Vấn đề tấn công DDOS. SOS

[vntt4ever]

Dear các anh chị,

Trang web của bên em đang gặp phải tình trạng sau, anh chị nào có nhiều kinh nghiệp có thể chỉ giáo cho em đây là loại tấn công gì, cách chặn nó như nào. Em cũng đang sử dụng IPTABLE nhưng không hiệu quả lắm. Rất mong các anh chị giúp đỡ cho. Em cảm ơn

113.175.17.7 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 5.1; rv:47.0) Gecko/20100101 Firefox/47.0"
118.70.182.147 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 6.1; rv:47.0) Gecko/20100101 Firefox/47.0"
113.175.17.7 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 5.1; rv:47.0) Gecko/20100101 Firefox/47.0"
118.70.182.147 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 6.1; rv:47.0) Gecko/20100101 Firefox/47.0"
115.78.133.199 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 6.1; rv:47.0) Gecko/20100101 Firefox/47.0"
113.175.17.7 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 5.1; rv:47.0) Gecko/20100101 Firefox/47.0"
118.70.182.147 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 6.1; rv:47.0) Gecko/20100101 Firefox/47.0"
118.70.182.147 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 6.1; rv:47.0) Gecko/20100101 Firefox/47.0"
118.70.182.147 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 6.1; rv:47.0) Gecko/20100101 Firefox/47.0"
113.175.17.7 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 5.1; rv:47.0) Gecko/20100101 Firefox/47.0"
115.78.133.199 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 6.1; rv:47.0) Gecko/20100101 Firefox/47.0"
118.70.182.147 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 6.1; rv:47.0) Gecko/20100101 Firefox/47.0"
113.175.17.7 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 5.1; rv:47.0) Gecko/20100101 Firefox/47.0"
118.70.182.147 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 6.1; rv:47.0) Gecko/20100101 Firefox/47.0"
113.175.17.7 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 5.1; rv:47.0) Gecko/20100101 Firefox/47.0"
115.78.133.199 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 6.1; rv:47.0) Gecko/20100101 Firefox/47.0"
113.175.17.7 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 5.1; rv:47.0) Gecko/20100101 Firefox/47.0"
118.70.182.147 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 6.1; rv:47.0) Gecko/20100101 Firefox/47.0"
117.6.99.141 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 6.1; rv:47.0) Gecko/20100101 Firefox/47.0"
113.175.17.7 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 5.1; rv:47.0) Gecko/20100101 Firefox/47.0"
118.70.182.147 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 6.1; rv:47.0) Gecko/20100101 Firefox/47.0"
115.78.133.199 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 6.1; rv:47.0) Gecko/20100101 Firefox/47.0"
113.175.17.7 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 5.1; rv:47.0) Gecko/20100101 Firefox/47.0"
118.70.182.147 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 6.1; rv:47.0) Gecko/20100101 Firefox/47.0"
113.175.17.7 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 5.1; rv:47.0) Gecko/20100101 Firefox/47.0"
118.70.182.147 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 6.1; rv:47.0) Gecko/20100101 Firefox/47.0"
113.175.17.7 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 5.1; rv:47.0) Gecko/20100101 Firefox/47.0"
118.70.182.147 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 6.1; rv:47.0) Gecko/20100101 Firefox/47.0"
115.78.133.199 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 6.1; rv:47.0) Gecko/20100101 Firefox/47.0"
113.175.17.7 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 5.1; rv:47.0) Gecko/20100101 Firefox/47.0"
118.70.182.147 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 6.1; rv:47.0) Gecko/20100101 Firefox/47.0"
113.175.17.7 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 5.1; rv:47.0) Gecko/20100101 Firefox/47.0"
118.70.182.147 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 6.1; rv:47.0) Gecko/20100101 Firefox/47.0"
115.78.133.199 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 6.1; rv:47.0) Gecko/20100101 Firefox/47.0"
113.175.17.7 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 5.1; rv:47.0) Gecko/20100101 Firefox/47.0"
118.70.182.147 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 6.1; rv:47.0) Gecko/20100101 Firefox/47.0"
113.175.17.7 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 5.1; rv:47.0) Gecko/20100101 Firefox/47.0"
118.70.182.147 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 6.1; rv:47.0) Gecko/20100101 Firefox/47.0"
118.70.182.147 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 6.1; rv:47.0) Gecko/20100101 Firefox/47.0"
113.175.17.7 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 5.1; rv:47.0) Gecko/20100101 Firefox/47.0"
115.78.133.199 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 6.1; rv:47.0) Gecko/20100101 Firefox/47.0"

 

Em xin bổ sung thông tin là một ngày có khoảng 2tr hit như này vào trang của bên em.

 

1. Thấy b có ns sử dụng iptables, nhưng chưa hiểu ở đây bạn sử dụng ntn? mà thấy chưa hiệu quả
2. B mới copy 1 đoạn log ngắn, dựa trên log đấy mới thấy được 3 địa chỉ ip tham gia tấn công, ngoài 3 địa chỉ này có còn nhiều ip tham gia tấn công không???

 

1. Thấy b có ns sử dụng iptables, nhưng chưa hiểu ở đây bạn sử dụng ntn? mà thấy chưa hiệu quả
2. B mới copy 1 đoạn log ngắn, dựa trên log đấy mới thấy được 3 địa chỉ ip tham gia tấn công, ngoài 3 địa chỉ này có còn nhiều ip tham gia tấn công không???[/Hide]

1) Trên IPtables em có sử dụng một vài luật sau để chặn DOS.

###NEu ip nam trong banned 300s thi DROP
-A INPUT -m state --state NEW -m recent --name BANNED --rcheck --seconds 300 -j LOG --log-level 4 --log-prefix "LIEN TUC "
-A INPUT [Hide] -m state --state NEW -m recent --name BANNED --rcheck --seconds 300 -j DROP

-A ATTK_CHECK -m recent --name ATTK --set
#Neu co ip nao truy van hon 20 request trong 1s thi ghi log va drop
-A ATTK_CHECK -m recent --name ATTK --update --hitcount 60 --seconds 1 -j ATTACKED
-A ATTACKED -j LOG --log-level 4 --log-prefix "20 rps "
-A ATTACKED -m recent --name BANNED --set
-A ATTACKED -j DROP

#Kiem tra trong danh sach truy nhap neu co ip nao truy van hon 20 request trong 10s thi ghi log va drop
-A ATTK_CHECK -m recent --name ATTK --update --hitcount 60 --seconds 10 -j LOG --log-level 4 --log-prefix "CO THE DDOS "
-A ATTK_CHECK -m recent --name ATTK --update --hitcount 60 --seconds 10 -j DROP

2) Ngoài ra còn rất nhiều địa chỉ IP khác địa chỉ ở trên tấn công đến website bên em.

Mọi người có phương án chặn dứt điểm tình trạng này không..

 

Dear các anh chị,

Trang web của bên em đang gặp phải tình trạng sau, anh chị nào có nhiều kinh nghiệp có thể chỉ giáo cho em đây là loại tấn công gì, cách chặn nó như nào. Em cũng đang sử dụng IPTABLE nhưng không hiệu quả lắm. Rất mong các anh chị giúp đỡ cho. Em cảm ơn

