PDA

View Full Version : [MU] Hỗ trợ Chống DDos



0974020729
01-06-12, 10:07 PM
Hi All,

DDOS là một vấn đề nan giải cho các webmaster hoặc admin. Sau đây Giang xin giới thiệu một vài thủ thuật để nhận biết DDOS và một số biện pháp đối phó khi server bị DDOS.

Khi server đột ngột chậm như rùa, mọi xử lý của server đều rất nặng nề, thì nhiều khả năng do một trong hoặc những nguyên nhân sau:

1. Server bị DDOS
2. Server bị quá tải do thiếu RAM
3. Server bị quá tải do tốc độ xử lý của CPU không đảm bảo
4. Tốc độ truy xuất dữ liệu của HDD không đáp ứng nhu cầu read/write của data. (Thông thường xảy ra trên các ổ SATA 72krpm hoặc HDD sắp hỏng)

Trong bài viết này chúng ta đi vào vấn đề thứ 1: server bị DDOS, các vấn đề 2,3,4 có thể khắc phục dễ dàng bằng cách nâng cấp phần cứng.

Kiểm tra xem server có bị DDOS hay không:

Từ command line Linux gõ:
netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n


Câu lện trên sẽ trả về hàng loạt IP chiếm nhiều connection nhất trên server. Cần lưu ý rằng DDOS có thể xuất phát từ một lượng nhỏ connection. Do đó việc kết quả trả về connection thấp bạn vẫn có thể trong tình trạng under attack.

Một phương pháp khác:


netstat -n | grep :80 |wc -l

netstat -n | grep :80 | grep SYN |wc -l


Dòng lệnh thứ nhất trả về số lượng active connection (connection đang hoạt động). Rất nhiều kiểu tấn công DDOS bằng cách mở một kết nối connection lên server rồi không làm gì cả khiến cho server chờ đợi cho đến khi timeout. Nến nếu dòng lệnh thứ nhất trả về trên 500 thì server của bạn rất nhiều khả năng bị DDOS.

Dòng lệnh thứ 2 trả về kết quả trên 100 thì rất nhiều khả năng server bạn trong tình trang syn attack DDOS.

Lưu ý: cách tính trên chỉ là tương đối, một số website có lưu lượng truy cập lớn thì phương pháp detect này có thể không chính xác.

Một số phương pháp khắc phục:

Cách khắc phục nhanh nhất là block các IP chiếm nhiều connection nhất trong "giờ cao điểm":

Cách 1:


route add địa-chỉ-ip reject

vd: route add 192.168.0.168 reject


Kiểm tra bằng lệnh: route -n |grep địa-chỉ-ip

Cách 2: sử dụng iptables

iptables -A INPUT 1 -s địa-chỉ-ip -j DROP/REJECT service iptables restart

service iptables save


Sau đó xóa hết tất cả connection hiện hành và khơi động lại service <b><font color=red>[Chỉ có thành viên mới xem link được. <a href="register.php"> Nhấp đây để đăng ký thành viên......</a>]</font></b>

killall -KILL <b><font color=red>[Chỉ có thành viên mới xem link được. <a href="register.php"> Nhấp đây để đăng ký thành viên......</a>]</font></b>

service <b><font color=red>[Chỉ có thành viên mới xem link được. <a href="register.php"> Nhấp đây để đăng ký thành viên......</a>]</font></b> restart


Nếu như hoàn tất các bước nêu trên mà server vẫn chậm thì có nghĩa là vấn đề bạn gặp phải nằm vào trường hợp 2,3,4... chỉ việc nâng cấp server để đáp ứng nhu cầu truy cập của người sử dụng.


