Giúp mình chống DDOS với.

Thảo luận trong 'Dos/DDOS' bắt đầu bởi tieulyit, 20/07/16, 01:07 PM.

  1. tieulyit

    tieulyit W-------

    Tham gia: 10/12/15, 02:12 PM
    Bài viết: 5
    Đã được thích: 0
    Điểm thành tích:
    1
    Hiện tại server mình đang bị ddos 2 dạng này. Ai có cách nào chỉ với.

    Dạng 1:

    151.0.33.212 - - [19/Jul/2016:16:45:41 +0700] "GET /?LTHDEE=DAXJN HTTP/1.1" 400 166 "-" "-"
    52.91.44.76 - - [19/Jul/2016:16:45:44 +0700] "GET /?FIFCMYFNL=SXIKW HTTP/1.1" 200 73168 "https://play.google.com/store/search?q=" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 5.0; Trident/4.0)"
    179.185.66.146 - - [19/Jul/2016:16:45:45 +0700] "GET /?XMUJ=PCIWBBK HTTP/1.0" 200 73317 "http://www.ask.com/web?q=" "Mozilla/5.0 (68K) AppleWebKit/577.0 (KHTML, like Gecko) Chrome/24.01394.591 Safari/577"
    201.7.216.85 - - [19/Jul/2016:16:45:46 +0700] "GET /?DPD=BFZH HTTP/1.0" 200 73097 "http://eu.battle.net/wow/en/search?q=" "Mozilla/5.0 (Linux x86_64) AppleWebKit/535.0 (KHTML, like Gecko) Chrome/15.0263.687 Safari/535"
    52.91.44.76 - - [19/Jul/2016:16:45:46 +0700] "GET /?DNHVOUANJ=KGHQSXAEOJ HTTP/1.1" 200 73211 "http://www.bestbuytheater.com/events/search?q=" "Mozilla/5.0 (compatible; MSIE 6.0; Linux i686; Trident/2.0)"
    201.55.163.46 - - [19/Jul/2016:16:45:56 +0700] "GET /?JLTNI=ZXQLWZE HTTP/1.1" 200 73397 "http://www.reddit.com/search?q=" "Mozilla/5.0 (Linux i686) AppleWebKit/585.0 (KHTML, like Gecko) Chrome/24.01363.295 Safari/585"
    190.232.220.95 - - [19/Jul/2016:16:45:57 +0700] "GET /?LZSF=TAPEI HTTP/1.1" 400 166 "-" "-"
    180.214.247.90 - - [19/Jul/2016:16:46:00 +0700] "GET /?MARRWIHR=GTSNCV HTTP/1.1" 400 166 "-" "-"
    187.86.133.113 - - [19/Jul/2016:16:46:01 +0700] "GET /?JDFJ=OYES HTTP/1.1" 400 166 "-" "-"
    187.86.133.113 - - [19/Jul/2016:16:46:02 +0700] "GET /?ZMPPGL=WRZGLP HTTP/1.1" 400 166 "-" "-"
    79.177.230.121 - - [19/Jul/2016:16:46:04 +0700] "GET /?NTFOYUFAW=TOSKXFRF HTTP/1.1" 400 166 "-" "-"
    203.202.251.42 - - [19/Jul/2016:16:46:04 +0700] "GET /?RUAPVWWZ=SXUZZ HTTP/1.1" 400 166 "-" "-"
    217.8.95.140 - - [19/Jul/2016:16:46:05 +0700] "GET /?TWKBGTKE=URJH HTTP/1.0" 200 73306 "http://www.google.ru/url?sa=t&rct=?j&q=&e.." "Mozilla/5.0 (compatible; MSIE 8.0; Linux i686; Trident/3.0)"



    Dạng 2:

    125.135.179.153 - - [18/Jul/2016:16:28:42 +0700] "GET / HTTP/1.0" 503 206 "-" "Python-urllib/1.17"
    125.135.179.153 - - [18/Jul/2016:16:28:42 +0700] "GET / HTTP/1.0" 503 206 "-" "Python-urllib/1.17"
    125.135.179.153 - - [18/Jul/2016:16:28:42 +0700] "GET / HTTP/1.0" 200 71269 "-" "Python-urllib/1.17"
    125.135.179.153 - - [18/Jul/2016:16:28:42 +0700] "GET / HTTP/1.0" 503 206 "-" "Python-urllib/1.17"
    125.135.179.153 - - [18/Jul/2016:16:28:42 +0700] "GET / HTTP/1.0" 200 71269 "-" "Python-urllib/1.17"
    125.135.179.153 - - [18/Jul/2016:16:28:42 +0700] "GET / HTTP/1.0" 200 71269 "-" "Python-urllib/1.17"
    125.135.179.153 - - [18/Jul/2016:16:28:42 +0700] "GET / HTTP/1.0" 503 206 "-" "Python-urllib/1.17"
    125.135.179.153 - - [18/Jul/2016:16:28:42 +0700] "GET / HTTP/1.0" 503 206 "-" "Python-urllib/1.17"
    125.135.179.153 - - [18/Jul/2016:16:28:42 +0700] "GET / HTTP/1.0" 200 66966 "-" "Python-urllib/1.17"
    125.135.179.153 - - [18/Jul/2016:16:28:42 +0700] "GET / HTTP/1.0" 503 206 "-" "Python-urllib/1.17"
    125.135.179.153 - - [18/Jul/2016:16:28:42 +0700] "GET / HTTP/1.0" 200 71269 "-" "Python-urllib/1.17"

    Bạn nào có cách hướng dẫn mình với nha. web mình chạy nginx +php
    Thanks all.
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  2. titanwhitehat

    titanwhitehat W-------

    Tham gia: 09/08/16, 09:08 AM
    Bài viết: 6
    Đã được thích: 0
    Điểm thành tích:
    1
    Có firewall không bạn ?
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. kaitoukid

    kaitoukid Wh------

    Tham gia: 18/07/14, 02:07 PM
    Bài viết: 33
    Đã được thích: 26
    Điểm thành tích:
    28
    Với dạng 1:
    Dấu hiệu tấn công: Tấn công với chuỗi random với dạng : /?= và có khả năng random IP source
    - Nếu Website của bạn trang chủ không có dạng request như thế này, thì có cách giải quyết đó là bạn viết 1 script đọc log access, với những IP có dấu hiệu request tới domain với dạng trên thì Block (cách này sẽ giúp block những IP tấn công, tuy nhiên với việc Random Source thì không có hiệu quả).
    - Ngoài ra, bạn có thể tham khảo bài này cũng có dấu hiệu tấn công tương tự và áp dụng biện pháp hạn chế số kết nối tới cổng 80:
    https://whitehat.vn/forum/thao-luan/dos-ddos/57477-van-de-tan-cong-ddos-sos

    Với dạng 2:
    - Ngoài cách dùng script, bạn có thể sử dụng công cụ chống tấn công DDoS dựa trên tần suất Fail2Ban với ngưỡng phù hợp
    https://whitehat.vn/forum/thao-luan...fail2ban-va-ung-dung-giam-thieu-tan-cong-ddos
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan