Nhờ hỗ trợ giải pháp IP bị DDOS từ nước ngoài gây nghẽn bandwidth

Thảo luận trong 'Dos/DDOS' bắt đầu bởi vitinhcomputer, 28/08/17, 01:08 PM.

  1. vitinhcomputer

    vitinhcomputer W-------

    Tham gia: 05/07/16, 01:07 PM
    Bài viết: 9
    Đã được thích: 2
    Điểm thành tích:
    3
    Hi mọi người,
    Nhờ mọi người hỗ trợ tìm giải pháp giúp
    Hiện tại server công ty mình đang chạy website bị DDos từ nước ngoài gây full traffic quốc tế nên mỗi lần bị DDos là bên datacenter họ chặn hướng quốc tế
    Mình kiểm tra logs họ gửi thì 1s có khoảng 2000 request từ nguồn IP nước ngoài tới IP của server mình.
    theo như logs mình đã chặn PING tới server nhưng khi bị DDOS thì không có tác dụng

    LOGS

    "Number" "Date" "Time" "Type" "Action" "Service" "Source Port" "Source" "Destination" "Protocol" "Information"
    "429665" "28Aug2017" "12:30:24" "Log" "Drop" "" "" "198.151.61.11" "X.X.X.X" "1" "ICMP: Time-To-Live Count Exceeded; ICMP Type: 11; ICMP Code: 0; message_info: ICMP error does not match an existing connection"
    "429666" "28Aug2017" "12:30:24" "Log" "Drop" "" "" "211.233.25.17" "X.X.X.X" "1" "ICMP: Time-To-Live Count Exceeded; ICMP Type: 11; ICMP Code: 0; message_info: ICMP error does not match an existing connection"
    "429667" "28Aug2017" "12:30:24" "Log" "Drop" "" "" "79.236.1.176" "X.X.X.X" "1" "ICMP: Destination Unreachable; ICMP Type: 3; ICMP Code: 13; message_info: ICMP error does not match an existing connection"
    "429668" "28Aug2017" "12:30:24" "Log" "Accept" "http" "31972" "141.106.102.123" "X.X.X.X" "6" "inzone: External; outzone: Internal; service_id: http"
    "429669" "28Aug2017" "12:30:24" "Log" "Drop" "" "" "93.215.63.83" "X.X.X.X" "1" "ICMP: Destination Unreachable; ICMP Type: 3; ICMP Code: 13; message_info: ICMP error does not match an existing connection"
    "429670" "28Aug2017" "12:30:24" "Log" "Drop" "" "" "202.112.53.133" "X.X.X.X" "1" "ICMP: Time-To-Live Count Exceeded; ICMP Type: 11; ICMP Code: 0; message_info: ICMP error does not match an existing connection"
    "429671" "28Aug2017" "12:30:24" "Log" "Drop" "80" "" "12.85.250.83" "X.X.X.X" "6" "TCP flags: SYN"
    "429673" "28Aug2017" "12:30:24" "Log" "Accept" "http" "41836" "79.227.180.152" "X.X.X.X" "6" "inzone: External; outzone: Internal; service_id: http"
    "429674" "28Aug2017" "12:30:24" "Log" "Accept" "http" "9423" "150.120.242.49" "X.X.X.X" "6" "inzone: External; outzone: Internal; service_id: http"
    "429675" "28Aug2017" "12:30:24" "Log" "Reject" "194" "50796" "23.237.0.78" "X.X.X.X" "6" ""
    "429677" "28Aug2017" "12:30:24" "Log" "Drop" "" "" "98.124.60.2" "X.X.X.X" "1" "ICMP: Time-To-Live Count Exceeded; ICMP Type: 11; ICMP Code: 0; message_info: ICMP error does not match an existing connection"
    "429678" "28Aug2017" "12:30:24" "Log" "Drop" "" "" "216.150.136.52" "X.X.X.X" "1" "ICMP: Port Unreachable; ICMP Type: 3; ICMP Code: 3; message_info: ICMP error does not match an existing connection"
    "429679" "28Aug2017" "12:30:24" "Log" "Accept" "http" "6640" "162.24.12.217" "X.X.X.X" "6" "inzone: External; outzone: Internal; service_id: http"
    "429680" "28Aug2017" "12:30:24" "Log" "Drop" "" "" "37.97.226.17" "X.X.X.X" "1" "ICMP: Destination Unreachable; ICMP Type: 3; ICMP Code: 10; message_info: ICMP error does not match an existing connection"
    "429681" "28Aug2017" "12:30:24" "Log" "Drop" "" "" "94.216.133.177" "X.X.X.X" "1" "ICMP: Destination Unreachable; ICMP Type: 3; ICMP Code: 13; message_info: ICMP error does not match an existing connection"
    "429682" "28Aug2017" "12:30:24" "Log" "Drop" "" "" "69.7.82.114" "X.X.X.X" "1" "ICMP: Host Unreachable; ICMP Type: 3; ICMP Code: 1; message_info: ICMP error does not match an existing connection"
    "429683" "28Aug2017" "12:30:24" "Log" "Drop" "" "" "93.212.161.63" "X.X.X.X" "1" "ICMP: Destination Unreachable; ICMP Type: 3; ICMP Code: 13; message_info: ICMP error does not match an existing connection"
    "429685" "28Aug2017" "12:30:24" "Log" "Drop" "" "" "204.148.81.137" "X.X.X.X" "1" "ICMP: Time-To-Live Count Exceeded; ICMP Type: 11; ICMP Code: 0; message_info: ICMP error does not match an existing connection"
    "429686" "28Aug2017" "12:30:24" "Log" "Drop" "" "" "66.18.168.210" "X.X.X.X" "1" "ICMP: Host Unreachable; ICMP Type: 3; ICMP Code: 1; message_info: ICMP error does not match an existing connection"
    "429687" "28Aug2017" "12:30:24" "Log" "Drop" "" "" "213.187.132.229" "X.X.X.X" "1" "ICMP: Time-To-Live Count Exceeded; ICMP Type: 11; ICMP Code: 0; message_info: ICMP error does not match an existing connection"
    "429688" "28Aug2017" "12:30:24" "Log" "Drop" "" "" "84.166.16.61" "X.X.X.X" "1" "ICMP: Destination Unreachable; ICMP Type: 3; ICMP Code: 13; message_info: ICMP error does not match an existing connection"
    "429689" "28Aug2017" "12:30:24" "Log" "Drop" "" "" "118.103.59.54" "X.X.X.X" "1" "ICMP: Host Unreachable; ICMP Type: 3; ICMP Code: 1; message_info: ICMP error does not match an existing connection"
    "429741" "28Aug2017" "12:30:24" "Log" "Drop" "" "" "138.219.20.7" "X.X.X.X" "1" "ICMP: Time-To-Live Count Exceeded; ICMP Type: 11; ICMP Code: 0; message_info: ICMP error does not match an existing connection"
    "429742" "28Aug2017" "12:30:24" "Log" "Drop" "" "" "77.109.168.24" "X.X.X.X" "1" "ICMP: Host Unreachable; ICMP Type: 3; ICMP Code: 1; message_info: ICMP error does not match an existing connection"
    "429744" "28Aug2017" "12:30:24" "Log" "Drop" "" "" "154.197.43.126" "X.X.X.X" "1" "ICMP: Destination Unreachable; ICMP Type: 3; ICMP Code: 10; message_info: ICMP error does not match an existing connection"
    "429745" "28Aug2017" "12:30:24" "Log" "Drop" "" "" "178.8.156.224" "X.X.X.X" "1" "ICMP: Destination Unreachable; ICMP Type: 3; ICMP Code: 13; message_info: ICMP error does not match an existing connection"
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    CSC Fun thích bài này.
  2. BHDoanh