Cảm ơn bạn đã đọc bài viết,
Chúc thành công,

0974020729
01-06-12, 10:35 PM
Giờ ĐI ngủ . Sớm Mai sẽ viết bài tiếp vì mình còn 1 cách đơn giản mà lại hiệu quả để chống ddos nữa cơ:D:D:>

handoi8356
01-06-12, 10:53 PM
ddos vấn đề nan giải của mọi game online

minhtan123
01-06-12, 10:55 PM
lên google gõ, code chống ddos ra cả đống

Domino9990
01-06-12, 11:20 PM
chủ thớt ko muốn chia sẽ nhỉ?? mới lập toppic ai mà thấy mà vào thanks...

thienhoangyb
02-06-12, 03:41 AM
spam vãi lúa có giỏi đưa trang web đây cho anh em pằng chíu test thử xem
nguy hiểm quá

0974020729
02-06-12, 07:07 AM
lên google gõ, code chống ddos ra cả đống

^^! BạnThử xem mấy cái đó có hiệu quả k? nhé

Domino9990
02-06-12, 07:08 AM
^^! BạnThử xem mấy cái đó có hiệu quả k? nhé

có cách gì? chia sẽ cho anh em đi bác.........

0974020729
02-06-12, 07:12 AM
hyhy #:-s#:-s#:-s#:-s#:-s#:-s#:-s#:-s#:-s#:-s <b><font color=red>[Chỉ có thành viên mới xem link được. <a href="register.php"> Nhấp đây để đăng ký thành viên......</a>]</font></b>


Còn thiếu 1 chút a e tk thi post tiếp ngồi nghe tí nhạc đã vừa đưa n.y đi thi về ;))

Domino9990
02-06-12, 07:19 AM
hyhy #:-s#:-s#:-s#:-s#:-s#:-s#:-s#:-s#:-s#:-s <b><font color=red>[Chỉ có thành viên mới xem link được. <a href="register.php"> Nhấp đây để đăng ký thành viên......</a>]</font></b>


Còn thiếu 1 chút a e tk thi post tiếp ngồi nghe tí nhạc đã vừa đưa n.y đi thi về ;))

đọc hay wa nha ku.. thực hành ko pít sao đây :D. thanks ku nhé......

0974020729
02-06-12, 07:21 AM
đọc hay wa nha ku.. thực hành ko pít sao đây :D. thanks ku nhé......

hay thì nhớ tk cho e phát nhé! hyhy

Domino9990
02-06-12, 07:21 AM
gỏ lệnh kỉu gì nhỉ

Một phương pháp khác:


netstat -n | grep :80 |wc -l

netstat -n | grep :80 | grep SYN |wc -l

0974020729
02-06-12, 07:25 AM
vậy bác vào đây mà đk dùng thử phần mềm <b><font color=red>[Chỉ có thành viên mới xem link được. <a href="register.php"> Nhấp đây để đăng ký thành viên......</a>]</font></b>


hoặc khi bị ddos bác cài trên vps thi mở bức tường lửa lên nhé như vậy giúp được phần nào đó bác
OK đó e đi ra ngoài chút!

Domino9990
02-06-12, 07:30 AM
vậy bác vào đây mà đk dùng thử phần mềm <b><font color=red>[Chỉ có thành viên mới xem link được. <a href="register.php"> Nhấp đây để đăng ký thành viên......</a>]</font></b>


hoặc khi bị ddos bác cài trên vps thi mở bức tường lửa lên nhé như vậy giúp được phần nào đó bác
OK đó e đi ra ngoài chút!

sạc cái này nó co share free đâu phải mua bản quyền hĩ :d

Alexandria
02-06-12, 07:43 AM
thời buổi nó nhắm vô pỏt công 80 chỉ là những con gà mới tập ddos nếu có vps anh căm cho khỏi trỡ tay luôn :)), cách tốt nhất là ngồi canh phát hiện ddos rồi block ip ngay lập tức là xong , nếu botnet thỳ đi ngủ mai tính tiếp :))

0974020729
02-06-12, 07:56 AM
thời buổi nó nhắm vô pỏt công 80 chỉ là những con gà mới tập ddos nếu có vps anh căm cho khỏi trỡ tay luôn :)), cách tốt nhất là ngồi canh phát hiện ddos rồi block ip ngay lập tức là xong , nếu botnet thỳ đi ngủ mai tính tiếp :))

Nói hay lắm ý kiến số 1 đó! chuẩn

Domino9990
02-06-12, 08:25 AM
thời buổi nó nhắm vô pỏt công 80 chỉ là những con gà mới tập ddos nếu có vps anh căm cho khỏi trỡ tay luôn :)), cách tốt nhất là ngồi canh phát hiện ddos rồi block ip ngay lập tức là xong , nếu botnet thỳ đi ngủ mai tính tiếp :))

làm sao pít ip đó đang ddos mình nhỉ?? và cách block là gì?

