<![CDATA[Latest posts for the topic "Hỏi về vụ tấn công mạng vừa rồi của HVA ?"]]> /hvaonline/posts/list/8.html JForum - http://www.jforum.net Hỏi về vụ tấn công mạng vừa rồi của HVA ? /hvaonline/posts/list/42677.html#265289 /hvaonline/posts/list/42677.html#265289 GMT Hỏi về vụ tấn công mạng vừa rồi của HVA ?

cutiblung wrote:
:^) Kính đề nghị BQT pub thông tin về cuộc tấn công vừa rồi và giải pháp của diễn dàn sau vụ tấn công đó để mọi người học hỏi thêm về phòng chống tấn công từ chối dịch vụ.Thanks 
Cho đến bây giờ vẫn chưa thu thập được những thông tin cốt yếu để xác định HVA vừa bị tấn công cụ thể như thế nào bởi vì ngay khi luồng DDoS ập vào thì nhà cung cấp dịch vụ đã "null-route" trọn bộ traffic đến IP của HVA. Bởi thế, từ bên trong máy chủ, mình không có cách nào capture được thông tin cụ thể. Xét trên biểu hiện tổng quát thì dường như đây là một dạng spoof IP để DDoS bởi vì trên logs của máy chủ có một số thông tin về cảnh báo spoof IP ngay trước lúc nhà cung cấp dịch vụ tiến hành "null-routing". Đây chỉ là phỏng đoán và không chắc là đúng vì không có bằng chứng cụ thể ở cấp độ "packet". Giải pháp hiện thời là tạo ra một loạt (càng nhiều càng tốt) các reverse proxies đứng trước HVA để chẻ traffic ra thành nhiều phần nhỏ nhằm tránh tính trạng 1 máy chủ bị "null-route".]]>
/hvaonline/posts/list/42677.html#265291 /hvaonline/posts/list/42677.html#265291 GMT
Hỏi về vụ tấn công mạng vừa rồi của HVA ? /hvaonline/posts/list/42677.html#265292 /hvaonline/posts/list/42677.html#265292 GMT Hỏi về vụ tấn công mạng vừa rồi của HVA ?

cutiblung wrote:
spoof IP ở đây có phải DRDOS không anh Conmale? :-S chả lẽ còn một số route cho phép thực thi dạng tấn công này. Theo BQT đứng sau vụ tấn công này là STL hay là nhóm đánh thuê "Nga Ngố". 
Chưa thể xác định được tính chất vụ ddos vừa rồi có giống như DrDDoS hay không vì không capture được packets nào hết. Nếu kẻ ấy tiếp tục tấn công thì có thể lần này có cơ hội vì hiện thời HVA có 4 nodes chia sẻ load. Bởi không có đủ thông tin kỹ thuật cho nên không thể xác định ai có thể là thủ phạm.]]>
/hvaonline/posts/list/42677.html#265296 /hvaonline/posts/list/42677.html#265296 GMT
Hỏi về vụ tấn công mạng vừa rồi của HVA ? /hvaonline/posts/list/42677.html#265298 /hvaonline/posts/list/42677.html#265298 GMT Hỏi về vụ tấn công mạng vừa rồi của HVA ? /hvaonline/posts/list/42677.html#265299 /hvaonline/posts/list/42677.html#265299 GMT Hỏi về vụ tấn công mạng vừa rồi của HVA ? /hvaonline/posts/list/42677.html#265301 /hvaonline/posts/list/42677.html#265301 GMT Hỏi về vụ tấn công mạng vừa rồi của HVA ? /hvaonline/posts/list/42677.html#265323 /hvaonline/posts/list/42677.html#265323 GMT Hỏi về vụ tấn công mạng vừa rồi của HVA ? /hvaonline/posts/list/42677.html#265359 /hvaonline/posts/list/42677.html#265359 GMT Hỏi về vụ tấn công mạng vừa rồi của HVA ?

conmale wrote:
Rồi đó. HVA hiện có 4 nodes với tổng cộng chừng 4Gigabits. Để coi mất bao lâu thì (hắn) saturate 4Gigabits hén ;). PS: cám ơn Thần Bài (Minh) đã "cúng" cho 1Gigabit ;). 
Anh conmale làm cái poll dự đoán phương thức mà kẻ tấn công đã thực hiện trong thời gian qua đi, biết đâu hung thủ quay trở lại hiện trường tham gia poll thì sao ;).]]>
/hvaonline/posts/list/42677.html#265370 /hvaonline/posts/list/42677.html#265370 GMT
Hỏi về vụ tấn công mạng vừa rồi của HVA ?

chiro8x wrote:

conmale wrote:
Rồi đó. HVA hiện có 4 nodes với tổng cộng chừng 4Gigabits. Để coi mất bao lâu thì (hắn) saturate 4Gigabits hén ;). PS: cám ơn Thần Bài (Minh) đã "cúng" cho 1Gigabit ;). 
Anh conmale làm cái poll dự đoán phương thức mà kẻ tấn công đã thực hiện trong thời gian qua đi, biết đâu hung thủ quay trở lại hiện trường tham gia poll thì sao ;). 
Anh đang đợi "hắn" đốt lại để tóm 1 mới packets để phân tích đây. Chưa thấy động tĩnh gì hết.]]>
/hvaonline/posts/list/42677.html#265371 /hvaonline/posts/list/42677.html#265371 GMT
Hỏi về vụ tấn công mạng vừa rồi của HVA ? /hvaonline/posts/list/42677.html#265381 /hvaonline/posts/list/42677.html#265381 GMT Hỏi về vụ tấn công mạng vừa rồi của HVA ? /hvaonline/posts/list/42677.html#265383 /hvaonline/posts/list/42677.html#265383 GMT Hỏi về vụ tấn công mạng vừa rồi của HVA ?

WANWULIN wrote:
Theo em thì bọn này dc đào tạo bài bản nên ta nên nhờ giúp đỡ về pháp lý của bên công an. 
Căn cứ vào đâu bạn nói ràng bọn này được đào tạo bài bản? Đợt Vietnamnet bị tấn công liên tục có thấy sự trợ giúp của công an đâu? HVA là gì mà họ trợ giúp?

Xr0.9999 wrote:
theo em nghĩ, có thể thủ phạm tấn công HVA là nhóm tấn công Vn-zoom và 1 số site khác cách đây vài hôm. 
Hiện tại anh conmale cũng chưa có bằng chứng cụ thể (gói tin capture lúc bị DDOS) và VN-Zoom hay mấy "site kia" cũng không public mớ gói tin khi bị DDOS. Căn cứ vào đâu mà bạn đưa ra nhận định trên? Thông báo! Các bạn nào vào đây phán đoán dựa theo cảm tính mà không có căn cứ cụ thể nào sẽ khị cảnh cáo nếu tái phạm sẽ bị khóa nick. Anh Conmale sẽ công bố cụ thể khi có các bằng chứng xác thực! - Ky0 -]]>
/hvaonline/posts/list/42677.html#265385 /hvaonline/posts/list/42677.html#265385 GMT
Hỏi về vụ tấn công mạng vừa rồi của HVA ? /hvaonline/posts/list/42677.html#266466 /hvaonline/posts/list/42677.html#266466 GMT Hỏi về vụ tấn công mạng vừa rồi của HVA ?

conmale wrote:
Cho đến bây giờ vẫn chưa thu thập được những thông tin cốt yếu để xác định HVA vừa bị tấn công cụ thể như thế nào bởi vì ngay khi luồng DDoS ập vào thì nhà cung cấp dịch vụ đã "null-route" trọn bộ traffic đến IP của HVA. Bởi thế, từ bên trong máy chủ, mình không có cách nào capture được thông tin cụ thể. Xét trên biểu hiện tổng quát thì dường như đây là một dạng spoof IP để DDoS bởi vì trên logs của máy chủ có một số thông tin về cảnh báo spoof IP ngay trước lúc nhà cung cấp dịch vụ tiến hành "null-routing". Đây chỉ là phỏng đoán và không chắc là đúng vì không có bằng chứng cụ thể ở cấp độ "packet". Giải pháp hiện thời là tạo ra một loạt (càng nhiều càng tốt) các reverse proxies đứng trước HVA để chẻ traffic ra thành nhiều phần nhỏ nhằm tránh tính trạng 1 máy chủ bị "null-route". 
Anh conmale cho em hỏi là ISP tiến hành "null-routing" là do họ tự nguyện hay là do anh thuê cái dịch vụ "null-routing" này của họ? Nếu họ tự nguyện thì anh có biết lí do tại sao họ lại bỏ công sức ra làm vậy hay không? Cám ơn anh.]]>
/hvaonline/posts/list/42677.html#266472 /hvaonline/posts/list/42677.html#266472 GMT
Hỏi về vụ tấn công mạng vừa rồi của HVA ?