    BHDoanh New Member

    Tham gia: 29/08/17, 06:08 AM
    Bài viết: 1
    Đã được thích: 0
    Điểm thành tích:
    1
    Chào bạn,
    Không có cách nào khác ngoài việc sử dụng giải pháp chống DDOS từ một vendor có uy tín, hiện tại ở Việt Nam và trên thế giới, xu hướng tấn công DDOS đang là vấn nạn chung. theo thông kê Việt Nam đang đứng top đầu về botnet từ các nguồn IoT.
    Bạn có thể tham khảo giải pháp chống DDOS của hãng Arbor.
    Tuy nhiên nếu hướng tấn công từ quốc tế thì, nhà mạng vẫn sẽ ngắt băng thông quốc tế của bạn đến khi nào hết các đợt tấn công. Các truy cập trong nước sẽ okie.
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  3. newbies8x

    newbies8x Member

    Tham gia: 09/08/17, 09:08 AM
    Bài viết: 9
    Đã được thích: 5
    Điểm thành tích:
    3
    thử cloudflare xem
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    DDos thích bài này.
  4. duy13

    duy13 Wh------

    Tham gia: 15/01/17, 11:01 PM
    Bài viết: 13
    Đã được thích: 7
    Điểm thành tích:
    3
    dùng cloudflare và CAPTCHA cho traffic từ quốc tế, chỉ allow từ VN. (Có thể dùng vDDoS Layer4 Mapping)
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  5. hungp

    hungp Whi-----

    Tham gia: 27/12/14, 12:12 PM
    Bài viết: 74
    Đã được thích: 47
    Điểm thành tích:
    48
    Trong trường hợp này mình nghĩ bạn nên xử lý:
    1. Nếu website của bạn có nhiều khách hàng từ quốc tế nên dùng dịch vụ của cloudflare để chặn các cuộc tấn công. Còn nếu không thì báo VDC tạm thời chặn đường quốc tế, chỉ dùng trong nước thôi.
    2. Trên chính server của bạn nên có những luật limit các gói tin icmp hoặc có thể chặn các gói tin ICMP theo chiều INPUT để tránh trường hợp một số IP tấn công đến từ trong nước.
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    sunny thích bài này.
  6. CSC Fun

