banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật đây là loại ddos gì và giúp em cách khắc phục  XML
  [Question]   đây là loại ddos gì và giúp em cách khắc phục 18/06/2009 12:05:13 (+0700) | #1 | 183869
Vantrung87hvt
Member

[Minus]    0    [Plus]
Joined: 29/03/2008 16:24:48
Messages: 6
Offline
[Profile] [PM]
cả tuần nay em liên lục bị cái này tao treo cả server không biết là cái gì và ai biết xin giúp giùm em cách khắc phục

em đang khó khăn gì cái này

2009-06-17 14:34:14 W3SVC5059 VPS8846 112.213.88.46 POST /forum/default.asp - 80 - 203.162.3.155 HTTP/1.1 YilLik+iS+mE - http://google.com.vn thuvienit.org 404 0 3 1215 286 375
2009-06-17 14:34:14 W3SVC5059 VPS8846 112.213.88.46 POST /forum/default.asp - 80 - 203.162.3.155 HTTP/1.1 YilLik+iS+mE - http://tocdoviet.com thuvienit.org 404 0 3 1215 331 390
2009-06-17 14:34:14 W3SVC5059 VPS8846 112.213.88.46 POST /forum/default.asp - 80 - 203.162.3.155 HTTP/1.1 YilLik+iS+mE - http://tocdoviet.com thuvienit.org 404 0 3 1215 331 359
2009-06-17 14:34:14 W3SVC5059 VPS8846 112.213.88.46 POST /forum/default.asp - 80 - 203.162.3.155 HTTP/1.1 YilLik+iS+mE - http://google.com.vn thuvienit.org 404 0 3 1215 286 375
2009-06-17 14:34:14 W3SVC5059 VPS8846 112.213.88.46 POST /forum/default.asp - 80 - 203.162.3.155 HTTP/1.1 YilLik+iS+mE - http://tocdoviet.com thuvienit.org 404 0 3 1215 331 359
2009-06-17 14:34:14 W3SVC5059 VPS8846 112.213.88.46 POST /forum/default.asp - 80 - 203.162.3.155 HTTP/1.1 YilLik+iS+mE - http://tocdoviet.com thuvienit.org 404 0 3 1215 331 375
2009-06-17 14:34:14 W3SVC5059 VPS8846 112.213.88.46 POST /forum/default.asp - 80 - 203.162.3.155 HTTP/1.1 YilLik+iS+mE - http://tocdoviet.com thuvienit.org 404 0 3 1215 331 375
2009-06-17 14:34:14 W3SVC5059 VPS8846 112.213.88.46 POST /forum/default.asp - 80 - 203.162.3.155 HTTP/1.1 YilLik+iS+mE - http://tocdoviet.com thuvienit.org 404 0 3 1215 331 375
2009-06-17 14:34:14 W3SVC5059 VPS8846 112.213.88.46 POST /forum/default.asp - 80 - 203.162.3.155 HTTP/1.1 YilLik+iS+mE - http://tocdoviet.com thuvienit.org 404 0 3 1215 331 406
2009-06-17 14:34:14 W3SVC5059 VPS8846 112.213.88.46 POST /forum/default.asp - 80 - 203.162.3.155 HTTP/1.1 YilLik+iS+mE - http://tocdoviet.com thuvienit.org 404 0 3 1215 331 375
2009-06-17 14:34:14 W3SVC5059 VPS8846 112.213.88.46 POST /forum/default.asp - 80 - 203.162.3.155 HTTP/1.1 YilLik+iS+mE - http://tocdoviet.com thuvienit.org 404 0 3 1215 331 375
2009-06-17 14:34:14 W3SVC5059 VPS8846 112.213.88.46 POST /forum/default.asp - 80 - 203.162.3.155 HTTP/1.1 YilLik+iS+mE - http://tocdoviet.com thuvienit.org 404 0 3 1215 331 359
2009-06-17 14:34:14 W3SVC5059 VPS8846 112.213.88.46 POST /forum/default.asp - 80 - 203.162.3.155 HTTP/1.1 YilLik+iS+mE - http://tocdoviet.com thuvienit.org 404 0 3 1215 331 359
2009-06-17 14:34:14 W3SVC5059 VPS8846 112.213.88.46 POST /forum/default.asp - 80 - 203.162.3.155 HTTP/1.1 YilLik+iS+mE - http://tocdoviet.com thuvienit.org 404 0 3 1215 331 359
2009-06-17 14:34:14 W3SVC5059 VPS8846 112.213.88.46 POST /forum/default.asp - 80 - 203.162.3.155 HTTP/1.1 YilLik+iS+mE - http://tocdoviet.com thuvienit.org 404 0 3 1215 331 359
2009-06-17 14:34:14 W3SVC5059 VPS8846 112.213.88.46 POST /forum/default.asp - 80 - 203.162.3.155 HTTP/1.1 YilLik+iS+mE - http://tocdoviet.com thuvienit.org 404 0 3 1215 331 359
2009-06-17 14:34:14 W3SVC5059 VPS8846 112.213.88.46 POST /forum/default.asp - 80 - 203.162.3.155 HTTP/1.1 YilLik+iS+mE - http://tocdoviet.com thuvienit.org 404 0 3 1215 331 375
2009-06-17 14:34:14 W3SVC5059 VPS8846 112.213.88.46 POST /forum/default.asp - 80 - 203.162.3.155 HTTP/1.1 YilLik+iS+mE - http://tocdoviet.com thuvienit.org 404 0 3 1215 331 359
2009-06-17 14:34:17 W3SVC5059 VPS8846 112.213.88.46 POST /forum/default.asp - 80 - 203.162.3.155 HTTP/1.1 YilLik+iS+mE - http://google.com.vn thuvienit.org 404 0 3 1215 286 390
2009-06-17 14:34:17 W3SVC5059 VPS8846 112.213.88.46 POST /forum/default.asp - 80 - 203.162.3.155 HTTP/1.1 YilLik+iS+mE - http://google.com.vn thuvienit.org 404 0 3 1215 286 375
2009-06-17 14:34:17 W3SVC5059 VPS8846 112.213.88.46 POST /forum/default.asp - 80 - 203.162.3.155 HTTP/1.1 YilLik+iS+mE - http://google.com.vn thuvienit.org 404 0 3 1215 286 390
2009-06-17 14:34:17 W3SVC5059 VPS8846 112.213.88.46 POST /forum/default.asp - 80 - 203.162.3.155 HTTP/1.1 YilLik+iS+mE - http://google.com.vn thuvienit.org 404 0 3 1215 286 390
2009-06-17 14:34:17 W3SVC5059 VPS8846 112.213.88.46 POST /forum/default.asp - 80 - 203.162.3.155 HTTP/1.1 YilLik+iS+mE - http://google.com.vn thuvienit.org 404 0 3 1215 286 375
2009-06-17 14:34:17 W3SVC5059 VPS8846 112.213.88.46 POST /forum/default.asp - 80 - 203.162.3.155 HTTP/1.1 YilLik+iS+mE - http://google.com.vn thuvienit.org 404 0 3 1215 286 406
2009-06-17 14:34:17 W3SVC5059 VPS8846 112.213.88.46 POST /forum/default.asp - 80 - 203.162.3.155 HTTP/1.1 YilLik+iS+mE - http://google.com.vn thuvienit.org 404 0 3 1215 286 390
2009-06-17 14:34:17 W3SVC5059 VPS8846 112.213.88.46 POST /forum/default.asp - 80 - 203.162.3.155 HTTP/1.1 YilLik+iS+mE - http://google.com.vn thuvienit.org 404 0 3 1215 286 390
 
