<![CDATA[Latest posts for the topic "Chống UDP Flood Attack"]]> /hvaonline/posts/list/8.html JForum - http://www.jforum.net Chống UDP Flood Attack
]]>
/hvaonline/posts/list/44792.html#276120 /hvaonline/posts/list/44792.html#276120 GMT
Chống UDP Flood Attack /hvaonline/posts/list/44792.html#276161 /hvaonline/posts/list/44792.html#276161 GMT Chống UDP Flood Attack

1412luv wrote:
Không ai giúp được sao??? E đã chặn any port cho IP này mà vẫn dính flood :( Chắc phải đổi IP và die website vĩnh viễn quá :(  
Firewall của windows không phải thiết kế để làm các việc này! Giải pháp duy nhất là bạn nên dụng một firewall Linux phía trước để bảo vệ Server của bạn. ]]>
/hvaonline/posts/list/44792.html#276167 /hvaonline/posts/list/44792.html#276167 GMT
Chống UDP Flood Attack /hvaonline/posts/list/44792.html#276172 /hvaonline/posts/list/44792.html#276172 GMT Chống UDP Flood Attack /hvaonline/posts/list/44792.html#276517 /hvaonline/posts/list/44792.html#276517 GMT Chống UDP Flood Attack 1412luv cài Windows Server 2008 RC2 (64 bits )- (chắc là 64 bits?) cơ mà. Đưa Linux application vào đây không được hay sẽ rất rắc rối! Hì hì. Trong trường hợp này để ngăn chặn các kết nối- tấn công sử dung các gói tin UDP thông qua giao thức HTTP thì chỉ cân cài một firewall (chạy trên nền Windows) rồi config. cho đúng là xong. Firewall nào có thể dùng trong trường hợp này? 1- Tiny Firewall Pro 6.5.126 for server Firewall này chạy rất tốt trên nền Windows server Enterprise 2003 và chạy tạm được trên Win server 2008. 2- CA Firewall (CA mua lại công ty Tiny, một công rất nổi tiếng về Firewall trước đây) 3- CA Internet security set (trong đó tích hợp 1 Firewall). Config. Firewall thế nào? Với các firewall trên, config. lại HTTP protocol (cổng 80): chỉ cho các gói tin TCP đi qua, không cho các gói tin UDP đi qua, là xong. ]]> /hvaonline/posts/list/44792.html#276766 /hvaonline/posts/list/44792.html#276766 GMT Chống UDP Flood Attack

PXMMRF wrote:
Trong trường hợp này để ngăn chặn các kết nối- tấn công sử dung các gói tin UDP thông qua giao thức HTTP thì chỉ cân cài một firewall (chạy trên nền Windows) rồi config. cho đúng là xong.  
Hình như theo trường hợp bạn này mô tả thì đây không phải là tấn công UDP thông qua giao thức HTTP anh. To : 1412luv, những thông tin bạn đưa ra quá sơ sài, không thể khẳng định là tấn công kiểu gì và vào đâu được.]]>
/hvaonline/posts/list/44792.html#276800 /hvaonline/posts/list/44792.html#276800 GMT
Chống UDP Flood Attack

mylove14129 wrote:

PXMMRF wrote:
Trong trường hợp này để ngăn chặn các kết nối- tấn công sử dung các gói tin UDP thông qua giao thức HTTP thì chỉ cân cài một firewall (chạy trên nền Windows) rồi config. cho đúng là xong.  
Hình như theo trường hợp bạn này mô tả thì đây không phải là tấn công UDP thông qua giao thức HTTP anh. To : 1412luv, những thông tin bạn đưa ra quá sơ sài, không thể khẳng định là tấn công kiểu gì và vào đâu được. 
Ừ, có thể đúng như mylove14129 đã nói, mặc dù bạn 1412luv mô tả hiện tượng không rõ và không có chi tiết cụ thể. Tuy nhiên nếu căn cứ vào dòng cuối trên WireShark cache mà 1412luv đã post lên:
"User Datagram Protocol, Src Port: blackjack (1025), Dst Port: ms-wxx-server (3389)" 
thì thấy là máy tính có host name là "blackjack" có IP là 168.63.237.176 từ cổng 1025 đã tấn công (gửi các gói tin UDP) vào cổng 3389 UDP của server của bạn 1412luv, chứ không phải cổng 80 UDP. Hacker có thể đã sử dụng một tool UDP DoS nào đó. Có vấn đề gì ở đây? Vấn đề là webserver của bạn 1412luv không hiểu vì sao đang mở một số cổng UDP, trong khi có thể không cần thiết như vậy. Bạn 1412luv phải kiềm tra và đóng hết các cổng UDP (kể cả TCP) không cần thiết. Tốt nhất là từ bên ngoài truy cập đến webserver của mình để kiểm tra thưc tế. Ngoài ra bạn 1412luv đã xoá IP tĩnh mà webserver của mình đang dùng trên WireShark cache, mà lại quên xoá hostname (hay computer name): ms-wxx-server. Hì hì. ]]>
/hvaonline/posts/list/44792.html#276840 /hvaonline/posts/list/44792.html#276840 GMT
Chống UDP Flood Attack

PXMMRF wrote:
Ngoài ra bạn 1412luv đã xoá IP tĩnh mà webserver của mình đang dùng trên WireShark cache, mà lại quên xoá hostname (hay computer name): ms-wxx-server. Hì hì.  
Cái ms-wxx-server đấy là dst port đấy chứ, IP dst thì bạn ấy đã xoá hết rồi Với kiểu tấn công này thì attacker làm flush network lên 100% nên nếu chặn ở server mình cũng không có nhiều tác dụng. Các router trung gian vẫn cho gói tin UDP đi qua và làm ngập đường truyền. Giải pháp tốt nhất và có lẽ duy nhất là liên hệ với data center, đề nghị họ chặn toàn bộ gói tin UDP gửi đến địa chỉ server của bạn ấy, ngay tại router biên của data center]]>
/hvaonline/posts/list/44792.html#276951 /hvaonline/posts/list/44792.html#276951 GMT
Chống UDP Flood Attack

nhuhoang wrote:
Giải pháp tốt nhất và có lẽ duy nhất là liên hệ với data center, đề nghị họ chặn toàn bộ gói tin UDP gửi đến địa chỉ server của bạn ấy, ngay tại router biên của data  
Giải pháp này khó mà thực hiện được, do trên sv của bạn 1412luv còn chạy một vài dịch vụ khác cần UDP( ex: game sv). Giải pháp của mình: 1. Không dùng remote desktop( cách này tốt nhất vì port 3389 thường xuyên bị tấn công, cả bruteforce) 2. Nếu vẫn dùng remote desktop. Mở cửa sổ cmd dưới quyền administrator gõ thêm command sau( Win server 2008): Code:
netsh advfirewall firewall add rule name="block_udp_3389" protocol=UDP localport = 3389 action=block dir=in
]]>
/hvaonline/posts/list/44792.html#276952 /hvaonline/posts/list/44792.html#276952 GMT
Chống UDP Flood Attack

mylove14129 wrote:
Theo nhận định của mình thì có thể sv của bạn bị UDP flood vào port 3389( do bạn mở remote desktop)

nhuhoang wrote:
Giải pháp tốt nhất và có lẽ duy nhất là liên hệ với data center, đề nghị họ chặn toàn bộ gói tin UDP gửi đến địa chỉ server của bạn ấy, ngay tại router biên của data  
Giải pháp này khó mà thực hiện được, do trên sv của bạn 1412luv còn chạy một vài dịch vụ khác cần UDP( ex: game sv). Giải pháp của mình: 1. Không dùng remote desktop( cách này tốt nhất vì port 3389 thường xuyên bị tấn công, cả bruteforce) 2. Nếu vẫn dùng remote desktop. Mở cửa sổ cmd dưới quyền administrator gõ thêm command sau( Win server 2008): Code:
netsh advfirewall firewall add rule name="block_udp_3389" protocol=UDP localport = 3389 action=block dir=in
 
1. RDP cho win2k8 chỉ dùng TCP3389 chứ không dùng UDP3389 2. add thêm firewall rule vào windows trong trường hợp này cũng không có tác dụng gì bởi vì gói tin UDP đi đến server mới bị drop, trong lúc đấy thì network bandwidth đã full 100% rồi thì người dùng bt cũng không thể vào được. Đây là đòn hy sinh khi attacker có bandwidth bằng hoặc lớn hơn của victim Theo như mình quan sát trên hình thì server có IP 168.63.237.176 chính là nguồn gốc của cuộc tấn công, có location tại singapore, vậy thì mình đoán máy chủ của bạn 1412luv cũng không phải ở VN thì mới bị flush như vậy. Kiểu tấn công này nếu được thực hiện từ 1 số IP nhất định thì bạn chỉ cần thu thập các evidence rồi gửi cho DC bảo họ block đi là xong ]]>
/hvaonline/posts/list/44792.html#276967 /hvaonline/posts/list/44792.html#276967 GMT