Ái chà không ngờ bài viết của mình đã gây nhiều phản ứng như vậy.
To matrix2k-org: Em đã có lời xin lỗi về lần này, coi như em đã là bạn của DD, không có lý do gì anh khiêu khích em tấn công, hay chọc tức em đâu. Và server Đông Du cũng không phải là của riêng, vật thí nghiệm của anh.
Thật ra lần này anh viết reply đó rất là thiện chí với em. Công khai phần thiết định của TCP/IP trên kernel của Đông Du (chính xác hơn là để phòng chống em trong lần vừa qua), để cùng với em tham khảo. Có lẽ từ ngữ anh dùng không chuẩn nên đã gây ra sự cảm nhận vừa rồi của em, anh rút kinh nghiệm vậy.
Tóm lại điều anh đã muốn nói là: Muốn là cracker, gây được sự uy hiếp cho server người khác không phải là điều đơn giản đâu. Và học vi tính để phục vụ vào việc này rất là vô lý.
Trở lại phần bàn luận với em:
Anh đã nói rất rõ trình tự là nếu em chỉ tấn công tràn syn đơn thuần thì không làm gì được server DD đâu, hay những server có thiết định đó. . Bởi vì:
#sysctl -w net.ipv4.tcp_syncookies=1
Thiết định này làm tê liệt lối tấn công tràn syn dựa trên lợi dụng phương thức 3 way handshake. Bằng cách server không lưu lại thông tin của syn packet vào hệ thống bộ nhớ, sử dụng hash function để tái tao ra một synack khác để trả lời cho client, nếu client không trả lại ack packet thì coi như connect đó chấm dứt. Vì server không lưu lại bộ nhớ cho packet đó, nên không có trạng thái sử dụng resource để tái phóng synack cho đến khi timeout.
#sysctl -w net.ipv4.conf.all.rp_filter=1
Cái này xem xét IP nguồn của packet, nếu IP nguồn là không tồn tại (cái này chỉ đối ứng với IPv4), thì bản thân packet đó bị reject.
#sysctl -w net.ipv4.conf.all.accept_source_route=0
Cái này chống lại kiểu thiết định đường dẫn route giả mạo của đối phương thường dùng cho router.
...
Tuy nhiên, như anh đã nói
Theo mình nghĩ nguy hiểm nhất là DDos, tuy nhiên nó chỉ phát huy được tác dụng khi các nguồn phóng thật sự tồn tại và có quá nhiều, chứ không phải kiểu packet giả tạo đâu. Các site lớn bị loại này tấn công cũng vì vậy.
Anh không hề xem thường DDos, nếu em có khả năng vận động được 50IP thật, cùng lúc để tấn công dồn dập vào port 80, quét toàn bộ trang web, thì thật là không đơn giản. Thú thật nếu điều đó xảy ra thì anh chỉ biết cách, xem tất cả các đường connect của em và reject toàn bộ những IP nguồn kết nối vào port 80, hay đơn giản hơn là reject toàn bộ tất cả packet được phát ra từ những IP nguồn đó. Tất nhiên anh phải có mặt đúng lúc em tấn công vậy.
Hay một cách khác đối với một nguồn phóng, trong 1 giây chỉ cho phép connect tối đa bao nhiêu request...
Không biết có giải pháp nào khác không nhỉ?
Ái chà không ngờ bài viết của mình đã gây nhiều phản ứng như vậy.
To matrix2k-org: Em đã có lời xin lỗi về lần này, coi như em đã là bạn của DD, không có lý do gì anh khiêu khích em tấn công, hay chọc tức em đâu. Và server Đông Du cũng không phải là của riêng, vật thí nghiệm của anh.
Thật ra lần này anh viết reply đó rất là thiện chí với em. Công khai phần thiết định của TCP/IP trên kernel của Đông Du (chính xác hơn là để phòng chống em trong lần vừa qua), để cùng với em tham khảo. Có lẽ từ ngữ anh dùng không chuẩn nên đã gây ra sự cảm nhận vừa rồi của em, anh rút kinh nghiệm vậy.
Tóm lại điều anh đã muốn nói là: Muốn là cracker, gây được sự uy hiếp cho server người khác không phải là điều đơn giản đâu. Và học vi tính để phục vụ vào việc này rất là vô lý.
Trở lại phần bàn luận với em:
Anh đã nói rất rõ trình tự là nếu em chỉ tấn công tràn syn đơn thuần thì không làm gì được server DD đâu, hay những server có thiết định đó. . Bởi vì:
#sysctl -w net.ipv4.tcp_syncookies=1
Thiết định này làm tê liệt lối tấn công tràn syn dựa trên lợi dụng phương thức 3 way handshake. Bằng cách server không lưu lại thông tin của syn packet vào hệ thống bộ nhớ, sử dụng hash function để tái tao ra một synack khác để trả lời cho client, nếu client không trả lại ack packet thì coi như connect đó chấm dứt. Vì server không lưu lại bộ nhớ cho packet đó, nên không có trạng thái sử dụng resource để tái phóng synack cho đến khi timeout.
#sysctl -w net.ipv4.conf.all.rp_filter=1
Cái này xem xét IP nguồn của packet, nếu IP nguồn là không tồn tại (cái này chỉ đối ứng với IPv4), thì bản thân packet đó bị reject.
#sysctl -w net.ipv4.conf.all.accept_source_route=0
Cái này chống lại kiểu thiết định đường dẫn route giả mạo của đối phương thường dùng cho router.
...
Tuy nhiên, như anh đã nói
Theo mình nghĩ nguy hiểm nhất là DDos, tuy nhiên nó chỉ phát huy được tác dụng khi các nguồn phóng thật sự tồn tại và có quá nhiều, chứ không phải kiểu packet giả tạo đâu. Các site lớn bị loại này tấn công cũng vì vậy.
Anh không hề xem thường DDos, nếu em có khả năng vận động được 50IP thật, cùng lúc để tấn công dồn dập vào port 80, quét toàn bộ trang web, thì thật là không đơn giản. Thú thật nếu điều đó xảy ra thì anh chỉ biết cách, xem tất cả các đường connect của em và reject toàn bộ những IP nguồn kết nối vào port 80, hay đơn giản hơn là reject toàn bộ tất cả packet được phát ra từ những IP nguồn đó. Tất nhiên anh phải có mặt đúng lúc em tấn công vậy.
Hay một cách khác đối với một nguồn phóng, trong 1 giây chỉ cho phép connect tối đa bao nhiêu request...
Không biết có giải pháp nào khác không nhỉ?