StarGhost wrote:

conmale wrote:
Cho đến bây giờ vẫn chưa thu thập được những thông tin cốt yếu để xác định HVA vừa bị tấn công cụ thể như thế nào bởi vì ngay khi luồng DDoS ập vào thì nhà cung cấp dịch vụ đã "null-route" trọn bộ traffic đến IP của HVA. Bởi thế, từ bên trong máy chủ, mình không có cách nào capture được thông tin cụ thể. Xét trên biểu hiện tổng quát thì dường như đây là một dạng spoof IP để DDoS bởi vì trên logs của máy chủ có một số thông tin về cảnh báo spoof IP ngay trước lúc nhà cung cấp dịch vụ tiến hành "null-routing". Đây chỉ là phỏng đoán và không chắc là đúng vì không có bằng chứng cụ thể ở cấp độ "packet". Giải pháp hiện thời là tạo ra một loạt (càng nhiều càng tốt) các reverse proxies đứng trước HVA để chẻ traffic ra thành nhiều phần nhỏ nhằm tránh tính trạng 1 máy chủ bị "null-route". 
Anh conmale cho em hỏi là ISP tiến hành "null-routing" là do họ tự nguyện hay là do anh thuê cái dịch vụ "null-routing" này của họ? Nếu họ tự nguyện thì anh có biết lí do tại sao họ lại bỏ công sức ra làm vậy hay không? Cám ơn anh. 
Anh không gọi nhà cung cấp dịch vụ hosting mình đang dùng là ISP (Internet Service Provider) mà họ là Data Center thì đúng hơn. ISP chỉ đúng cho người bình thường cần truy cập Internet. Về việc null-routing mà Data Center ở đây cung cấp, anh nghĩ một phần là do mình trả phí thuê máy chủ khá đậm (vì có cấu hình khá và băng thông rộng) và một phần là do họ cần làm như vậy để bảo đảm chất lượng dịch vụ.]]>
/hvaonline/posts/list/42677.html#266491 /hvaonline/posts/list/42677.html#266491 GMT
Hỏi về vụ tấn công mạng vừa rồi của HVA ? /hvaonline/posts/list/42677.html#266521 /hvaonline/posts/list/42677.html#266521 GMT Hỏi về vụ tấn công mạng vừa rồi của HVA ? Code:
222.255.1.149 - - [10/Jul/2012:14:40:22 +0700] "GET / HTTP/1.1" 502 - "/tof/" "Mozilla/5.0 (Windows; U; Windows NT 6.0; nl; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6"
222.255.1.149 - - [10/Jul/2012:14:40:27 +0700] "GET / HTTP/1.1" 502 - "/tof/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.2.8) Gecko/20100722 Firefox/3.6.8"
(Windows NT 6.1; WOW64) AppleWebKit/536.11 (KHTML, like Gecko) Chrome/20.0.1132.47 Safari/536.11"
222.255.1.149 - - [10/Jul/2012:14:40:32 +0700] "GET / HTTP/1.1" 403 2108 "/tof/" "Opera/9.80 (Windows NT 5.1; U; MRA 5.5 (build 02842); ru) Presto/2.7.62 Version/11.00"
222.255.1.149 - - [10/Jul/2012:14:40:32 +0700] "GET / HTTP/1.1" 403 2108 "/tof/" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.9.2.7) Gecko/20100726 CentOS/3.6-3.el5.centos Firefox/3.6.7"
222.255.1.149 - - [10/Jul/2012:14:40:32 +0700] "GET / HTTP/1.1" 403 2108 "/tof/" "Opera/9.80 (Windows NT 5.1; U; MRA 5.5 (build 02842); ru) Presto/2.7.62 Version/11.00"
222.255.1.149 - - [10/Jul/2012:14:40:32 +0700] "GET / HTTP/1.1" 200 6380 "/tof/" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_5_8; en-US) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.224 Safari/534.10"
222.255.1.149 - - [10/Jul/2012:14:40:33 +0700] "GET / HTTP/1.1" 403 2108 "/tof/" "Opera/9.80 (Windows NT 5.1; U; MRA 5.5 (build 02842); ru) Presto/2.7.62 Version/11.00"
222.255.1.149 - - [10/Jul/2012:14:40:33 +0700] "GET / HTTP/1.1" 403 2108 "/tof/" "Opera/9.80 (Windows NT 5.1; U; MRA 5.5 (build 02842); ru) Presto/2.7.62 Version/11.00"
Không hiểu các "bạn quen" đang làm cái trò khỉ gì cho mục đích gì nữa. ]]>
/hvaonline/posts/list/42677.html#266525 /hvaonline/posts/list/42677.html#266525 GMT
Hỏi về vụ tấn công mạng vừa rồi của HVA ?

conmale wrote:
Anh không gọi nhà cung cấp dịch vụ hosting mình đang dùng là ISP (Internet Service Provider) mà họ là Data Center thì đúng hơn. ISP chỉ đúng cho người bình thường cần truy cập Internet. Về việc null-routing mà Data Center ở đây cung cấp, anh nghĩ một phần là do mình trả phí thuê máy chủ khá đậm (vì có cấu hình khá và băng thông rộng) và một phần là do họ cần làm như vậy để bảo đảm chất lượng dịch vụ. 
ISP có trách nhiệm cao hơn phía Data Center bởi vì 1 Data Center thông thường phải mướn, phải thuê 1 đường truyền từ ISP sang với tốc độ băng thông phía DataCenter yêu cầu. Ở VN theo em thấy dường như khái niệm null-routing em chưa thấy ở các nhà cung cấp dịch vụ !!! Đọc bài viết này của anh, tra cứu thêm mới tận tường thêm nhiều điểm mình chưa biết. ]]>
/hvaonline/posts/list/42677.html#266540 /hvaonline/posts/list/42677.html#266540 GMT
Hỏi về vụ tấn công mạng vừa rồi của HVA ?

Khóc Vô Lệ wrote:
Chả phải đào tạo bài bản ! đơn giản là sử dụng code tụi tây rồi attack ko có gì lạ :| Full code đã đc share tại đây ! http://sinhvienit.net/@forum/threads/206535-code-botnetvietnam-dang-trem-gio/ Info của nó thì em có nắm 1 số thứ :| đang đi làm ! sdt hình như còn log chat :| và 1 điều là máy nó có dính em bé của em -:|- share pub info cho anh em chiến trong t.gian sớm nhất Chúc các bác ở HVA 1 ngày vui vẻ ! xin hết 
đây không phải code botnet của mình bạn trẻ ah .nik3 ]]>
/hvaonline/posts/list/42677.html#266545 /hvaonline/posts/list/42677.html#266545 GMT
Hỏi về vụ tấn công mạng vừa rồi của HVA ?

tranhuuphuoc wrote:

conmale wrote:
Anh không gọi nhà cung cấp dịch vụ hosting mình đang dùng là ISP (Internet Service Provider) mà họ là Data Center thì đúng hơn. ISP chỉ đúng cho người bình thường cần truy cập Internet. Về việc null-routing mà Data Center ở đây cung cấp, anh nghĩ một phần là do mình trả phí thuê máy chủ khá đậm (vì có cấu hình khá và băng thông rộng) và một phần là do họ cần làm như vậy để bảo đảm chất lượng dịch vụ. 
ISP có trách nhiệm cao hơn phía Data Center bởi vì 1 Data Center thông thường phải mướn, phải thuê 1 đường truyền từ ISP sang với tốc độ băng thông phía DataCenter yêu cầu. Ở VN theo em thấy dường như khái niệm null-routing em chưa thấy ở các nhà cung cấp dịch vụ !!! Đọc bài viết này của anh, tra cứu thêm mới tận tường thêm nhiều điểm mình chưa biết.  
Ở những nước như Mỹ, Anh, Pháp, Đức, Úc, Nhật, Hàn...v..v... có 3 dạng: 1. Carrier: là đám quản lý / làm chủ hệ thống đường truyền. Đám này cho tụi ISP thuê lại hoặc chính đám này làm ISP để bán sỉ hoặc bán lẻ. Ví dụ, ở Úc có tụi Telstra, Optus, AAPT..... tụi này còn gọi là Tier1 carrier. 2. ISP: là đám thuê lại hệ thống đường truyền của đám carrier rồi mới cung cấp dịch vụ truy cập Internet cho người dùng bình thường. Đám này thì đông như quân Nguyên và hầu hết thuê lại đường truyền để bán lẻ. 3. Data center: đám này thường thuê hẳn đường truyền của đám carrier chớ không thuê của đám ISP bởi vì họ đòi hỏi BW rất lớn và họ cần những exclusive deal để có lợi về giá cả cũng như điều khoản. Ở VN thì hầu như Carrier + ISP bị nhập nhằng thành 1. Với những máy chủ mình thuê cho HVA thì tụi data center hầu như là quản lý luôn cả hệ thống pipe và IP pool riêng luôn chớ không còn dính dáng hoặc lệ thuộc ở cấp ISP nào hết.]]>
/hvaonline/posts/list/42677.html#266560 /hvaonline/posts/list/42677.html#266560 GMT