113.175.17.7 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 5.1; rv:47.0) Gecko/20100101 Firefox/47.0"
118.70.182.147 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 6.1; rv:47.0) Gecko/20100101 Firefox/47.0"
113.175.17.7 - - [16/Jun/2016:13:19:48 +0700] "GET / [Hide] HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 5.1; rv:47.0) Gecko/20100101 Firefox/47.0"
118.70.182.147 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 6.1; rv:47.0) Gecko/20100101 Firefox/47.0"
115.78.133.199 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 6.1; rv:47.0) Gecko/20100101 Firefox/47.0"
113.175.17.7 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 5.1; rv:47.0) Gecko/20100101 Firefox/47.0"
118.70.182.147 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 6.1; rv:47.0) Gecko/20100101 Firefox/47.0"
118.70.182.147 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 6.1; rv:47.0) Gecko/20100101 Firefox/47.0"
118.70.182.147 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 6.1; rv:47.0) Gecko/20100101 Firefox/47.0"
113.175.17.7 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 5.1; rv:47.0) Gecko/20100101 Firefox/47.0"
115.78.133.199 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 6.1; rv:47.0) Gecko/20100101 Firefox/47.0"
118.70.182.147 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 6.1; rv:47.0) Gecko/20100101 Firefox/47.0"
113.175.17.7 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 5.1; rv:47.0) Gecko/20100101 Firefox/47.0"
118.70.182.147 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 6.1; rv:47.0) Gecko/20100101 Firefox/47.0"
113.175.17.7 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 5.1; rv:47.0) Gecko/20100101 Firefox/47.0"
115.78.133.199 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 6.1; rv:47.0) Gecko/20100101 Firefox/47.0"
113.175.17.7 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 5.1; rv:47.0) Gecko/20100101 Firefox/47.0"
118.70.182.147 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 6.1; rv:47.0) Gecko/20100101 Firefox/47.0"
117.6.99.141 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 6.1; rv:47.0) Gecko/20100101 Firefox/47.0"
113.175.17.7 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 5.1; rv:47.0) Gecko/20100101 Firefox/47.0"
118.70.182.147 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 6.1; rv:47.0) Gecko/20100101 Firefox/47.0"
115.78.133.199 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 6.1; rv:47.0) Gecko/20100101 Firefox/47.0"
113.175.17.7 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 5.1; rv:47.0) Gecko/20100101 Firefox/47.0"
118.70.182.147 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 6.1; rv:47.0) Gecko/20100101 Firefox/47.0"
113.175.17.7 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 5.1; rv:47.0) Gecko/20100101 Firefox/47.0"
118.70.182.147 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 6.1; rv:47.0) Gecko/20100101 Firefox/47.0"
113.175.17.7 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 5.1; rv:47.0) Gecko/20100101 Firefox/47.0"
118.70.182.147 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 6.1; rv:47.0) Gecko/20100101 Firefox/47.0"
115.78.133.199 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 6.1; rv:47.0) Gecko/20100101 Firefox/47.0"
113.175.17.7 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 5.1; rv:47.0) Gecko/20100101 Firefox/47.0"
118.70.182.147 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 6.1; rv:47.0) Gecko/20100101 Firefox/47.0"
113.175.17.7 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 5.1; rv:47.0) Gecko/20100101 Firefox/47.0"
118.70.182.147 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 6.1; rv:47.0) Gecko/20100101 Firefox/47.0"
115.78.133.199 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 6.1; rv:47.0) Gecko/20100101 Firefox/47.0"
113.175.17.7 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 5.1; rv:47.0) Gecko/20100101 Firefox/47.0"
118.70.182.147 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 6.1; rv:47.0) Gecko/20100101 Firefox/47.0"
113.175.17.7 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 5.1; rv:47.0) Gecko/20100101 Firefox/47.0"
118.70.182.147 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 6.1; rv:47.0) Gecko/20100101 Firefox/47.0"
118.70.182.147 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 6.1; rv:47.0) Gecko/20100101 Firefox/47.0"
113.175.17.7 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 5.1; rv:47.0) Gecko/20100101 Firefox/47.0"
115.78.133.199 - - [16/Jun/2016:13:19:48 +0700] "GET / HTTP/1.1" 302 147 "-" "Mozilla/5.0 (Windows NT 6.1; rv:47.0) Gecko/20100101 Firefox/47.0"
[/Hide]

Đây là hình thức tấn công DDOS HTTP tầng 7 mô hình OSI.
Nếu bạn đã dùng iptables để chặn các ip trên bằng tay mà thấy không hiệu quả do số lượng ip quá lớn thì giải pháp duy nhất là đầu tư con server firewall chứ nó đánh suốt ngày chặn tay cũng không ổn.
Cách 2: bạn có thể nhờ bên code tạo 1 firewall mềm như kiểu trang của sinhvienit. Cách này hơi bất tiện người dùng nhưng khá hiệu quả.
http://sinhvienit.net/home

 

1) Trên IPtables em có sử dụng một vài luật sau để chặn DOS.

###NEu ip nam trong banned 300s thi DROP
-A INPUT -m state --state NEW -m recent --name BANNED --rcheck --seconds 300 -j LOG --log-level 4 --log-prefix "LIEN TUC "
-A INPUT [Hide] -m state --state NEW -m recent --name BANNED --rcheck --seconds 300 -j DROP

-A ATTK_CHECK -m recent --name ATTK --set
#Neu co ip nao truy van hon 20 request trong 1s thi ghi log va drop
-A ATTK_CHECK -m recent --name ATTK --update --hitcount 60 --seconds 1 -j ATTACKED
-A ATTACKED -j LOG --log-level 4 --log-prefix "20 rps "
-A ATTACKED -m recent --name BANNED --set
-A ATTACKED -j DROP

#Kiem tra trong danh sach truy nhap neu co ip nao truy van hon 20 request trong 10s thi ghi log va drop
-A ATTK_CHECK -m recent --name ATTK --update --hitcount 60 --seconds 10 -j LOG --log-level 4 --log-prefix "CO THE DDOS "
-A ATTK_CHECK -m recent --name ATTK --update --hitcount 60 --seconds 10 -j DROP

2) Ngoài ra còn rất nhiều địa chỉ IP khác địa chỉ ở trên tấn công đến website bên em.

Mọi người có phương án chặn dứt điểm tình trạng này không..

Theo mình ở đây bạn nên lọc các ip qua 2 bước:
1. Hạn chế các gói tin đi vào từ tầng 3 bằng cách sử dụng iptable (mấy lệnh limit hay hitcount) -> mục đích để không bị tốn nhiều tài nguyên cho việc xử lý các gói tin cũng như có thể bị đầy bảng contractk trên iptables.

2. Chặn các ip trên tầng 7.
Sau khi hạn chế ở tầng 3, sẽ vấn có một số ip tấn công lọt vào được. Bạn viết một đoạn code python hay c cũng được, mục đích để chặn các ip lọt
Ý tưởng code:
1. định kỳ kiểm tra xem có những ip nào đang có kết nối nhiều tới server (lệnh này: netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
)
2. Gưi ds ip đến iptables để drop (Việc chọn ds ip này có thể sẽ bị chặn nhầm ip thường, phụ thuộc vào việc bạn chọn mức ở trên)
3. Sau khoảng 1 thời gian check lại nếu không thấy truy cập nữa thì bỏ drop nó đi

 

Cái vụ viết script này em không rành lắm. Nhờ các huynh chỉ giáo chút được không ạ. Làm sao để iptable chặn được từ câu lệnh check ds IP rồi đưa vào iptables được.
​Thanks

Theo mình ở đây bạn nên lọc các ip qua 2 bước:
1. Hạn chế các gói tin đi vào từ tầng 3 bằng cách sử dụng iptable (mấy lệnh limit hay hitcount) -> mục đích để không bị tốn nhiều tài nguyên cho việc xử lý các gói tin cũng như có thể bị đầy bảng contractk trên iptables.

2. Chặn các ip trên tầng 7.
Sau khi [Hide] hạn chế ở tầng 3, sẽ vấn có một số ip tấn công lọt vào được. Bạn viết một đoạn code python hay c cũng được, mục đích để chặn các ip lọt
Ý tưởng code:
1. định kỳ kiểm tra xem có những ip nào đang có kết nối nhiều tới server (lệnh này: netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
)
2. Gưi ds ip đến iptables để drop (Việc chọn ds ip này có thể sẽ bị chặn nhầm ip thường, phụ thuộc vào việc bạn chọn mức ở trên)
3. Sau khoảng 1 thời gian check lại nếu không thấy truy cập nữa thì bỏ drop nó đi
[/Hide]

 

Cái vụ viết script này em không rành lắm. Nhờ các huynh chỉ giáo chút được không ạ. Làm sao để iptable chặn được từ câu lệnh check ds IP rồi đưa vào iptables được.
​Thanks

mỗi ngôn ngữ để viết script đều hỗ trợ hàm để gửi command tới OS, Ví dụ python thì có os.popen() hoặc c thì có system(). C chủ động search gg để làm nhé