thống anh có thể cấm ip nào đã tấn công site mình đấy còn loại ddos nào thì chịu

lúc thì ip này lúc thì ip kia không chặn hết được không biết có phần mềm nào tự band ip khi request quá nhiều không nhỉ

Nếu trang web này thuộc dạng share host thì nhờ đám cung cấp dịch vụ hỗ trợ. Nếu là dedicated server thì cần trang bị một cái firewall bảo vệ. Site này chạy trên Windows (có thể là đang dùng IIS6). Bởi thế có thể điều chỉnh giá trị trong "application pool" trên IIS để giảm thiểu tình trạng bị trì trệ hoặc bị treo.

Bản thân Windows server chạy IIS đứng trước một trận DDoS thì khó chống đỡ vì tính bền bỉ của Windows với dạng tấn công này rất kém.

What bringing us together is stronger than what pulling us apart.

[Question] đây là loại ddos gì và giúp em cách khắc phục	18/06/2009 23:52:30 (+0700) \| #6 \| 183915

Vantrung87hvt
Member

Joined: 29/03/2008 16:24:48
Messages: 6
Offline

vâng cảm ơn các bác đã trả lời do em không phải là dân mạng mà là dân lập trình vậy nên mấy cái này em không hiểu bác nào giải thích giùm em

2009-06-18 10:49:10 CLOSE TCP 112.213.88.46 123.27.176.158 80 14238 - - - - - - - - -
2009-06-18 10:49:10 OPEN-INBOUND TCP 123.18.64.46 112.213.88.46 3122 80 - - - - - - - - -
2009-06-18 10:49:10 OPEN-INBOUND TCP 123.18.64.46 112.213.88.46 3123 80 - - - - - - - - -
2009-06-18 10:49:10 OPEN-INBOUND TCP 123.18.64.46 112.213.88.46 3124 80 - - - - - - - - -
2009-06-18 10:49:11 OPEN-INBOUND TCP 123.18.64.46 112.213.88.46 3125 80 - - - - - - - - -
2009-06-18 10:49:11 DROP ICMP 123.19.84.92 112.213.88.46 - - 528 - - - - 8 0 - RECEIVE
2009-06-18 10:49:11 DROP ICMP 123.19.84.92 112.213.88.46 - - 528 - - - - 8 0 - RECEIVE
2009-06-18 10:49:11 DROP ICMP 123.19.84.92 112.213.88.46 - - 528 - - - - 8 0 - RECEIVE
2009-06-18 10:49:11 DROP ICMP 123.19.84.92 112.213.88.46 - - 528 - - - - 8 0 - RECEIVE
2009-06-18 10:49:11 DROP UDP 112.213.88.33 112.213.88.63 138 138 229 - - - - - - - RECEIVE
2009-06-18 10:49:11 OPEN-INBOUND TCP 123.18.64.46 112.213.88.46 3126 80 - - - - - - - - -
2009-06-18 10:49:11 OPEN-INBOUND TCP 146.23.196.22 112.213.88.46 49549 80 - - - - - - - - -
2009-06-18 10:49:11 OPEN-INBOUND TCP 123.18.64.46 112.213.88.46 3127 80 - - - - - - - - -
2009-06-18 10:49:11 DROP ICMP 118.71.218.223 112.213.88.46 - - 528 - - - - 8 0 - RECEIVE
2009-06-18 10:49:11 DROP ICMP 118.71.218.223 112.213.88.46 - - 528 - - - - 8 0 - RECEIVE

Cảm ơn các bác

[Question] đây là loại ddos gì và giúp em cách khắc phục	19/06/2009 00:49:43 (+0700) \| #7 \| 183923

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

Vantrung87hvt wrote:

vâng cảm ơn các bác đã trả lời do em không phải là dân mạng mà là dân lập trình vậy nên mấy cái này em không hiểu bác nào giải thích giùm em

2009-06-18 10:49:10 CLOSE TCP 112.213.88.46 123.27.176.158 80 14238 - - - - - - - - -
2009-06-18 10:49:10 OPEN-INBOUND TCP 123.18.64.46 112.213.88.46 3122 80 - - - - - - - - -
2009-06-18 10:49:10 OPEN-INBOUND TCP 123.18.64.46 112.213.88.46 3123 80 - - - - - - - - -
2009-06-18 10:49:10 OPEN-INBOUND TCP 123.18.64.46 112.213.88.46 3124 80 - - - - - - - - -
2009-06-18 10:49:11 OPEN-INBOUND TCP 123.18.64.46 112.213.88.46 3125 80 - - - - - - - - -
2009-06-18 10:49:11 DROP ICMP 123.19.84.92 112.213.88.46 - - 528 - - - - 8 0 - RECEIVE
2009-06-18 10:49:11 DROP ICMP 123.19.84.92 112.213.88.46 - - 528 - - - - 8 0 - RECEIVE
2009-06-18 10:49:11 DROP ICMP 123.19.84.92 112.213.88.46 - - 528 - - - - 8 0 - RECEIVE
2009-06-18 10:49:11 DROP ICMP 123.19.84.92 112.213.88.46 - - 528 - - - - 8 0 - RECEIVE
2009-06-18 10:49:11 DROP UDP 112.213.88.33 112.213.88.63 138 138 229 - - - - - - - RECEIVE
2009-06-18 10:49:11 OPEN-INBOUND TCP 123.18.64.46 112.213.88.46 3126 80 - - - - - - - - -
2009-06-18 10:49:11 OPEN-INBOUND TCP 146.23.196.22 112.213.88.46 49549 80 - - - - - - - - -
2009-06-18 10:49:11 OPEN-INBOUND TCP 123.18.64.46 112.213.88.46 3127 80 - - - - - - - - -
2009-06-18 10:49:11 DROP ICMP 118.71.218.223 112.213.88.46 - - 528 - - - - 8 0 - RECEIVE
2009-06-18 10:49:11 DROP ICMP 118.71.218.223 112.213.88.46 - - 528 - - - - 8 0 - RECEIVE

Cảm ơn các bác

Cái này ở đâu ra vậy?

What bringing us together is stronger than what pulling us apart.

[Question] đây là loại ddos gì và giúp em cách khắc phục	19/06/2009 02:18:33 (+0700) \| #8 \| 183932

Vantrung87hvt
Member

Joined: 29/03/2008 16:24:48
Messages: 6
Offline

cái đó là log của firewall.log đó anh

[Question] đây là loại ddos gì và giúp em cách khắc phục	19/06/2009 05:43:57 (+0700) \| #9 \| 183958

conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline

Vantrung87hvt wrote:

vâng cảm ơn các bác đã trả lời do em không phải là dân mạng mà là dân lập trình vậy nên mấy cái này em không hiểu bác nào giải thích giùm em

1. 2009-06-18 10:49:10 CLOSE TCP 112.213.88.46 123.27.176.158 80 14238 - - - - - - - - -
2. 2009-06-18 10:49:10 OPEN-INBOUND TCP 123.18.64.46 112.213.88.46 3122 80 - - - - - - - - -
3. 2009-06-18 10:49:10 OPEN-INBOUND TCP 123.18.64.46 112.213.88.46 3123 80 - - - - - - - - -
4. 2009-06-18 10:49:10 OPEN-INBOUND TCP 123.18.64.46 112.213.88.46 3124 80 - - - - - - - - -
5. 2009-06-18 10:49:11 OPEN-INBOUND TCP 123.18.64.46 112.213.88.46 3125 80 - - - - - - - - -
6. 2009-06-18 10:49:11 DROP ICMP 123.19.84.92 112.213.88.46 - - 528 - - - - 8 0 - RECEIVE
7. 2009-06-18 10:49:11 DROP ICMP 123.19.84.92 112.213.88.46 - - 528 - - - - 8 0 - RECEIVE
8. 2009-06-18 10:49:11 DROP ICMP 123.19.84.92 112.213.88.46 - - 528 - - - - 8 0 - RECEIVE
9. 2009-06-18 10:49:11 DROP ICMP 123.19.84.92 112.213.88.46 - - 528 - - - - 8 0 - RECEIVE
10. 2009-06-18 10:49:11 DROP UDP 112.213.88.33 112.213.88.63 138 138 229 - - - - - - - RECEIVE
11. 2009-06-18 10:49:11 OPEN-INBOUND TCP 123.18.64.46 112.213.88.46 3126 80 - - - - - - - - -
12. 2009-06-18 10:49:11 OPEN-INBOUND TCP 146.23.196.22 112.213.88.46 49549 80 - - - - - - - - -
13. 2009-06-18 10:49:11 OPEN-INBOUND TCP 123.18.64.46 112.213.88.46 3127 80 - - - - - - - - -
14. 2009-06-18 10:49:11 DROP ICMP 118.71.218.223 112.213.88.46 - - 528 - - - - 8 0 - RECEIVE
15. 2009-06-18 10:49:11 DROP ICMP 118.71.218.223 112.213.88.46 - - 528 - - - - 8 0 - RECEIVE

Cảm ơn các bác

Vậy thì...

Dòng 1. Firewall tường trình rằng nó đã đóng TCP connection giữa IP 112.213.88.46 và IP 123.27.176.158.

Dòng 2. Firewall tường trình rằng nó cho phép IP 123.18.64.46 thiết lập connection đến IP 112.213.88.46.

Dòng 3, 4 và 5 tương tự dòng 2.

Dòng 6, 7, 8 và 9, firewall tường trình là nó đã hủy ICMP từ 123.19.84.92 đến 112.213.88.46.

Dòng 10, firewall tường trình là nó hủy một góp UDP từ 112.213.88.33 đến 112.213.88.63.

Dòng 11, 12 và 13 tương tự dòng 2.

Dòng 14 và 15 tương tự dòng 6, 7, 8 và 9.

What bringing us together is stronger than what pulling us apart.

[Question] đây là loại ddos gì và giúp em cách khắc phục	19/06/2009 07:26:51 (+0700) \| #10 \| 183974

myquartz
Member

Joined: 04/01/2005 04:58:30
Messages: 563
Offline

Để chặn 1 host nó post quá nhiều thứ vào 1 thời điểm như cái topic lúc đầu. Nếu bạn dùng dedicated server thì nên xài fail2ban (nó cần đến iptables). Chỉ cần monitor các request đến page not found hoặc có log đưa ra 1 thông điệp định trước là được.
Fail2ban nó xem log, rồi tự ban khi phát hiện IP nào đó thực hiện 1 việc gì đó (do mình thiết lập rule) quá n lần/1 đơn vị thời gian. Block luôn IP bằng iptables rule, không cho kết nối luôn. Nó cũng tự giải ban cho IP đó sau 1 khoảng thời gian định trước.
Ví dụ: chặn IP nào post quá 20 lần trong vòng 10 giây, chặn trong vòng 5 phút.

[Question] đây là loại ddos gì và giúp em cách khắc phục	19/06/2009 08:01:31 (+0700) \| #11 \| 183977

Vantrung87hvt
Member

Joined: 29/03/2008 16:24:48
Messages: 6
Offline

myquartz wrote:

Để chặn 1 host nó post quá nhiều thứ vào 1 thời điểm như cái topic lúc đầu. Nếu bạn dùng dedicated server thì nên xài fail2ban (nó cần đến iptables). Chỉ cần monitor các request đến page not found hoặc có log đưa ra 1 thông điệp định trước là được.
Fail2ban nó xem log, rồi tự ban khi phát hiện IP nào đó thực hiện 1 việc gì đó (do mình thiết lập rule) quá n lần/1 đơn vị thời gian. Block luôn IP bằng iptables rule, không cho kết nối luôn. Nó cũng tự giải ban cho IP đó sau 1 khoảng thời gian định trước.
Ví dụ: chặn IP nào post quá 20 lần trong vòng 10 giây, chặn trong vòng 5 phút.

hình như 2 cái anh nói chạy trên linux thì phải bên em chạy windows

Go to:

Users currently in here
1 Anonymous