Chống DDOS cho WEBSITE: Hướng dẫn cài đặt vDDoS Proxy Protection và vDDoS Layer4 Mapping chống DDOS, ANTIDOS, Flood, SYN... cho WEB SERVER - Mua Bán key bản quyền Windows Server 2012 - Windows 10 -Kaspersky - Office -Visio -SQL

728x90 AdSpace

http://lh3.ggpht.com/-PE2fb8WF1XI/VfL9f7IygsI/AAAAAAAAN-E/Fj9gFp7BZFo/s1600-r/Logo.png
Trending
Sunday, 5 February 2017

Chống DDOS cho WEBSITE: Hướng dẫn cài đặt vDDoS Proxy Protection và vDDoS Layer4 Mapping chống DDOS, ANTIDOS, Flood, SYN... cho WEB SERVER



Tiếp theo bài lần trước: Cài đặt vDDoS Proxy Protection

Xin chào các bạn, trong bài hướng dẫn này mình sẽ sử dụng 2 máy chủ: một máy giả lập thành kẻ tấn công từ chối dịch vụ (attacker) và một máy làm mục tiêu bị tấn công (victim).

Trên máy làm mục tiêu tấn công, mình có 4 trường hợp về việc chạy website như sau: (4 domain cùng trỏ vào 1 hosting LAMP chạy source web Joomla CMS)


Code:
1. http://cloudflare-vddos-web.i-com.cf:80 (Traffic proxy đi thông qua Cloudflare's CDN & vDDoS Proxy)
2. http://cloudflare-web.i-com.cf:8080 (Traffic proxy đi thông qua Cloudflare's CDN)
3. http://vddos-web.i-com.cf:8081 (Traffic proxy đi thông qua vDDoS Proxy)
4. http://direct-web.i-com.cf:8082 (Kết nối trực tiếp vào Web Server Apache)
Code:
[root@www ]# netstat -lntup
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:8080            0.0.0.0:*               LISTEN      864/httpd
tcp        0      0 0.0.0.0:8082            0.0.0.0:*               LISTEN      864/httpd
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      5747/nginx: master
tcp        0      0 0.0.0.0:8081            0.0.0.0:*               LISTEN      5747/nginx: master




OK, Ở bước 1: tại máy của kẻ tấn công attacker sẽ dò tìm xem mục tiêu cần tấn công có những thông tin gì bằng công cụ curl:

4. http://direct-web.i-com.cf:8082 (Kết nối trực tiếp vào Web Server Apache)
Code:
[root@attacker ~ ]# curl -L http://direct-web.i-com.cf:8082

<!DOCTYPE html>
<html lang="en-gb" dir="ltr">
<head>
        <meta name="viewport" content="width=device-width, initial-scale=1.0" />
                <meta charset="utf-8" />
        <base href="http://direct-web.i-com.cf:8082/" />
        <meta name="generator" content="Joomla! - Open Source Content Management" />
        <title>Home</title>
        <link href="/index.php?format=feed&amp;type=rss" rel="alternate" type="application/rss+xml" title="RSS 2.0" />
        <link href="/index.php?format=feed&amp;type=atom" rel="alternate" type="application/atom+xml" title="Atom 1.0" />
        <link href="/templates/protostar/favicon.ico" rel="shortcut icon" type="image/vnd.microsoft.icon" />
        <link href="http://direct-web.i-com.cf:8082/index.php/component/search/?Itemid=435&amp;format=opensearch" rel="search" title="Search joomla" type="application/opensearchdescription+xml" />
        <link href="/templates/protostar/css/template.css?b07c885111c1b29246c60f35646efe84" rel="stylesheet" />
        <link href="//fonts.googleapis.com/css?family=Open+Sans" rel="stylesheet" />
        <style>
</head>
=> Bạn có thể thấy rõ mã HTML của website bằng công cụ curl get về bởi vì nó không hề bị một sự thách thức hoặc kiểm tra nào bởi vDDoS Proxy