    CSC Fun New Member

    Tham gia: 31/07/17, 10:07 AM
    Bài viết: 3
    Đã được thích: 1
    Điểm thành tích:
    1
    @vitinhs
    Nếu bạn dùng đường truyền của FPT thì họ có cung cấp dịch vụ phòng chống DDoS đấy, bên mình đang sử dụng dịch vụ này, trước kia cũng bị như bạn, nhưng sau khi đăng ký dùng thì thấy ok. hiện nay cứ khi phát hiện tấn công là hệ thống gửi cảnh báo đồng thời tự động xử lý và gửi báo cáo cho bên mình. Rất ổn
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  7. sunny

    sunny Điều hành viên Thành viên BQT

    Tham gia: 30/06/14, 10:06 PM
    Bài viết: 1,811
    Đã được thích: 803
    Điểm thành tích:
    113
    Quan trọng là có free không?
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    hungp, zero123 and newbies8x like this.
  8. DiepNV88

    DiepNV88 Super Moderator Thành viên BQT

    Tham gia: 24/09/13, 03:09 AM
    Bài viết: 1,304
    Đã được thích: 219
    Điểm thành tích:
    63
    Cloudflare là giải pháp chặn DDos băng thông hiệu quả nhất rùi.
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    hungp thích bài này.
  9. vitinhcomputer

    vitinhcomputer W-------

    Tham gia: 05/07/16, 01:07 PM
    Bài viết: 9
    Đã được thích: 2
    Điểm thành tích:
    3
    Mình đặt tại data QTSC, cũng có nhờ QTSC xử lý và biện pháp họ xử lý là chặn hướng truy cập quốc tế. mình cũng có thuê gói firewall cứng nhưng hiện tại thấy tác dụng chủ yếu là chặn port chứ chưa thấy có tác dụng gì khác.
    - Mỗi khi bị DDos là cổng vào firewall bị full traffic luôn nên các khác IP qua chung firewall này cũng đơ luôn không kết nối được.
    - Hiện tại bị DDos từ nguồn quốc tế nên lúc bị DDos chặn hướng quốc tế là OK, nhưng nếu mà nó DDos từ nguồn trong nước và quốc tế thì chắc có chịu chết.
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    CSC Fun thích bài này.
  10. vitinhcomputer

    vitinhcomputer W-------

    Tham gia: 05/07/16, 01:07 PM
    Bài viết: 9
    Đã được thích: 2
    Điểm thành tích:
    3
    Hi anh,
    Mình chỉ biết là cloudflare chặn DDos băng thông hiệu quả cho webiste, nhưng cho mình hỏi thêm là mình bị DDos UDP Flood vào IP server không cụ thể vào 1 site nào đó thì làm sao mình sử dụng được cloudflare?
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  11. DiepNV88

    DiepNV88 Super Moderator Thành viên BQT

    Tham gia: 24/09/13, 03:09 AM
    Bài viết: 1,304
    Đã được thích: 219
    Điểm thành tích:
    63
    Với kiểu tấn công vào trực tiếp ip server bạn có thể đổi ip máy chủ và cố gắng giấu không để bị phát hiện, các dịch vụ web để sau cloudflare hacker sẽ không tìm ra ip server bạn. Bản chất của tấn công băng thông là làm nghẽn mạng của server bị tấn công và giải pháp triệt để nhất là tìm ra nguồn tấn công xử lý nó còn các biện pháp chặn hay mở rộng băng thông chỉ là tạm thời. Nhiều cty lớn như google cũng từng sập vì tấn công băng thông.
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  12. CSC Fun

    CSC Fun New Member

    Tham gia: 31/07/17, 10:07 AM
    Bài viết: 3
    Đã được thích: 1
    Điểm thành tích:
    1
    Chặn chắc chắn không giải quyết được vấn đề đâu bạn ơi. Bên mình trước cũng đã làm nhiều cách rồi nhưng không ok. Chỉ sau khi dùng dịch vụ của phòng chống DDoS trên đường truyền FPT khi đó mới hết. Hiện nay khi phát hiện tấn công mình đều thấy FPT gửi cảnh báo và tự động xử lý, cuối tháng thì có thống kê... từ lúc dùng đến giờ thì hệ thống của mình không bị ảnh hưởng gì mặc dù mình vẫn theo dõi.

    @sunny: Miễn phí thì chỉ có kiểu chặn thôi bạn. Còn để được hỗ trợ xử lý 24/7, gửi cảnh báo, báo cáo, thống kê... thì phải có chi phí dịch vụ là chắc rồi :).
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan