Nhờ giúp đỡ phân tích gói tin Wireshark VPS bị ddos

tuantep · 31/10/2015

Đây là gói tin mình cap đc khi bị ddos. Nó cứ ddos là server full load apache.

VPS mình cài nginx + apache . Trước ddos vớ vẩn thì mình chạn ok hết giờ nó ddos tiếp thì mãi mình chưa tìm đc nguyên nhân để chặn

mong các pro giúp

Down file cap: [FONT=source_sans_proregular]https://mega.nz/#!IgAVUY5Y[/FONT][FONT=source_sans_proregular]!4j3GEwU6g8Olmy5FdpTxkcwvX2cntP2TGg2tEGlLWNM[/FONT]

kaitoukid · 31/10/2015

Bạn kiểm tra trong log /var/log/syslog (Hoặc /var/log/message). Xem có cảnh báo gì từ hệ thống không? Mình đọc qua gói tin Pcap có khá nhiều gói tin SYN mà không có gói tin ACK để hoàn thành kết nối --> Có thể bị tấn công SYN, dẫn tới việc bị DoS .
Bạn có thể sử dụng phương pháp giới hạn số kết nối gói tin Syn tới Server bằng cách sử dụng lệnh trên IPtables

iptables -A INPUT -p tcp --syn -m limit --limit 1/s --limit-burst 10 -i eth0 -j ACCEPT
iptables -I INPUT -i eth0 -p tcp -m state --state NEW -m limit --limit 1/s --limit-burst 10 -j ACCEPT

iptables -N syn_flood
iptables -A INPUT -i eth0 -p tcp --syn -j bkav_syn_flood
iptables -A syn_flood -m limit --limit 1/s --limit-burst 10 -j LOG --log-prefix "SYN flood: "
iptables -A syn_flood -m limit --limit 1/s --limit-burst 10 -j RETURN

Hoặc có thể sử dụng phương pháp SynProxy
bạn có thể tham khảo qua tài liệu
http://devconf.cz/filebrowser/download/374

CỘNG ĐỒNG AN NINH MẠNG VIỆT NAM

Nhờ giúp đỡ phân tích gói tin Wireshark VPS bị ddos

tuantep

W-------

Nhờ giúp đỡ phân tích gói tin Wireshark VPS bị ddos

tuantep

W-------

Số người đang xem

Thống kê diễn đàn