2. http://cloudflare-web.i-com.cf:8080 (Traffic proxy đi thông qua Cloudflare's CDN)
Code:
[root@attacker ~ ]# curl -L http://cloudflare-web.i-com.cf:8080
<!DOCTYPE html>
<html lang="en-gb" dir="ltr">
<head>
        <meta name="viewport" content="width=device-width, initial-scale=1.0" />
                <meta charset="utf-8" />
        <base href="http://cloudflare-web.i-com.cf:8080/" />
        <meta name="generator" content="Joomla! - Open Source Content Management" />
        <title>Home</title>
        <link href="/index.php?format=feed&amp;type=rss" rel="alternate" type="application/rss+xml" title="RSS 2.0" />
        <link href="/index.php?format=feed&amp;type=atom" rel="alternate" type="application/atom+xml" title="Atom 1.0" />
        <link href="/templates/protostar/favicon.ico" rel="shortcut icon" type="image/vnd.microsoft.icon" />
        <link href="http://cloudflare-web.i-com.cf:8080/index.php/component/search/?Itemid=435&amp;format=opensearch" rel="search" title="Search joomla" type="application/opensearchdescription+xml" />
        <link href="/templates/protostar/css/template.css?b07c885111c1b29246c60f35646efe84" rel="stylesheet" />
        <link href="//fonts.googleapis.com/css?family=Open+Sans" rel="stylesheet" />
        <style>
</head>
=> Cloudflare mặc định thì không thử thách công cụ của bạn khi công cụ ấy tiếp xúc với website cộng với việc vDDoS Proxy cũng không có mặt để đưa ra thách thức kiểm tra thế nên bạn cũng vẫn có thể thấy source HTML của trang web bằng công cụ curl mặc dầu nó đi xuyên qua CDN của CloudFlare.

1. http://cloudflare-vddos-web.i-com.cf:80 (Traffic proxy đi thông qua Cloudflare's CDN & vDDoS Proxy)

Code:
[root@attacker ~ ]# curl -L http://cloudflare-vddos-web.i-com.cf:80

<html><body><script type="text/javascript" src="/aes.min.js" ></script><script>function toNumbers(d){var e=[];d.replace(/(..)/g,function(d){e.push(parseInt(d,16))});return e}function toHex(){for(var d=[],d=1==arguments.length&&arguments[0].constructor==Array?arguments[0]:arguments,e="",f=0;f<d.length;f++)e+=(16>d[f]?"0":"")+d[f].toString(16);return e.toLowerCase()}var a=toNumbers("f9c5842006d8c3552b5dba4d25c2c8b2"),b=toNumbers("ad396baa8934584ef179ae25af75b6b2"),c=toNumbers("4d5571fddc3d46ce22abf0636806b0aa");document.cookie="vDDoS="+toHex(slowAES.decrypt(c,2,a,b))+"; expires=Thu, 31-Dec-37 23:55:55 GMT; path=/";location.href="http://cloudflare-vddos-web.i-com.cf/?d=1";</script></body></html>
=> Có thể thấy trong trường hợp này bạn đã không thể vượt qua sự kiểm tra của vDDoS Proxy bởi vì curl không phải là một trình duyệt đầy đủ để mà có thể xử lý được mã javascript mà vDDoS Proxy đưa ra trong bài test: "browser hay tool?"


3. http://vddos-web.i-com.cf:8081 (Traffic proxy đi thông qua vDDoS Proxy)
Code:
[root@attacker ~ ]# curl -L http://vddos-web.i-com.cf:8081

<html><body><script type="text/javascript" src="/aes.min.js" ></script><script>function toNumbers(d){var e=[];d.replace(/(..)/g,function(d){e.push(parseInt(d,16))});return e}function toHex(){for(var d=[],d=1==arguments.length&&arguments[0].constructor==Array?arguments[0]:arguments,e="",f=0;f<d.length;f++)e+=(16>d[f]?"0":"")+d[f].toString(16);return e.toLowerCase()}var a=toNumbers("7187a67c06c01ec70fa705e69c985366"),b=toNumbers("d5ae1b31d36068285e139d0823c8f490"),c=toNumbers("2849732479830475c796dd532ebee31e");document.cookie="vDDoS="+toHex(slowAES.decrypt(c,2,a,b))+"; expires=Thu, 31-Dec-37 23:55:55 GMT; path=/";location.href="http://vddos-web.i-com.cf:8081/?d=1";</script></body></html>
=> Cũng tương tự kết quả ở trên bạn đã không thể vượt qua sự kiểm tra của vDDoS Proxy bởi vì curl không phải là một trình duyệt đầy đủ như đã đề cập.

Kết thúc bước 1.

Bước 2: chúng ta sẽ cố gắn dùng một công cụ để truy vấn liên hồi giả lập một ý định tấn công từ chối dịch vụ vào 4 website mục tiêu trên (dùng một số tools nào đó có khả năng làm việc này như HTTP benchmark hoặc DOS, SYN, HTTP flood... mà bạn vẫn thường hay sử dụng để DOS site người khác ấy ^^).
Mình sẽ tiến hành tấn công ở mỗi trường hợp như sau và đưa ra kết quả tương ứng có tấn công được và được gì hay không:

4. http://direct-web.i-com.cf:8082 (Kết nối trực tiếp vào Web Server Apache)
Code:
[root@attacker ~ ]# Attack ->->->-> http://direct-web.i-com.cf:8082
=> Bạn sẽ thấy ngay tình trạng High load trên các tài nguyên cpu + ram + bw ... bởi vì không có một sự giảm thiểu kiểm tra hay thách thức nào từ Web Server Apache:





2. http://cloudflare-web.i-com.cf:8080 (Traffic proxy đi thông qua Cloudflare's CDN)
Code:
[root@attacker ~ ]# Attack ->->->-> http://cloudflare-web.i-com.cf:8080
=> Đối với các công cụ tấn công SYN vào Layer 3-4 cũng không có gì xảy ra, vì bạn chỉ đang tấn công vào IP của Cloudflare, tuy nhiên khi dùng công cụ tấn công Layer 7 thì tình trạng tương tự bên trên sẽ diễn ra trên trang web mục tiêu: high load trên các tài nguyên cpu + ram + bw ...





3. http://vddos-web.i-com.cf:8081 (Traffic proxy đi thông qua vDDoS Proxy)
Code:
[root@attacker ~ ]# Attack ->->->-> http://vddos-web.i-com.cf:8081
=> Công cụ tấn công không vượt qua được sự kiểm tra của vDDoS Proxy -> Apache httpd daemon không bị high load:





1. http://cloudflare-vddos-web.i-com.cf:80 (Traffic proxy đi thông qua Cloudflare's CDN & vDDoS Proxy)
Code:
[root@attacker ~ ]# Attack ->->->-> http://cloudflare-vddos-web.i-com.cf:80
=> Tương tự bên trên công cụ tấn công không vượt qua được sự kiểm tra của vDDoS Proxy -> Apache httpd daemon không bị high load:





Nếu bạn không có công cụ nào để tấn công mình đề nghị có thể dùng ab rất đơn giản (là một tools HTTP benchmark) để test thử:
Code:
ab -n100000 -c500 http://direct-web.i-com.cf:8082/ # High load
ab -n100000 -c500 http://cloudflare-web.i-com.cf:8080/ # High load

ab -n100000 -c500 http://vddos-web.i-com.cf:8081/ # Bình thường
ab -n100000 -c500 http://cloudflare-vddos-web.i-com.cf:80/ # Bình thường

Bước 3: Tất nhiên là những gì diễn ra bên trên nãy giờ chỉ là một bài test với trường hợp 1 Attacker Server đấu với 1 Target Server. Chuyện gì sẽ xảy ra nếu hơn >1000 Attacker Server đấu với 1 Target Server?
Theo như nguyên lý hoạt động mình đã mô tả về vDDoS Proxy tất nhiên nó cũng sẽ không cho hơn >1000 Bots đó vượt qua bài test chỉ vì chúng quá đông, không bao giờ (trừ phi số bots đó xử lý được javascript), nhưng nếu quá nhiều bots tấn công đồng loạt vào server của bạn -> máy chủ của bạn vẫn sẽ bị high load lý do là vì dành tốn thời gian để đưa ra bài test cho cái bọn hơn >1000 con bots đó. Bởi do đó, bạn nên gửi danh sách hơn >1000 Bots (IP Address/Dãy IP Range của tụi nó) tới các công cụ ở Layer 3-4 để cho nó BLOCK/DROP nó luôn (đó có thể là Hardware Firewall, Iptables, CloudFlare Firewall... vâng vâng) tùy theo mô hình mà bạn đang muốn xây dựng.





Làm sao có thể làm được điều trên?





Câu trả lời là sau khi cài xong vDDoS Proxy Protection có thể cài thêm vDDoS Layer4 Mapping: https://github.com/duy13/vDDoS-Layer4-Mapping
Công cụ này sẽ giúp cho Layer 3-4 của bạn có một danh sách IP cụ thể để DROP/CAPTCHA nó từ xa ở Layer 3-4 trước khi gói tin đó được chuyển lên các tầng trên trong mô hình OSI nữa để xử lý.

Install vDDoS Layer4 Mapping:
Code:
[root@attacker ~ ]# curl -L https://github.com/duy13/vDDoS-Layer4-Mapping/raw/master/vddos-layer4-mapping -o /usr/bin/vddos-layer4
chmod 700 /usr/bin/vddos-layer4
/usr/bin/vddos-layer4

Nếu bạn đang ý định dùng CloudFlare:
Code:
Đăng nhập vào CloudFlare.com > Add Your Website > Overview > Zone ID (Lấy Zone ID của bạn)
Email > My Setting > API Key > Global API Key > View API Key (Lấy API Key của bạn)

Nếu bạn dùng kết nối trực tiếp, chặn IP bằng CSF & Iptables:
Homepage: https://configserver.com/cp/csf.html
Cài CSF như sau:
Code:
cd /usr/src/
wget 'https://download.configserver.com/csf.tgz'
tar -xvf csf.tgz
cd csf
sh install.sh
chkconfig --levels 235 csf on
chkconfig --levels 235 lfd on

Cấu hình CSF (tùy theo cách cấu hình mà bạn vẫn hay dùng với CSF):
Code:
cd /etc/csf/
sed -i 's/TESTING = "1"/TESTING = "0"/g' /etc/csf/csf.conf

Restart CSF:
Code:
csf -r && csf -q && service lfd restart

Để sử dụng vDDoS-Layer4-Mapping bạn gõ:
Code:
/usr/bin/vddos-layer4
(Chọn tùy chọn 2 hoặc 5 tùy vào ý định của bạn)

OK bây giờ, Ở bước 4: chúng ta sẽ lặp lại bước 2 một lần nữa, đó là cố gắn dùng công cụ tấn công tẩn vào các mục tiêu website xem chuyện gì sẽ xảy ra khi mà có mặt vDDoS-Layer4-Mapping đang chạy và scan:

3. http://vddos-web.i-com.cf:8081 (Traffic proxy đi thông qua vDDoS Proxy)
Code:
[root@attacker ~ ]# Attack ->->->-> http://vddos-web.i-com.cf:8081
=> Cũng vẫn như cũ: không thể vượt qua bài kiểm tra của vDDoS Proxy -> Apache httpd daemon vẫn không high load. Tuy nhiên khi kiểm tra file /etc/csf/csf.deny bạn sẽ thấy Ip của Attacker đã bị CSF khóa mất:
Code:
[root@www ] cat /etc/csf/csf.deny
54.164.194.1
1. http://cloudflare-vddos-web.i-com.cf:80 (Traffic proxy đi thông qua Cloudflare's CDN & vDDoS Proxy)
Code:
[root@attacker ~ ]# Attack ->->->-> http://cloudflare-vddos-web.i-com.cf:80
=> Cũng vẫn như cũ: không thể vượt qua bài kiểm tra của vDDoS Proxy -> Apache httpd daemon vẫn không high load. Tuy nhiên khi kiểm tra qua trang Cloudflare Firewall bạn sẽ thấy IP Address của Attacker Server đã bị vDDoS-Layer4-Mapping gửi cho CloudFlare khóa lại buộc nhập CAPTCHA mới cho qua:





Cuối cùng bước 5: Nếu như không may, bạn đang phải nằm dưới một trận tấn công không thể tin nổi với số lượng IP tham gia tấn công lên tới vài trăm ngàn và chúng đều có thể vượt qua bài test Javascript của vDDoS Proxy => bạn có thể thử bật chức năng Captcha-All-Country Mode của vDDoS Layer4 Mapping. Nó sẽ khiến CloudFlare bật CAPTCHA cho 251 quốc gia trên toàn thế giới => việc này tuy sẽ gây một chút bất tiện cho người dùng khi vào web phải qua CAPTCHA tuy nhiên nó sẽ giúp giữ sự sống còn cho trang bạn. (Nhớ thêm Whitelist cho các botsearch).

Chúc bạn may mắn!

Cám ơn bạn Duy-CEH

http://2.bp.blogspot.com/-kSOFggsYY-k/U7Fp7boH1zI/AAAAAAAAF48/Sisj5VAOQgw/s1600/Download+Key4VIP.info.png
Nếu bạn thấy bài viết có ích hãy Click LIKE ủng hộ Fanpage của chúng tôi như 1 lời động viên và chúng tôi thêm động lực Share thêm nhiều hơn nữa:

Fanpage: https://www.facebook.com/Key4VIP.info/
 www.Key4VIP.info - Dịch vụ bán key bản quyền Windows Xp-Windows 7-Windows 8.1 -Windows 10,Office 2010 Standard và Pro Plus,Office 2013 Pro Plus,Office 2016 Pro Plus cho cả 32 Bit và 64 Bit giá rẻ.Bản quyền Windows Server 2008 R2 Standard - Enterprisse - Web Edition - Datacenter bảo hành Vĩnh Viễn. Windows Server 2012 và R2 các bản Standard - Datacenter. Các ứng dụng máy chủ như SQL Server,SharePoint Server,Kaspersky Server,Exchange Server 2010 - 2013 và 2016.
Bản quyền diệt Virus Kaspersky - Bitdefender - Avast Internet - Trendmicro..............................................

Mr.Long - Hỗ trợ kỹ thuật,mua bán.
Phone: 0934.363.833 ( Viber,Zalo ) - Ưu tiên hỗ trợ qua số điện thoại trực tiếp để tránh mất thời gian tới 2 bên.
Skype: key4vip.info
Facebook : fb.com/KillKook
Fanpage: https://www.FB.com/Key4VIP.info/

Email: CD4pro@gmail.com

Hướng dẫn mua License các bạn cũng có thể tham khảo tại www.Key4VIP.info




CHÚNG TÔI chào mừng người có THIỆN CHÍ - CÓ VĂN HÓA.
(Vui lòng không nhắn tin .Và Call nếu bạn không liên hệ qua Yahoo được.).Vui lòng Click vào đây trước khi bạn có ý muốn giao dịch với Key4VIP.info.Thân mến!


Chú ý: Chỉ trừ 1 số tài liệu đặc biệt và quý chúng tôi thu phí để duy trì Website ( Trả phí Account lưu trữ,VPS....) .Còn lại 99% CHÚNG TÔI CHIA SẺ MIỄN PHÍ.Các bạn nên trân trọng điều đó để đảm bảo tính chia sẻ dài lâu.
Chống DDOS cho WEBSITE: Hướng dẫn cài đặt vDDoS Proxy Protection và vDDoS Layer4 Mapping chống DDOS, ANTIDOS, Flood, SYN... cho WEB SERVER Reviewed by Phùng Hữu Long on 11:15:00 Rating: 5 Tiếp theo bài lần trước: Cài đặt vDDoS Proxy Protection Xin chào các bạn, trong bài hướng dẫn n...

No comments:

Note: only a member of this blog may post a comment.