[Up] [Print Copy]
  [Question]   đây là loại ddos gì và giúp em cách khắc phục 18/06/2009 13:17:51 (+0700) | #2 | 183880
khovingu89
Member

[Minus]    0    [Plus]
Joined: 24/02/2008 22:08:27
Messages: 14
Offline
[Profile] [PM]
em thì ko biết về hệ thống anh có thể cấm ip nào đã tấn công site mình đấy còn loại ddos nào thì chịu
[Up] [Print Copy]
  [Question]   đây là loại ddos gì và giúp em cách khắc phục 18/06/2009 13:20:08 (+0700) | #3 | 183881
Vantrung87hvt
Member

[Minus]    0    [Plus]
Joined: 29/03/2008 16:24:48
Messages: 6
Offline
[Profile] [PM]

khovingu89 wrote:
em thì ko biết về hệ thống anh có thể cấm ip nào đã tấn công site mình đấy còn loại ddos nào thì chịu 


lúc thì ip này lúc thì ip kia không chặn hết được không biết có phần mềm nào tự band ip khi request quá nhiều không nhỉ
[Up] [Print Copy]
  [Question]   đây là loại ddos gì và giúp em cách khắc phục 18/06/2009 16:13:17 (+0700) | #4 | 183889
flier_vn
Member

[Minus]    0    [Plus]
Joined: 15/07/2008 01:13:39
Messages: 28
Offline
[Profile] [PM]
lúc thì ip này lúc thì ip kia không chặn hết được không biết có phần mềm nào tự band ip khi request quá nhiều không nhỉ  


Bạn có thể dùng Mod_Security của apache và Iptables của Linux Kernel.

Còn với mớ log trên kia, rất có khả năng bạn bị xFlash DDoS. Nó send nhìu request dạng POST khống đến site của bạn, vì là post khống nên đều bị trả về 404 ( not found ) nhưng Server vẫn phải sử lý -> theo time và số lượng Serv của bạn bị ùn tắt smilie

Good luck !
MerChant.Vn - Website học hỏi, trao đổi thảo luận về kinh doanh.

DànhChoBé.VN - Chuyên bán đồ chơi chất lượng, thương hiệu Fisher price, Disney, Thomas & Friends
[Up] [Print Copy]
  [Question]   đây là loại ddos gì và giúp em cách khắc phục 18/06/2009 20:31:00 (+0700) | #5 | 183896
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

Vantrung87hvt wrote:

khovingu89 wrote:
em thì ko biết về hệ thống anh có thể cấm ip nào đã tấn công site mình đấy còn loại ddos nào thì chịu 


lúc thì ip này lúc thì ip kia không chặn hết được không biết có phần mềm nào tự band ip khi request quá nhiều không nhỉ  


Nếu trang web này thuộc dạng share host thì nhờ đám cung cấp dịch vụ hỗ trợ. Nếu là dedicated server thì cần trang bị một cái firewall bảo vệ. Site này chạy trên Windows (có thể là đang dùng IIS6). Bởi thế có thể điều chỉnh giá trị trong "application pool" trên IIS để giảm thiểu tình trạng bị trì trệ hoặc bị treo.

Bản thân Windows server chạy IIS đứng trước một trận DDoS thì khó chống đỡ vì tính bền bỉ của Windows với dạng tấn công này rất kém.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   đây là loại ddos gì và giúp em cách khắc phục 18/06/2009 23:52:30 (+0700) | #6 | 183915
Vantrung87hvt
Member

[Minus]    0    [Plus]
Joined: 29/03/2008 16:24:48
Messages: 6
Offline
[Profile] [PM]
vâng cảm ơn các bác đã trả lời do em không phải là dân mạng mà là dân lập trình vậy nên mấy cái này em không hiểu bác nào giải thích giùm em

2009-06-18 10:49:10 CLOSE TCP 112.213.88.46 123.27.176.158 80 14238 - - - - - - - - -
2009-06-18 10:49:10 OPEN-INBOUND TCP 123.18.64.46 112.213.88.46 3122 80 - - - - - - - - -
2009-06-18 10:49:10 OPEN-INBOUND TCP 123.18.64.46 112.213.88.46 3123 80 - - - - - - - - -
2009-06-18 10:49:10 OPEN-INBOUND TCP 123.18.64.46 112.213.88.46 3124 80 - - - - - - - - -
2009-06-18 10:49:11 OPEN-INBOUND TCP 123.18.64.46 112.213.88.46 3125 80 - - - - - - - - -
2009-06-18 10:49:11 DROP ICMP 123.19.84.92 112.213.88.46 - - 528 - - - - 8 0 - RECEIVE
2009-06-18 10:49:11 DROP ICMP 123.19.84.92 112.213.88.46 - - 528 - - - - 8 0 - RECEIVE
2009-06-18 10:49:11 DROP ICMP 123.19.84.92 112.213.88.46 - - 528 - - - - 8 0 - RECEIVE
2009-06-18 10:49:11 DROP ICMP 123.19.84.92 112.213.88.46 - - 528 - - - - 8 0 - RECEIVE
2009-06-18 10:49:11 DROP UDP 112.213.88.33 112.213.88.63 138 138 229 - - - - - - - RECEIVE
2009-06-18 10:49:11 OPEN-INBOUND TCP 123.18.64.46 112.213.88.46 3126 80 - - - - - - - - -
2009-06-18 10:49:11 OPEN-INBOUND TCP 146.23.196.22 112.213.88.46 49549 80 - - - - - - - - -
2009-06-18 10:49:11 OPEN-INBOUND TCP 123.18.64.46 112.213.88.46 3127 80 - - - - - - - - -
2009-06-18 10:49:11 DROP ICMP 118.71.218.223 112.213.88.46 - - 528 - - - - 8 0 - RECEIVE
2009-06-18 10:49:11 DROP ICMP 118.71.218.223 112.213.88.46 - - 528 - - - - 8 0 - RECEIVE 


