Nếu đang dùng Server Linux có sử dụng CPanel khi phát hiện ra có DDoS, nếu có thể root ngay lập tức các bác hãy Suppend Site đang bị tấn công và cài Password tạm thời lên sau khi thao tác xong phần cài password cho folder hoặc site bị tấn công thì có thể Unsuppend để tiếp tục theo dõi.


Nếu không phát hiện thì chắc tiêu tùng ah ? Mình nghĩ chúng ta nên phòng hơn tránh . Còn  lúc đang bị DoS  mình phát hiện và có mặt kịp thời thì tìm cách block hết các IP, trường hợp nguy kịch hoặc muốn giải quyết theo hướng cho trang web ngưng hoạt động tạm thời thì rút dây mạng ,rồi bật điều hoà giải nhiệt server chẳng hạn [lol]. Nhưng mục đích của DoS là làm server quá tải,người truy cập không vào được web nên nếu phải ngừng trang web tức là kẻ tấn công đã thực hiện được mục đích. Hơn nữa việc đặt passwd chỉ hạn chế người truy cập vào trang web chứ không hạn chế được packets gửi đến server , apache vẫn phải làm việc , server vẫn phải chịu tải và sẽ sớm bị hạ gục .      

Cách dùng mod_rewrite của apache để redirect qua lại giữa các trang thì liệu đã an toàn ?

Sau đó thì phải lên một cấu hình Firewall phù hợp cho site.

.htaccess
********************************************************
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?tenmienbitancong.com [NC]
RewriteRule \.(phphtmlasp)$ http://sitefirewall.com [NC,R,L]
********************************************************

Trước tiên đây không phải là cấu hình của Firewall mà là của web server.

Với cấu hình mạng trên thì ta sẽ cần đến 2 server ?? Mà theo mình thì chưa hiệu quả bởi vì : server chạy mod_rewrite ở đây là tenmienbitancong.com sẽ chịu tải nhiều khi phải forward packets đến sitefirewall.com và dĩ nhiên khi packets gửi đến sitefirewall.com nó cũng sẽ chịu tải . Nên nhớ nếu thành viên vào được trang web tức là ta cũng sẽ gửi được packet tới đó .Cứ việc DoS thẳng vào , một trong 2 em tiêu là xong chuyện . Mấu chốt ở đây là server vẫn tiếp nhận packets gửi đến , apache vẫn phải làm việc và tiêu tốn tài nguyên .

Trường hợp tenmienbitancong.com và sitefirewall.com  cùng một máy chủ thì khỏi cần bàn .

Tóm lại theo mình cách này không hiệu quả mấy, không thể nào ngăn chặn DoS đến 95% .

Các trang web sừng sỏ , nổi tiếng bảo mật cao mà vẫn còn bị hạ gục thì đủ hiểu DoS không đơn giản như vậy.

Cốt lõi  vấn đề là làm sao luôn luôn phân biệt và ngăn chặn được packets của kẻ tấn công , giữ cho server luôn đứng vững.Theo mình thì phải sử dụng firewall tốt , đường truyền nhanh, máy  móc xịn và hệ thống backup hòan chỉnh . Nếu có điều kiện thì chuẩn bị thêm 1 máy dự phòng trong trường hợp server chính bị hạ gục .

Và mình muốn trao đổi kinh nghiệm với anh em về:

1. Sử dụng Firewall (Packets filter) thế nào cho hiệu quả nhất ?

2. Ngòai ra sử dụng Firewall còn có biện pháp nào khác ?

----------------

Xin nói thêm một chút về .htaccess phần Basic authentication . Để  sử dụng được .htaccess thì cần có những thiết lập phù hợp phía admin và phía user
(Đối với web server apache)

1. Phía admin
Các thiết lập của Apache web server được đặt trong file httpd.conf . Muốn cho phép sử dụng .htaccess trong 1 thư mục nào đó ,thường ta sẽ thiếp lập như sau:


AllowOverride AuthConfig Limit FileInfo


Sau đó reload hoặc restart lại Apache là ok .

※Tên file .htaccess được quy định trong httpd.conf và có thể thay đổi . Thông thường người ta để tên mặc định .htaccess .htpasswd và các file này sẽ được ẩn đi .

2. Phía người dùng

Soạn 1 file .htaccess trong thư mục mình muốn đặt passwd , nội dung như sau:

a. Nếu chỉ cho phép 1 user truy cập

AuthType Basic
AuthName "Password Required"
AuthUserFile "đường dẫn đến .htpasswd"
Require user user_name


b. Nếu muốn cả 1 nhóm người có khả năng truy cập

AuthType Basic
AuthName "Password Required"
AuthUserFile "đường dẫn đến .htpasswd"
AuthGroupFile "đường dẫn đến .htgroup"
Require group group_name


※Chú ý:

+ user_name là tên user và group_name là tên group muốn cho phép truy cập .

+ đường dẫn đến file .htpasswd và .htgroup là đường dẫn tuyệt đối .

+ .htpasswd là file chứa thông tin về user và password . Tên file thì tùy bạn đặt .

+ Còn .htgroup thì mang format như sau:
group1: username1 username2 ...
group2: usernameA usernameB

Để tạo password cho .htaccess, có thể dùng 1 tiện ích sẵn có của apache là htpasswd . Nếu không có tiện ích này, bạn có thể tham khảo qua apache.org để biết thêm . Cách tạo:

Tạo mới:
$ htpasswd -c tên_file tên_user

Khi file passwd đã tồn tại, bạn bỏ option -c
$ htpasswd tên_file tên_user

Thanks anh Chung nhìu nhìu.Em cũng không rành về mấy khoản này lắm.[tongue]

ái chà mấy bữa này trang này nóng quá nhỉ. Mình cũng tham gia mot chút. Về file .htaccess có thể hiểu đơn giản như sau:

Hãy hình dung một trang web lớn với hằng trăm người sử dụng, tuy nhiên đương nhiên rằng người quản lý chỉ là một số nhỏ thôi. Tất cả những thiết định của web server muốn đổi thì phải nhờ vào những người này. Tuy nhiên làm như vậy thì quá phiền phức, ở tại một folder bất kỳ chỉ cần gắn .htaccess thì có thể custom lại thiết định của web server theo ý muốn của người sử dụng. Tóm lại cái file này thực hiện 2 điều sau:
1. Cho phép người sử dụng có thể custom thiết định mà không cần quyền admin web server.
2. Đảm bảo được policy chung của trang web đó, người quản lý sẽ thiết định theo đúng policy đã định, chỉ có cho nào muốn thay đổi chút thì custom bằng .htacces.

Nguyên tắc nó là như vậy, trước đến nay thường thì .htaccess được sử dụng nhiều nhất trong những trường hợp sau:
1. Basic authentication
Cai này đúng theo phần đầu của bài bodoicuho viết. Cái auth này cực kỳ đơn giản nhưng rất hiệu quả. Để vào được một folder nào đấy thì bạn phải có nick và password mới được. Sau khi vào được rồi thì tài khoảng đấy sẽ được lưu lại tại session hiên tại của browser, chỉ đến khi nào tắt cái browser đó di thôi còn lại thì ra vào folder đó thõa mái.
(Bản thân anh thì thường dùng cái này để chống bọn robot như của google, không đề phòng những thông tin kín bị bọn robot này search ra hết:))
2. Cho quyen chạy cgi.
Bây giờ thời đại hơi thay đổi rồi chứ trước đây khi cgi còn thịnh, thì hay có câu: "Đã setting .htaccess chưa" ảm chỉ có setting để permit thực hiện file *.cgi *.pl (Mà cái này cũng do cấu trúc của cgi không tốt nên mới phải vất vả vậy, sau này đến đời php về sau thì đã oke roi)
3. Thay đổi thiết định để thích ứng với một số web application.
Những web application hiện tại, đặc biệt là php thi` rất cần những thiết định này. ví dụ file_upload = On, session time v.v..

dongdu.org cũng đã có hằng loạt cố gắng để chống dos đấy. Nói chung môt khi trang web nào đó có tên tuổi khá lên một chút thì dos bao giờ cũng là vấn đề người quản lý đau đầu nhất. Anh em nào muốn biết cứ liên hệ Sở Lưu Anh nhé:D

Mấy cách mà NTC nêu cũng thấy hay lắm.Nhưng em vẫn chưa hiểu Tạo một file .htaccess Em chưa hiểu kiểu file này ,ai đó giải thích hộ em với.

