Hỏi về DDOS PORTFLOOD và phòng bằng CSF

Chào các Sư Huynh, Sự Thúc Bá, Sư Phụ, và Sự Đệ

Sự vụ là ngày đầu năm 2020 mà có Cao Nhân nào đó ngứa ngái vào chích DDOS con SV của em... SV có mở 3 PORT để user client kết nối vào dịch vụ chạy trên CENTOS 7... Cao thủ dấu mặt này chích liên tục connect đến những port của SV bằng rất nhiều IP thay đổi liên tục nhằm chiếm hết PORT làm user bị nghẽn không connect vào được dịch vụ.

Em thì yếu đuối trong các vấn đề này. Mò mẫm một hơi thì được cái DDOS PORTFLOOD. Em thấy nó cũng giống giống với tình trạng con SV mình đang gặp. Nên cho em hỏi xác minh là dựa trên các dữ kiện bên trên thì CÓ PHẢI SV CỦA EM ĐANG BỊ DDOS PORTFLOOD KHÔNG?

Và nếu bị DDOS PORTFLOOD bằng những dãy IP thay đổi liên tục như thế thì config con CSF với thông số PORTFLOOD như thế nào để phòng được tình trạng bị nghẽn mạng như trên ạ?

Hoặc có cách nào phòng chống hiệu quả hơn, xin các Thầy cho em cái Key Word hoặc Link để học trao dồi thêm với ạ.

Cảm ơn mọi người đã xem bài viết.

 

uhmmm. Muốn check xem có đúng port forward không thì b đếm số port đang kết nối đến. Mình không nghĩ đây là portflood, chắc 1 tài nguyên nào đó trong hệ thống bị quá tải. Đúng thì trên CSF thêm luật limit kết nối mới đến hệ thống, đồng thời giảm thời gian keep alive của 3 dịch vụ trên, có thể sẽ giảm thiểu được. Ngoài ra b có thể chặn trực tiếp IP, nếu kẻ tấn công nghiệp dư thì cũng chỉ có hữu hạn ip. Tấn công dùng tool thì sẽ có thể tìm được điểm chung trong request và mình tự viết tool chặn tự động, hoặc cấu hình block trên webserver.

 

Thank Sư Huynh nhiều.

Em cấu hình portflood csf vào thì số lượng request vào port giảm hẳn... Nhưng mà lại ảnh hưởng đến người dùng của mình. Vì có vài người cũng có lượng connect vào cổng dịch vụ này như Cao thủ tấn công kia gởi vào.... Hắn dùng vài ngàn IP chích mỗi Ip 9 10 request để chiếm hết tài nguyên của port trên sv em... Sv thì không sập nhưng người dùng thì ko vào được hệ thống ấy...
Giờ em tìm hiểu thêm những cái Sư huynh chia sẻ bên trên để tìm giải pháp tốt hơn xem sao...

Chân thành cảm ơn Sự Huynh ạ.

 

Tình hình IP đã được đưa vào Deny list của CSF nhưng Port đấy vẫn bị chiếm không thể thêm connect vào @@

 

Nếu kẻ tấn công dùng vài ngàn IP để chích thì e nghỉ đi. Tay không mà đòi chống lại kẻ địch có vũ trang. E liên hệ các bên cung cấp dịch vụ ứng cứu sự cố xem sao.

 

Hôm qua đến giờ triển cái csf và sysctl của centos cũng hạn chế đc khá nhiều lần. Cơ mà kẻ địch đổi cách thức send liên tục để giết. Thấy cũng vui và hấp dẫn quá Sư Huynh.... cũng thấy mình biết được một vài điều dù là nhỏ nhặc nhưng mới mẻ

Em bắt đầu thấy thích cái việc an ninh mạng này rồi á. Sư Huynh có kinh nghiệm hay địa chỉ học hoặc thầy nào cần nhận đệ tử chỉ em với ạ.

Thank Sư Huynh nhiều ạ