[Question] Hỏi về vụ tấn công mạng vừa rồi của HVA ? |
20/06/2012 07:16:21 (+0700) | #1 | 265289 |
cutiblung
Member
|
0 |
|
|
Joined: 21/10/2009 01:00:20
Messages: 30
Offline
|
|
Kính đề nghị BQT pub thông tin về cuộc tấn công vừa rồi và giải pháp của diễn dàn sau vụ tấn công đó để mọi người học hỏi thêm về phòng chống tấn công từ chối dịch vụ.Thanks |
|
|
|
|
[Question] Hỏi về vụ tấn công mạng vừa rồi của HVA ? |
20/06/2012 08:23:32 (+0700) | #2 | 265291 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
cutiblung wrote:
Kính đề nghị BQT pub thông tin về cuộc tấn công vừa rồi và giải pháp của diễn dàn sau vụ tấn công đó để mọi người học hỏi thêm về phòng chống tấn công từ chối dịch vụ.Thanks
Cho đến bây giờ vẫn chưa thu thập được những thông tin cốt yếu để xác định HVA vừa bị tấn công cụ thể như thế nào bởi vì ngay khi luồng DDoS ập vào thì nhà cung cấp dịch vụ đã "null-route" trọn bộ traffic đến IP của HVA. Bởi thế, từ bên trong máy chủ, mình không có cách nào capture được thông tin cụ thể.
Xét trên biểu hiện tổng quát thì dường như đây là một dạng spoof IP để DDoS bởi vì trên logs của máy chủ có một số thông tin về cảnh báo spoof IP ngay trước lúc nhà cung cấp dịch vụ tiến hành "null-routing". Đây chỉ là phỏng đoán và không chắc là đúng vì không có bằng chứng cụ thể ở cấp độ "packet".
Giải pháp hiện thời là tạo ra một loạt (càng nhiều càng tốt) các reverse proxies đứng trước HVA để chẻ traffic ra thành nhiều phần nhỏ nhằm tránh tính trạng 1 máy chủ bị "null-route". |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Hỏi về vụ tấn công mạng vừa rồi của HVA ? |
20/06/2012 08:47:30 (+0700) | #3 | 265292 |
cutiblung
Member
|
0 |
|
|
Joined: 21/10/2009 01:00:20
Messages: 30
Offline
|
|
spoof IP ở đây có phải DRDOS không anh Conmale? chả lẽ còn một số route cho phép thực thi dạng tấn công này.
Theo BQT đứng sau vụ tấn công này là STL hay là nhóm đánh thuê "Nga Ngố". |
|
|
|
|
[Question] Hỏi về vụ tấn công mạng vừa rồi của HVA ? |
20/06/2012 09:13:06 (+0700) | #4 | 265296 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
cutiblung wrote:
spoof IP ở đây có phải DRDOS không anh Conmale? chả lẽ còn một số route cho phép thực thi dạng tấn công này.
Theo BQT đứng sau vụ tấn công này là STL hay là nhóm đánh thuê "Nga Ngố".
Chưa thể xác định được tính chất vụ ddos vừa rồi có giống như DrDDoS hay không vì không capture được packets nào hết. Nếu kẻ ấy tiếp tục tấn công thì có thể lần này có cơ hội vì hiện thời HVA có 4 nodes chia sẻ load.
Bởi không có đủ thông tin kỹ thuật cho nên không thể xác định ai có thể là thủ phạm. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Hỏi về vụ tấn công mạng vừa rồi của HVA ? |
20/06/2012 09:27:45 (+0700) | #5 | 265298 |
cutiblung
Member
|
0 |
|
|
Joined: 21/10/2009 01:00:20
Messages: 30
Offline
|
|
Vậy em đợi loạt ký sự tiếp theo vậy.Hy vọng vấn đề Spoof như nào sẽ được đưa ra ánh sáng. |
|
|
|
|
[Question] Hỏi về vụ tấn công mạng vừa rồi của HVA ? |
20/06/2012 09:42:04 (+0700) | #6 | 265299 |
|
tdtv-bkt432
Member
|
0 |
|
|
Joined: 13/06/2012 02:14:06
Messages: 47
Location: /root/user...../null
Offline
|
|
Có khi nào là Anonymous không? nghe nói bọn chúng chuẩn bị thử loại vũ khí mới |
|
|
|
|
[Question] Hỏi về vụ tấn công mạng vừa rồi của HVA ? |
20/06/2012 09:50:24 (+0700) | #7 | 265301 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
Chủ đề kỹ thuật không phải là nơi để tán gẫu và đoán mò nhá các bạn. Xin đừng có kiểu "thảo luận" như vậy trên HVA. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Hỏi về vụ tấn công mạng vừa rồi của HVA ? |
20/06/2012 15:30:42 (+0700) | #8 | 265323 |
docong1010
Member
|
0 |
|
|
Joined: 28/12/2004 14:11:13
Messages: 72
Offline
|
|
Vào mãi bây giờ mới được " Cannot display page ". Không có nhiều người rãnh quá đi, có thời gian sao không đi mần ăn đi |
|
|
|
|
[Question] Hỏi về vụ tấn công mạng vừa rồi của HVA ? |
21/06/2012 10:01:55 (+0700) | #9 | 265359 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
Rồi đó. HVA hiện có 4 nodes với tổng cộng chừng 4Gigabits. Để coi mất bao lâu thì (hắn) saturate 4Gigabits hén .
PS: cám ơn Thần Bài (Minh) đã "cúng" cho 1Gigabit . |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Hỏi về vụ tấn công mạng vừa rồi của HVA ? |
21/06/2012 12:16:43 (+0700) | #10 | 265370 |
|
chiro8x
Member
|
0 |
|
|
Joined: 26/09/2010 00:38:37
Messages: 661
Location: /home/chiro8x
Offline
|
|
|
|
[Question] Hỏi về vụ tấn công mạng vừa rồi của HVA ? |
21/06/2012 12:25:33 (+0700) | #11 | 265371 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
chiro8x wrote:
conmale wrote:
Rồi đó. HVA hiện có 4 nodes với tổng cộng chừng 4Gigabits. Để coi mất bao lâu thì (hắn) saturate 4Gigabits hén .
PS: cám ơn Thần Bài (Minh) đã "cúng" cho 1Gigabit .
Anh conmale làm cái poll dự đoán phương thức mà kẻ tấn công đã thực hiện trong thời gian qua đi, biết đâu hung thủ quay trở lại hiện trường tham gia poll thì sao .
Anh đang đợi "hắn" đốt lại để tóm 1 mới packets để phân tích đây. Chưa thấy động tĩnh gì hết. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Hỏi về vụ tấn công mạng vừa rồi của HVA ? |
21/06/2012 16:08:51 (+0700) | #12 | 265381 |
Xr0.9999
Member
|
0 |
|
|
Joined: 28/08/2011 19:55:11
Messages: 16
Location: Gia Nghĩa
Offline
|
|
theo em nghĩ, có thể thủ phạm tấn công HVA là nhóm tấn công Vn-zoom và 1 số site khác cách đây vài hôm. |
|
|
|
|
[Question] Hỏi về vụ tấn công mạng vừa rồi của HVA ? |
21/06/2012 16:13:51 (+0700) | #13 | 265383 |
|
WANWULIN
Member
|
0 |
|
|
Joined: 13/03/2008 23:37:37
Messages: 76
Location: Tây Ninh
Offline
|
|
Theo em thì bọn này dc đào tạo bài bản nên ta nên nhờ giúp đỡ về pháp lý của bên công an. |
|
KW 1394
+84 1635 123 678 |
|
|
|
[Question] Hỏi về vụ tấn công mạng vừa rồi của HVA ? |
21/06/2012 16:37:43 (+0700) | #14 | 265385 |
|
Ky0
Moderator
|
Joined: 16/08/2009 23:09:08
Messages: 532
Offline
|
|
WANWULIN wrote:
Theo em thì bọn này dc đào tạo bài bản nên ta nên nhờ giúp đỡ về pháp lý của bên công an.
Căn cứ vào đâu bạn nói ràng bọn này được đào tạo bài bản?
Đợt Vietnamnet bị tấn công liên tục có thấy sự trợ giúp của công an đâu? HVA là gì mà họ trợ giúp?
Xr0.9999 wrote:
theo em nghĩ, có thể thủ phạm tấn công HVA là nhóm tấn công Vn-zoom và 1 số site khác cách đây vài hôm.
Hiện tại anh conmale cũng chưa có bằng chứng cụ thể (gói tin capture lúc bị DDOS) và VN-Zoom hay mấy "site kia" cũng không public mớ gói tin khi bị DDOS. Căn cứ vào đâu mà bạn đưa ra nhận định trên?
Thông báo!
Các bạn nào vào đây phán đoán dựa theo cảm tính mà không có căn cứ cụ thể nào sẽ khị cảnh cáo nếu tái phạm sẽ bị khóa nick.
Anh Conmale sẽ công bố cụ thể khi có các bằng chứng xác thực!
- Ky0 - |
|
UITNetwork.com
Let's Connect |
|
|
|
[Question] Hỏi về vụ tấn công mạng vừa rồi của HVA ? |
09/07/2012 07:58:01 (+0700) | #15 | 266435 |
moonhamster
Member
|
0 |
|
|
Joined: 13/05/2012 23:09:32
Messages: 1
Location: FPT
Offline
|
|
This post is set hidden by a moderator because it may be violating forum's guideline or it needs modification before setting visible to members. |
|
|
|
|
[Question] Hỏi về vụ tấn công mạng vừa rồi của HVA ? |
09/07/2012 16:34:17 (+0700) | #16 | 266466 |
Khóc Vô Lệ
Member
|
0 |
|
|
Joined: 11/02/2011 09:59:14
Messages: 1
Offline
|
|
Chả phải đào tạo bài bản ! đơn giản là sử dụng code tụi tây rồi attack ko có gì lạ Full code đã đc share tại đây !
http://sinhvienit.net/@forum/threads/206535-code-botnetvietnam-dang-trem-gio/
Info của nó thì em có nắm 1 số thứ đang đi làm ! sdt hình như còn log chat và 1 điều là máy nó có dính em bé của em share pub info cho anh em chiến trong t.gian sớm nhất
Chúc các bác ở HVA 1 ngày vui vẻ ! xin hết |
|
|
|
|
[Question] Hỏi về vụ tấn công mạng vừa rồi của HVA ? |
09/07/2012 18:04:08 (+0700) | #17 | 266472 |
StarGhost
Elite Member
|
0 |
|
|
Joined: 29/03/2005 20:34:22
Messages: 662
Location: The Queen
Offline
|
|
conmale wrote:
Cho đến bây giờ vẫn chưa thu thập được những thông tin cốt yếu để xác định HVA vừa bị tấn công cụ thể như thế nào bởi vì ngay khi luồng DDoS ập vào thì nhà cung cấp dịch vụ đã "null-route" trọn bộ traffic đến IP của HVA. Bởi thế, từ bên trong máy chủ, mình không có cách nào capture được thông tin cụ thể.
Xét trên biểu hiện tổng quát thì dường như đây là một dạng spoof IP để DDoS bởi vì trên logs của máy chủ có một số thông tin về cảnh báo spoof IP ngay trước lúc nhà cung cấp dịch vụ tiến hành "null-routing". Đây chỉ là phỏng đoán và không chắc là đúng vì không có bằng chứng cụ thể ở cấp độ "packet".
Giải pháp hiện thời là tạo ra một loạt (càng nhiều càng tốt) các reverse proxies đứng trước HVA để chẻ traffic ra thành nhiều phần nhỏ nhằm tránh tính trạng 1 máy chủ bị "null-route".
Anh conmale cho em hỏi là ISP tiến hành "null-routing" là do họ tự nguyện hay là do anh thuê cái dịch vụ "null-routing" này của họ? Nếu họ tự nguyện thì anh có biết lí do tại sao họ lại bỏ công sức ra làm vậy hay không?
Cám ơn anh. |
|
Mind your thought. |
|
|
|
[Question] Hỏi về vụ tấn công mạng vừa rồi của HVA ? |
10/07/2012 03:36:56 (+0700) | #18 | 266491 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
StarGhost wrote:
conmale wrote:
Cho đến bây giờ vẫn chưa thu thập được những thông tin cốt yếu để xác định HVA vừa bị tấn công cụ thể như thế nào bởi vì ngay khi luồng DDoS ập vào thì nhà cung cấp dịch vụ đã "null-route" trọn bộ traffic đến IP của HVA. Bởi thế, từ bên trong máy chủ, mình không có cách nào capture được thông tin cụ thể.
Xét trên biểu hiện tổng quát thì dường như đây là một dạng spoof IP để DDoS bởi vì trên logs của máy chủ có một số thông tin về cảnh báo spoof IP ngay trước lúc nhà cung cấp dịch vụ tiến hành "null-routing". Đây chỉ là phỏng đoán và không chắc là đúng vì không có bằng chứng cụ thể ở cấp độ "packet".
Giải pháp hiện thời là tạo ra một loạt (càng nhiều càng tốt) các reverse proxies đứng trước HVA để chẻ traffic ra thành nhiều phần nhỏ nhằm tránh tính trạng 1 máy chủ bị "null-route".
Anh conmale cho em hỏi là ISP tiến hành "null-routing" là do họ tự nguyện hay là do anh thuê cái dịch vụ "null-routing" này của họ? Nếu họ tự nguyện thì anh có biết lí do tại sao họ lại bỏ công sức ra làm vậy hay không?
Cám ơn anh.
Anh không gọi nhà cung cấp dịch vụ hosting mình đang dùng là ISP (Internet Service Provider) mà họ là Data Center thì đúng hơn. ISP chỉ đúng cho người bình thường cần truy cập Internet.
Về việc null-routing mà Data Center ở đây cung cấp, anh nghĩ một phần là do mình trả phí thuê máy chủ khá đậm (vì có cấu hình khá và băng thông rộng) và một phần là do họ cần làm như vậy để bảo đảm chất lượng dịch vụ. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Hỏi về vụ tấn công mạng vừa rồi của HVA ? |
10/07/2012 13:39:44 (+0700) | #19 | 266521 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
Ha ha, hoá ra các "bạn lạ" của ta tấn công. Bữa giờ các bạn chơi trò du kích dích ku, toàn lựa mấy cái giờ ác ôn không có mình nên mình không chộp được. Bữa nay trúng ngay lúc console sẵn sàng thì lòi ra toàn là IP từ Jiangsu với JIANGXI không mới mệt. Đúng là "hở" ra là "lạnh" với các bạn ấy thiệt |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Hỏi về vụ tấn công mạng vừa rồi của HVA ? |
10/07/2012 13:45:02 (+0700) | #20 | 266525 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
Song song vào các "bạn lạ" còn có các "bạn ta" cũng nhào vô ăn theo:
Code:
222.255.1.149 - - [10/Jul/2012:14:40:22 +0700] "GET / HTTP/1.1" 502 - "/tof/" "Mozilla/5.0 (Windows; U; Windows NT 6.0; nl; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6"
222.255.1.149 - - [10/Jul/2012:14:40:27 +0700] "GET / HTTP/1.1" 502 - "/tof/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.2.8) Gecko/20100722 Firefox/3.6.8"
(Windows NT 6.1; WOW64) AppleWebKit/536.11 (KHTML, like Gecko) Chrome/20.0.1132.47 Safari/536.11"
222.255.1.149 - - [10/Jul/2012:14:40:32 +0700] "GET / HTTP/1.1" 403 2108 "/tof/" "Opera/9.80 (Windows NT 5.1; U; MRA 5.5 (build 02842); ru) Presto/2.7.62 Version/11.00"
222.255.1.149 - - [10/Jul/2012:14:40:32 +0700] "GET / HTTP/1.1" 403 2108 "/tof/" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.7) Gecko/20100726 CentOS/3.6-3.el5.centos Firefox/3.6.7"
222.255.1.149 - - [10/Jul/2012:14:40:32 +0700] "GET / HTTP/1.1" 403 2108 "/tof/" "Opera/9.80 (Windows NT 5.1; U; MRA 5.5 (build 02842); ru) Presto/2.7.62 Version/11.00"
222.255.1.149 - - [10/Jul/2012:14:40:32 +0700] "GET / HTTP/1.1" 200 6380 "/tof/" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_5_8; en-US) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.224 Safari/534.10"
222.255.1.149 - - [10/Jul/2012:14:40:33 +0700] "GET / HTTP/1.1" 403 2108 "/tof/" "Opera/9.80 (Windows NT 5.1; U; MRA 5.5 (build 02842); ru) Presto/2.7.62 Version/11.00"
222.255.1.149 - - [10/Jul/2012:14:40:33 +0700] "GET / HTTP/1.1" 403 2108 "/tof/" "Opera/9.80 (Windows NT 5.1; U; MRA 5.5 (build 02842); ru) Presto/2.7.62 Version/11.00"
Không hiểu các "bạn quen" đang làm cái trò khỉ gì cho mục đích gì nữa.
|
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Question] Hỏi về vụ tấn công mạng vừa rồi của HVA ? |
10/07/2012 19:12:34 (+0700) | #21 | 266540 |
|
tranhuuphuoc
Moderator
|
Joined: 05/09/2004 06:08:09
Messages: 865
Location: Lầu Xanh
Offline
|
|
conmale wrote:
Anh không gọi nhà cung cấp dịch vụ hosting mình đang dùng là ISP (Internet Service Provider) mà họ là Data Center thì đúng hơn. ISP chỉ đúng cho người bình thường cần truy cập Internet.
Về việc null-routing mà Data Center ở đây cung cấp, anh nghĩ một phần là do mình trả phí thuê máy chủ khá đậm (vì có cấu hình khá và băng thông rộng) và một phần là do họ cần làm như vậy để bảo đảm chất lượng dịch vụ.
ISP có trách nhiệm cao hơn phía Data Center bởi vì 1 Data Center thông thường phải mướn, phải thuê 1 đường truyền từ ISP sang với tốc độ băng thông phía DataCenter yêu cầu.
Ở VN theo em thấy dường như khái niệm null-routing em chưa thấy ở các nhà cung cấp dịch vụ !!! Đọc bài viết này của anh, tra cứu thêm mới tận tường thêm nhiều điểm mình chưa biết. |
|
|
|
|
[Question] Hỏi về vụ tấn công mạng vừa rồi của HVA ? |
10/07/2012 21:18:19 (+0700) | #22 | 266545 |
chidaica
Member
|
0 |
|
|
Joined: 06/07/2012 12:34:42
Messages: 1
Offline
|
|
|
|
[Question] Hỏi về vụ tấn công mạng vừa rồi của HVA ? |
11/07/2012 05:29:55 (+0700) | #23 | 266560 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
tranhuuphuoc wrote:
conmale wrote:
Anh không gọi nhà cung cấp dịch vụ hosting mình đang dùng là ISP (Internet Service Provider) mà họ là Data Center thì đúng hơn. ISP chỉ đúng cho người bình thường cần truy cập Internet.
Về việc null-routing mà Data Center ở đây cung cấp, anh nghĩ một phần là do mình trả phí thuê máy chủ khá đậm (vì có cấu hình khá và băng thông rộng) và một phần là do họ cần làm như vậy để bảo đảm chất lượng dịch vụ.
ISP có trách nhiệm cao hơn phía Data Center bởi vì 1 Data Center thông thường phải mướn, phải thuê 1 đường truyền từ ISP sang với tốc độ băng thông phía DataCenter yêu cầu.
Ở VN theo em thấy dường như khái niệm null-routing em chưa thấy ở các nhà cung cấp dịch vụ !!! Đọc bài viết này của anh, tra cứu thêm mới tận tường thêm nhiều điểm mình chưa biết.
Ở những nước như Mỹ, Anh, Pháp, Đức, Úc, Nhật, Hàn...v..v... có 3 dạng:
1. Carrier: là đám quản lý / làm chủ hệ thống đường truyền. Đám này cho tụi ISP thuê lại hoặc chính đám này làm ISP để bán sỉ hoặc bán lẻ. Ví dụ, ở Úc có tụi Telstra, Optus, AAPT..... tụi này còn gọi là Tier1 carrier.
2. ISP: là đám thuê lại hệ thống đường truyền của đám carrier rồi mới cung cấp dịch vụ truy cập Internet cho người dùng bình thường. Đám này thì đông như quân Nguyên và hầu hết thuê lại đường truyền để bán lẻ.
3. Data center: đám này thường thuê hẳn đường truyền của đám carrier chớ không thuê của đám ISP bởi vì họ đòi hỏi BW rất lớn và họ cần những exclusive deal để có lợi về giá cả cũng như điều khoản.
Ở VN thì hầu như Carrier + ISP bị nhập nhằng thành 1.
Với những máy chủ mình thuê cho HVA thì tụi data center hầu như là quản lý luôn cả hệ thống pipe và IP pool riêng luôn chớ không còn dính dáng hoặc lệ thuộc ở cấp ISP nào hết. |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
|
|
|
Users currently in here |
1 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|