[confused] lớp password của trang đầu tiên là để tránh mục đích truy cập website ko rõ ràng. Đại loại là đề phân biệt giữa người sử dụng với worm hay các gói thông tin của hacker.
Cách phòng chống DOS hoàn toàn thì em ko rõ. Nhưng có 1 cách ngăn chặn DoS đến 95% :
Nếu đang dùng Server Linux có sử dụng CPanel khi phát hiện ra có DDoS, nếu có thể root ngay lập tức các bác hãy Suppend Site đang bị tấn công và cài Password tạm thời lên sau khi thao tác xong phần cài password cho folder hoặc site bị tấn công thì có thể Unsuppend để tiếp tục theo dõi.

Tạo một file .htaccess đặt vào thư mục hoặc site đang bị Flood như sau:


.htaccess
****************************
AuthUserFile /forum/.htpasswd
AuthGroupFile /dev/null
AuthName "Password Protected Area"
AuthType Basic
****************************
và tạo một file .htpasswd
****************************
@domain::@dGdK8ZQg/FjU
****************************
user và pass ở trên là : @domain:

Đấy là 1 ví dụ hoặc có thể vào
http://google.com và Search với từ khóa .htaccess Generator để tự tạo password theo ý muốn.

Nên để password có ký tự @ phía trước và dấu : phía sau vì WinXP đã fix lổi cho nhập Password dạng URL http://user:pass@domain.com/, nếu có @ và : thì Attacker sẽ không thể vượt qua bằng cách nhập trực tiếp User và Pass bằng URL.

Sau đó thì phải lên một cấu hình Firewall phù hợp cho site.

.htaccess
********************************************************
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?tenmienbitancong.com [NC]
RewriteRule \.(phphtmlasp)$ http://sitefirewall.com [NC,R,L]
********************************************************

Đây là cách mà hacker DantruongX nêu ra để chống bị DDoS. Thực sự thế nào em cũng ko rõ lắm.
Giải thích : trên máy chủ chạy mã lập trình của PHP, ASP, HTML khi một Attacker tấn công vào site của bác cụ thể ví vụ như tấn công vào http://tenmienbitancong.com/ nó sẽ đọc file index.php lúc này Mod Rewrite sẽ hoạt động và Foward về http://sitefirewall.com sau đó từ http://sitefirewall.com bác đặt một đoạn mã như sau:
Vao Web Site
Nếu là khách truy cập thật thì họ sẽ Click vào "Vao Web SIte" để được truy cập vào site. còn nếu vào "hiden xFlash" và nó sẽ không vào được. Bác có thể nghiên cứu 1 số kiểu ModRewrite Kết hợp với mã nguốn trên site để config site chống xFlash tốt hơn.

(đại khái như thế)

Cách tránh thành 1 Client hidden cho DDoS của xFlash là nâng cấp bản http://macromedia.com/shockwave/download/download.cgi?P1_Prod_Version=ShockwaveFlash&promoid=BIOW

miễn phí....
(sưu tầm từ nhiều website)

Cách cho thêm 1 website vào trước khi vào Forum là 1 trong những cách phổ biến. Forum Rap Việt còn để cả 2 lớp mật khẩu trước khi cho xem nội dung trang chủ
Cách làm này đâu có ý nghĩa lắm nhỉ , vì mục đích của hacker là chỉ cần gửi được packets đến server mục tiêu , trang web dù có đặt pass hay không cũng vậy thôi. Và ngòai cổng 80(http) thì còn có thể DoS vào các cổng đang chạy các dịch vụ khác trên server.
Anh em nào biết phương thức chống Dos hay có thể chia sẻ ở đây được không . DoS là nan giải nhưng cũng không hẳn là  không có cách phòng ngừa, hạn chế.

[confused] bên HVA còn lần ra là server đã bị DOS bởi 1 hacker tại Nhật( ko biết có bác nào nhà mình chót nghịch dại ko??? ) DOS để lại thiệt hại khá lớn nên hầu hết các website đang tìm mọi cách để giảm nguy cơ bị DOS. Cách cho thêm 1 website vào trước khi vào Forum là 1 trong những cách phổ biến. Forum Rap Việt còn để cả 2 lớp mật khẩu trước khi cho xem nội dung trang chủ. Hix dạo hacker càng ngày càng nguy hiểm.
Vừa rồi KDDI của Nhật có server mạnh và bảo mật rất tốt nhưng cũng bị mất thông tin bảo mật của khách hàng.
1 dạng khác của cách tấn công bằng cách gửi 1 lượng lớn dữ liệu là đánh sập 1 quán Net dịch vụ. Hầu hết thủ phạm chính là mấy bác Hacker VN, phần thì vì tiền( được chủ quán Net khác nhờ) phần thì vì oai... cũng may dạo này ít dần đi rồi [confused] vì các hacker giỏi đã chuyển sang làm bảo mật.
Hack là tội phạm hay thiên tài nhỉ ????[smile]

Không ngờ lại Post lặp bài lại mất.[tongue]
Ý anh nói là cái này phải không?

Hiện nay trong giới hacker có một kiểu chơi biến thái của drdos là thay vì kích hoạt các server khác ,anh ta sẽ tạo ra một image được thiết kế bằng flash chứa đoạn code dos.
Hình như dùng đoạn code geturl gì đó phải không anh? Nếu như thế có thể làm như sau đuợc không?
Ví vụ như khi vào http://tensite.com/ nó sẽ đọc file index.php.File index.php này đặt ở 1 nơi khác.
Lúc này ta đặt một đoạn mã như sau vào index.php:

Enter site
Và thiết định timeout.
Nếu khách truy cập thật thì họ sẽ Click vào "Enter site" để được truy cập vào site, còn nếu vào "hiden xFlash" và nó sẽ không vào được và timeout,server ngắt kết nối.

Như vậy thì có chống đuợc X-flash hay không?Và cách chống như thế nào vậy hả anh?

Trong vụ Dos HVA có nghe nói sử dụnh chiêu X-flash nhưng mình không hiểu rõ lắm,Anh em nào giải thích hộ với!

Chắc liên quan đến cái này.
http://www.dongdu.info/cgi-bin/index.cgi?action=forum&board=cn_cntt&op=display&num=1532&start=0#14

Vụ Vietco.com:
Tư liệu từ BKIS

Cách thức chiếm quyền để tạo BOTNET và tấn công DDos

    1. Trước tiên chúng dụ người sử dụng vào trang web sex www.giacm....com, khi vào trang web này máy tính sẽ bị cài đặt một Trojan (con ngựa thành tơ roa - một dạng chương trình máy tính “nằm vùng” trên máy để chờ thời cơ sẽ thực hiện công việc phá hoại). Chúng tôi tạm đặt tên cho Trojan này là Netinfo. Như vậy máy tính này đã bị hacker kiểm soát mà chủ nhân không hề hay biết, trở thành 1 công cụ giúp chúng đi tấn công các website. Có rất nhiều máy tính đã bị chiếm quyền điều khiển như vậy ở Việt Nam, tạo thành mạng BOTNET.

    2. Mỗi khi máy tính nhiễm Netinfo nối mạng Internet, Trojan này sẽ kết nối tới một địa chỉ định trước trên Internet là www.geocities.jp/blsbhost để lấy về các lệnh tấn công trong một file văn bản có tên là blvb.txt.

    3. Nội dung File blvb.txt nói trên như sau:




File này quy định các thông tin: Cần tấn công website nào? tấn công với tần xuất như thế nào… Như vậy khi cần tấn công website nào thì Hacker chỉ việc sửa đổi nội dung file blvb.txt là lập tức tất cả các máy tính bị chiếm điều khiển sẽ đồng loạt tấn công ồ ạt vào mục tiêu và website mục tiêu đó khó có thể chống đỡ nổi, dẫn đến không thể cung cấp dịch vụ được nữa (bị từ chối dịch vụ - DDos).

Sơ đồ phát tán và tấn công DDOS trong vụ này

- Như vậy, tổng kết lại có thể thấy sơ đồ phát tán và tấn công DDOS trong vụ này như sau:



%%%%%%%%%%%%%%%%%%%%%%%%%%%%
Trong vụ Dos HVA có nghe nói sử dụnh chiêu X-flash nhưng mình không hiểu rõ lắm,Anh em nào giải thích hộ với!