<![CDATA[Latest posts for the topic "DDoS SYN Flood with Spoof IP (số lượng lớn)"]]> /hvaonline/posts/list/8.html JForum - http://www.jforum.net DDoS SYN Flood with Spoof IP (số lượng lớn) /hvaonline/posts/list/39543.html#243202 /hvaonline/posts/list/39543.html#243202 GMT DDoS SYN Flood with Spoof IP (số lượng lớn) /hvaonline/posts/list/39543.html#243209 /hvaonline/posts/list/39543.html#243209 GMT DDoS SYN Flood with Spoof IP (số lượng lớn)

S_ThuCoDon wrote:
Chào mọi người. Mình có tham khảo các topic về ddos nhưng hầu hết là các loại như X-Flash và HTTP DoS/DDoS. Mình đang gặp vấn đề với kiểu SYN FLOOD + Spoof IP (rất nhiều IP và có thể fake theo ý muốn). Đây là các thông tin mình lấy được khi bị tấn công. Mong mọi người giúp đỡ. tcpdump http://tinypaste.com/daf608 netstat http://tinypaste.com/01b22 netstat2 http://tinypaste.com/47c18d Cảm ơn mọi người rất nhiều! 
iptables -I INPUT -p tcp --sport 1000 --dport 80 -j DROP iptables -I INPUT -p tcp --syn --dport 80 -m limit --limit 5/s --limit-burst 3 -j DROP Điều chỉnh /etc/sysctl.conf và thêm mấy dòng: net.netfilter.nf_conntrack_tcp_timeout_syn_sent = 30 net.netfilter.nf_conntrack_tcp_timeout_syn_recv = 5 net.ipv4.tcp_syn_retries = 5 net.ipv4.tcp_synack_retries = 2 net.ipv4.tcp_fin_timeout = 10 save nó và chạy: sysctl -p (với chủ quyền root). ]]>
/hvaonline/posts/list/39543.html#243217 /hvaonline/posts/list/39543.html#243217 GMT
DDoS SYN Flood with Spoof IP (số lượng lớn) /hvaonline/posts/list/39543.html#243274 /hvaonline/posts/list/39543.html#243274 GMT DDoS SYN Flood with Spoof IP (số lượng lớn)

S_ThuCoDon wrote:
Chào anh, Theo như em biết thì đoạn iptables trên chặn các IP với port 1000. Em thắc mắc là giả sử port này random? Dường như đoạn ở trên chỉ mang tính chất tạm thời?  
Nếu source port random thì tìm những đặc điểm khác trong gói tin sniff được để hình thành luật khác. Trong trường hợp này, source port 1000 là đặc điểm nổi bật nhất. Không có firewall nào mà không có tính chất tạm thời hết (ngoại trừ một số rất ít những đặc điểm đã được nhận biết và đã quá thông dụng như SYN FLOOD, Half open FLOOD, ICMP FLOOD....). Không có firewall nào mà "set & forget" hết.

S_ThuCoDon wrote:
Ngoài ra, đoạn "iptables -I INPUT -p tcp --syn --dport 80 -m limit --limit 5/s --limit-burst 3 -j DROP" hình như sẽ làm chậm site thì phải? Cảm ơn anh. 
Cái này tuỳ thuộc vào nhiều yếu tố trên máy chủ và bồ nên đọc "Ký sự những vụ DDoS HVA" để hiểu sâu hơn.]]>
/hvaonline/posts/list/39543.html#243285 /hvaonline/posts/list/39543.html#243285 GMT
DDoS SYN Flood with Spoof IP (số lượng lớn)

conmale wrote:

S_ThuCoDon wrote:
Chào mọi người. Mình có tham khảo các topic về ddos nhưng hầu hết là các loại như X-Flash và HTTP DoS/DDoS. Mình đang gặp vấn đề với kiểu SYN FLOOD + Spoof IP (rất nhiều IP và có thể fake theo ý muốn). Đây là các thông tin mình lấy được khi bị tấn công. Mong mọi người giúp đỡ. tcpdump http://tinypaste.com/daf608 netstat http://tinypaste.com/01b22 netstat2 http://tinypaste.com/47c18d Cảm ơn mọi người rất nhiều! 
iptables -I INPUT -p tcp --sport 1000 --dport 80 -j DROP iptables -I INPUT -p tcp --syn --dport 80 -m limit --limit 5/s --limit-burst 3 -j DROP Điều chỉnh /etc/sysctl.conf và thêm mấy dòng: net.netfilter.nf_conntrack_tcp_timeout_syn_sent = 30 net.netfilter.nf_conntrack_tcp_timeout_syn_recv = 5 net.ipv4.tcp_syn_retries = 5 net.ipv4.tcp_synack_retries = 2 net.ipv4.tcp_fin_timeout = 10 save nó và chạy: sysctl -p (với chủ quyền root).  
Nếu share host mình có điều chỉnh được /ect/sysctl.conf ko bro?]]>
/hvaonline/posts/list/39543.html#257616 /hvaonline/posts/list/39543.html#257616 GMT
DDoS SYN Flood with Spoof IP (số lượng lớn)

leuxua wrote:

conmale wrote:

S_ThuCoDon wrote:
Chào mọi người. Mình có tham khảo các topic về ddos nhưng hầu hết là các loại như X-Flash và HTTP DoS/DDoS. Mình đang gặp vấn đề với kiểu SYN FLOOD + Spoof IP (rất nhiều IP và có thể fake theo ý muốn). Đây là các thông tin mình lấy được khi bị tấn công. Mong mọi người giúp đỡ. tcpdump http://tinypaste.com/daf608 netstat http://tinypaste.com/01b22 netstat2 http://tinypaste.com/47c18d Cảm ơn mọi người rất nhiều! 
iptables -I INPUT -p tcp --sport 1000 --dport 80 -j DROP iptables -I INPUT -p tcp --syn --dport 80 -m limit --limit 5/s --limit-burst 3 -j DROP Điều chỉnh /etc/sysctl.conf và thêm mấy dòng: net.netfilter.nf_conntrack_tcp_timeout_syn_sent = 30 net.netfilter.nf_conntrack_tcp_timeout_syn_recv = 5 net.ipv4.tcp_syn_retries = 5 net.ipv4.tcp_synack_retries = 2 net.ipv4.tcp_fin_timeout = 10 save nó và chạy: sysctl -p (với chủ quyền root).  
Nếu share host mình có điều chỉnh được /ect/sysctl.conf ko bro? 
Nếu "share host" và mình có quyền root thì có thể điều chỉnh được /etc/sysctl.conf.]]>
/hvaonline/posts/list/39543.html#257671 /hvaonline/posts/list/39543.html#257671 GMT
DDoS SYN Flood with Spoof IP (số lượng lớn)

conmale wrote:

S_ThuCoDon wrote:
Chào mọi người. Mình có tham khảo các topic về ddos nhưng hầu hết là các loại như X-Flash và HTTP DoS/DDoS. Mình đang gặp vấn đề với kiểu SYN FLOOD + Spoof IP (rất nhiều IP và có thể fake theo ý muốn). Đây là các thông tin mình lấy được khi bị tấn công. Mong mọi người giúp đỡ. tcpdump http://tinypaste.com/daf608 netstat http://tinypaste.com/01b22 netstat2 http://tinypaste.com/47c18d Cảm ơn mọi người rất nhiều! 
iptables -I INPUT -p tcp --sport 1000 --dport 80 -j DROP iptables -I INPUT -p tcp --syn --dport 80 -m limit --limit 5/s --limit-burst 3 -j DROP Điều chỉnh /etc/sysctl.conf và thêm mấy dòng: net.netfilter.nf_conntrack_tcp_timeout_syn_sent = 30 net.netfilter.nf_conntrack_tcp_timeout_syn_recv = 5 net.ipv4.tcp_syn_retries = 5 net.ipv4.tcp_synack_retries = 2 net.ipv4.tcp_fin_timeout = 10 save nó và chạy: sysctl -p (với chủ quyền root).  
Sao trong phần hardening trên em không thấy anh conmale đề cập đến 1 thông số phổ biến khi prevent SYN DoS là "SYN cookies" nhỉ ? Phải chăng là do nó đã được enable default nên anh không care nữa hay là nó không còn hiệu quả nữa ? -rickb]]>
/hvaonline/posts/list/39543.html#257675 /hvaonline/posts/list/39543.html#257675 GMT
DDoS SYN Flood with Spoof IP (số lượng lớn)

rickb wrote:

conmale wrote:

S_ThuCoDon wrote:
Chào mọi người. Mình có tham khảo các topic về ddos nhưng hầu hết là các loại như X-Flash và HTTP DoS/DDoS. Mình đang gặp vấn đề với kiểu SYN FLOOD + Spoof IP (rất nhiều IP và có thể fake theo ý muốn). Đây là các thông tin mình lấy được khi bị tấn công. Mong mọi người giúp đỡ. tcpdump http://tinypaste.com/daf608 netstat http://tinypaste.com/01b22 netstat2 http://tinypaste.com/47c18d Cảm ơn mọi người rất nhiều! 
iptables -I INPUT -p tcp --sport 1000 --dport 80 -j DROP iptables -I INPUT -p tcp --syn --dport 80 -m limit --limit 5/s --limit-burst 3 -j DROP Điều chỉnh /etc/sysctl.conf và thêm mấy dòng: net.netfilter.nf_conntrack_tcp_timeout_syn_sent = 30 net.netfilter.nf_conntrack_tcp_timeout_syn_recv = 5 net.ipv4.tcp_syn_retries = 5 net.ipv4.tcp_synack_retries = 2 net.ipv4.tcp_fin_timeout = 10 save nó và chạy: sysctl -p (với chủ quyền root).  
Sao trong phần hardening trên em không thấy anh conmale đề cập đến 1 thông số phổ biến khi prevent SYN DoS là "SYN cookies" nhỉ ? Phải chăng là do nó đã được enable default nên anh không care nữa hay là nó không còn hiệu quả nữa ? -rickb 
SynCookie chỉ có tác dụng khi DDoS chủ yếu ở dạng SynFlood nhưng ở cấp độ nhẹ mà thôi. Khi bị tấn công cỡ vài ngàn requests / giây thì SynCookie đôi khi còn làm cho kernel trì trệ hơn nữa.]]>
/hvaonline/posts/list/39543.html#257706 /hvaonline/posts/list/39543.html#257706 GMT