hadimx1
02-06-12, 08:51 AM
thanks vì đã chia sẻ ;)) 30 charrrrrrrrrrrrrrr

Domino9990
02-06-12, 10:03 AM
làm sao pít ip đó đang ddos mình nhỉ?? và cách block là gì?

uppppppppppppppppppppppppppppppppppppp

Domino9990
02-06-12, 10:39 AM
Hi All,

DDOS là một vấn đề nan giải cho các webmaster hoặc admin. Sau đây Giang xin giới thiệu một vài thủ thuật để nhận biết DDOS và một số biện pháp đối phó khi server bị DDOS.

Khi server đột ngột chậm như rùa, mọi xử lý của server đều rất nặng nề, thì nhiều khả năng do một trong hoặc những nguyên nhân sau:

1. Server bị DDOS
2. Server bị quá tải do thiếu RAM
3. Server bị quá tải do tốc độ xử lý của CPU không đảm bảo
4. Tốc độ truy xuất dữ liệu của HDD không đáp ứng nhu cầu read/write của data. (Thông thường xảy ra trên các ổ SATA 72krpm hoặc HDD sắp hỏng)

Trong bài viết này chúng ta đi vào vấn đề thứ 1: server bị DDOS, các vấn đề 2,3,4 có thể khắc phục dễ dàng bằng cách nâng cấp phần cứng.

Kiểm tra xem server có bị DDOS hay không:

Từ command line Linux gõ:
netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n


Câu lện trên sẽ trả về hàng loạt IP chiếm nhiều connection nhất trên server. Cần lưu ý rằng DDOS có thể xuất phát từ một lượng nhỏ connection. Do đó việc kết quả trả về connection thấp bạn vẫn có thể trong tình trạng under attack.

Một phương pháp khác:


netstat -n | grep :80 |wc -l

netstat -n | grep :80 | grep SYN |wc -l


Dòng lệnh thứ nhất trả về số lượng active connection (connection đang hoạt động). Rất nhiều kiểu tấn công DDOS bằng cách mở một kết nối connection lên server rồi không làm gì cả khiến cho server chờ đợi cho đến khi timeout. Nến nếu dòng lệnh thứ nhất trả về trên 500 thì server của bạn rất nhiều khả năng bị DDOS.

Dòng lệnh thứ 2 trả về kết quả trên 100 thì rất nhiều khả năng server bạn trong tình trang syn attack DDOS.

Lưu ý: cách tính trên chỉ là tương đối, một số website có lưu lượng truy cập lớn thì phương pháp detect này có thể không chính xác.

Một số phương pháp khắc phục:

Cách khắc phục nhanh nhất là block các IP chiếm nhiều connection nhất trong "giờ cao điểm":

Cách 1:


route add địa-chỉ-ip reject

vd: route add 192.168.0.168 reject


Kiểm tra bằng lệnh: route -n |grep địa-chỉ-ip

Cách 2: sử dụng iptables

iptables -A INPUT 1 -s địa-chỉ-ip -j DROP/REJECT service iptables restart

service iptables save


Sau đó xóa hết tất cả connection hiện hành và khơi động lại service <b><font color=red>[Chỉ có thành viên mới xem link được. <a href="register.php"> Nhấp đây để đăng ký thành viên......</a>]</font></b>

killall -KILL <b><font color=red>[Chỉ có thành viên mới xem link được. <a href="register.php"> Nhấp đây để đăng ký thành viên......</a>]</font></b>

service <b><font color=red>[Chỉ có thành viên mới xem link được. <a href="register.php"> Nhấp đây để đăng ký thành viên......</a>]</font></b> restart


Nếu như hoàn tất các bước nêu trên mà server vẫn chậm thì có nghĩa là vấn đề bạn gặp phải nằm vào trường hợp 2,3,4... chỉ việc nâng cấp server để đáp ứng nhu cầu truy cập của người sử dụng.


Cảm ơn bạn đã đọc bài viết,
Chúc thành công,

tưởng có gì hay thì ra anh bạn toàn coppy :D