Cảm ơn các bác
[Up] [Print Copy]
  [Question]   đây là loại ddos gì và giúp em cách khắc phục 19/06/2009 00:49:43 (+0700) | #7 | 183923
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

Vantrung87hvt wrote:
vâng cảm ơn các bác đã trả lời do em không phải là dân mạng mà là dân lập trình vậy nên mấy cái này em không hiểu bác nào giải thích giùm em

2009-06-18 10:49:10 CLOSE TCP 112.213.88.46 123.27.176.158 80 14238 - - - - - - - - -
2009-06-18 10:49:10 OPEN-INBOUND TCP 123.18.64.46 112.213.88.46 3122 80 - - - - - - - - -
2009-06-18 10:49:10 OPEN-INBOUND TCP 123.18.64.46 112.213.88.46 3123 80 - - - - - - - - -
2009-06-18 10:49:10 OPEN-INBOUND TCP 123.18.64.46 112.213.88.46 3124 80 - - - - - - - - -
2009-06-18 10:49:11 OPEN-INBOUND TCP 123.18.64.46 112.213.88.46 3125 80 - - - - - - - - -
2009-06-18 10:49:11 DROP ICMP 123.19.84.92 112.213.88.46 - - 528 - - - - 8 0 - RECEIVE
2009-06-18 10:49:11 DROP ICMP 123.19.84.92 112.213.88.46 - - 528 - - - - 8 0 - RECEIVE
2009-06-18 10:49:11 DROP ICMP 123.19.84.92 112.213.88.46 - - 528 - - - - 8 0 - RECEIVE
2009-06-18 10:49:11 DROP ICMP 123.19.84.92 112.213.88.46 - - 528 - - - - 8 0 - RECEIVE
2009-06-18 10:49:11 DROP UDP 112.213.88.33 112.213.88.63 138 138 229 - - - - - - - RECEIVE
2009-06-18 10:49:11 OPEN-INBOUND TCP 123.18.64.46 112.213.88.46 3126 80 - - - - - - - - -
2009-06-18 10:49:11 OPEN-INBOUND TCP 146.23.196.22 112.213.88.46 49549 80 - - - - - - - - -
2009-06-18 10:49:11 OPEN-INBOUND TCP 123.18.64.46 112.213.88.46 3127 80 - - - - - - - - -
2009-06-18 10:49:11 DROP ICMP 118.71.218.223 112.213.88.46 - - 528 - - - - 8 0 - RECEIVE
2009-06-18 10:49:11 DROP ICMP 118.71.218.223 112.213.88.46 - - 528 - - - - 8 0 - RECEIVE 


Cảm ơn các bác 


Cái này ở đâu ra vậy?
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   đây là loại ddos gì và giúp em cách khắc phục 19/06/2009 02:18:33 (+0700) | #8 | 183932
Vantrung87hvt
Member

[Minus]    0    [Plus]
Joined: 29/03/2008 16:24:48
Messages: 6
Offline
[Profile] [PM]
cái đó là log của firewall.log đó anh
[Up] [Print Copy]
  [Question]   đây là loại ddos gì và giúp em cách khắc phục 19/06/2009 05:43:57 (+0700) | #9 | 183958
[Avatar]
conmale
Administrator

Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
[Profile] [PM]

Vantrung87hvt wrote:
vâng cảm ơn các bác đã trả lời do em không phải là dân mạng mà là dân lập trình vậy nên mấy cái này em không hiểu bác nào giải thích giùm em

1. 2009-06-18 10:49:10 CLOSE TCP 112.213.88.46 123.27.176.158 80 14238 - - - - - - - - -
2. 2009-06-18 10:49:10 OPEN-INBOUND TCP 123.18.64.46 112.213.88.46 3122 80 - - - - - - - - -
3. 2009-06-18 10:49:10 OPEN-INBOUND TCP 123.18.64.46 112.213.88.46 3123 80 - - - - - - - - -
4. 2009-06-18 10:49:10 OPEN-INBOUND TCP 123.18.64.46 112.213.88.46 3124 80 - - - - - - - - -
5. 2009-06-18 10:49:11 OPEN-INBOUND TCP 123.18.64.46 112.213.88.46 3125 80 - - - - - - - - -
6. 2009-06-18 10:49:11 DROP ICMP 123.19.84.92 112.213.88.46 - - 528 - - - - 8 0 - RECEIVE
7. 2009-06-18 10:49:11 DROP ICMP 123.19.84.92 112.213.88.46 - - 528 - - - - 8 0 - RECEIVE
8. 2009-06-18 10:49:11 DROP ICMP 123.19.84.92 112.213.88.46 - - 528 - - - - 8 0 - RECEIVE
9. 2009-06-18 10:49:11 DROP ICMP 123.19.84.92 112.213.88.46 - - 528 - - - - 8 0 - RECEIVE
10. 2009-06-18 10:49:11 DROP UDP 112.213.88.33 112.213.88.63 138 138 229 - - - - - - - RECEIVE
11. 2009-06-18 10:49:11 OPEN-INBOUND TCP 123.18.64.46 112.213.88.46 3126 80 - - - - - - - - -
12. 2009-06-18 10:49:11 OPEN-INBOUND TCP 146.23.196.22 112.213.88.46 49549 80 - - - - - - - - -
13. 2009-06-18 10:49:11 OPEN-INBOUND TCP 123.18.64.46 112.213.88.46 3127 80 - - - - - - - - -
14. 2009-06-18 10:49:11 DROP ICMP 118.71.218.223 112.213.88.46 - - 528 - - - - 8 0 - RECEIVE
15. 2009-06-18 10:49:11 DROP ICMP 118.71.218.223 112.213.88.46 - - 528 - - - - 8 0 - RECEIVE 


Cảm ơn các bác 


Vậy thì...

Dòng 1. Firewall tường trình rằng nó đã đóng TCP connection giữa IP 112.213.88.46 và IP 123.27.176.158.

Dòng 2. Firewall tường trình rằng nó cho phép IP 123.18.64.46 thiết lập connection đến IP 112.213.88.46.

Dòng 3, 4 và 5 tương tự dòng 2.

Dòng 6, 7, 8 và 9, firewall tường trình là nó đã hủy ICMP từ 123.19.84.92 đến 112.213.88.46.

Dòng 10, firewall tường trình là nó hủy một góp UDP từ 112.213.88.33 đến 112.213.88.63.

Dòng 11, 12 và 13 tương tự dòng 2.

Dòng 14 và 15 tương tự dòng 6, 7, 8 và 9.
What bringing us together is stronger than what pulling us apart.
[Up] [Print Copy]
  [Question]   đây là loại ddos gì và giúp em cách khắc phục 19/06/2009 07:26:51 (+0700) | #10 | 183974
myquartz
Member

[Minus]    0    [Plus]
Joined: 04/01/2005 04:58:30
Messages: 563
Offline
[Profile] [PM]
Để chặn 1 host nó post quá nhiều thứ vào 1 thời điểm như cái topic lúc đầu. Nếu bạn dùng dedicated server thì nên xài fail2ban (nó cần đến iptables). Chỉ cần monitor các request đến page not found hoặc có log đưa ra 1 thông điệp định trước là được.
Fail2ban nó xem log, rồi tự ban khi phát hiện IP nào đó thực hiện 1 việc gì đó (do mình thiết lập rule) quá n lần/1 đơn vị thời gian. Block luôn IP bằng iptables rule, không cho kết nối luôn. Nó cũng tự giải ban cho IP đó sau 1 khoảng thời gian định trước.
Ví dụ: chặn IP nào post quá 20 lần trong vòng 10 giây, chặn trong vòng 5 phút.
[Up] [Print Copy]
  [Question]   đây là loại ddos gì và giúp em cách khắc phục 19/06/2009 08:01:31 (+0700) | #11 | 183977
Vantrung87hvt
Member

[Minus]    0    [Plus]
Joined: 29/03/2008 16:24:48
Messages: 6
Offline
[Profile] [PM]

myquartz wrote:
Để chặn 1 host nó post quá nhiều thứ vào 1 thời điểm như cái topic lúc đầu. Nếu bạn dùng dedicated server thì nên xài fail2ban (nó cần đến iptables). Chỉ cần monitor các request đến page not found hoặc có log đưa ra 1 thông điệp định trước là được.
Fail2ban nó xem log, rồi tự ban khi phát hiện IP nào đó thực hiện 1 việc gì đó (do mình thiết lập rule) quá n lần/1 đơn vị thời gian. Block luôn IP bằng iptables rule, không cho kết nối luôn. Nó cũng tự giải ban cho IP đó sau 1 khoảng thời gian định trước.
Ví dụ: chặn IP nào post quá 20 lần trong vòng 10 giây, chặn trong vòng 5 phút. 


hình như 2 cái anh nói chạy trên linux thì phải bên em chạy windows
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|