Gần đây (kể từ ngày 27/9) máy mình bắt đầu báo bị tấn công DDos. Máy dùng KIS 7.0 và cứ sau 20h đêm là xuất hiện các cảnh báo của KIS như sau (mình chỉ đưa ra một số thôi):

10/3/2008 1:45:44 AM DoS.Generic.ICMPFlood! Attacker's IP address: 58.186.185.3. Protocol/service: ICMP . Time: 10/3/2008 1:45:44 AM
10/3/2008 1:45:44 AM DoS.Generic.ICMPFlood! Attacker's IP address: 222.254.193.199. Protocol/service: ICMP . Time: 10/3/2008 1:45:44 AM
10/3/2008 1:45:44 AM DoS.Generic.ICMPFlood! Attacker's IP address: 58.186.137.97. Protocol/service: ICMP . Time: 10/3/2008 1:45:44 AM
10/3/2008 1:45:58 AM DoS.Generic.ICMPFlood! Attacker's IP address: 118.68.248.178. Protocol/service: ICMP . Time: 10/3/2008 1:45:58 AM
10/3/2008 1:45:58 AM DoS.Generic.ICMPFlood! Attacker's IP address: 118.68.250.154. Protocol/service: ICMP . Time: 10/3/2008 1:45:58 AM
10/3/2008 1:45:58 AM DoS.Generic.ICMPFlood! Attacker's IP address: 118.68.250.49. Protocol/service: ICMP . Time: 10/3/2008 1:45:58 AM
10/3/2008 1:58:25 AM DoS.Generic.SYNFlood! Attacker's IP address: 118.68.240.199. Protocol/service: TCP on local port 2967. Time: 10/3/2008 1:58:25 AM
10/3/2008 2:03:14 AM DoS.Generic.ICMPFlood! Attacker's IP address: 58.186.137.76. Protocol/service: ICMP . Time: 10/3/2008 2:03:14 AM
10/3/2008 2:03:14 AM DoS.Generic.ICMPFlood! Attacker's IP address: 58.186.185.13. Protocol/service: ICMP . Time: 10/3/2008 2:03:14 AM
10/3/2008 2:06:29 AM DoS.Generic.SYNFlood! Attacker's IP address: 58.186.185.13. Protocol/service: TCP on local port 1433. Time: 10/3/2008 2:06:29 AM
10/3/2008 2:06:29 AM DoS.Generic.SYNFlood! Attacker's IP address: 58.186.137.76. Protocol/service: TCP on local port 1433. Time: 10/3/2008 2:06:29 AM
10/3/2008 2:07:03 AM DoS.Generic.SYNFlood! Attacker's IP address: 58.215.93.7. Protocol/service: TCP on local port 2967. Time: 10/3/2008 2:07:03 AM
10/3/2008 2:22:25 AM DoS.Generic.ICMPFlood! Attacker's IP address: 58.186.185.48. Protocol/service: ICMP . Time: 10/3/2008 2:22:25 AM
10/3/2008 2:22:25 AM DoS.Generic.ICMPFlood! Attacker's IP address: 58.186.74.13. Protocol/service: ICMP . Time: 10/3/2008 2:22:25 AM
10/3/2008 2:22:25 AM DoS.Generic.ICMPFlood! Attacker's IP address: 118.69.18.30. Protocol/service: ICMP . Time: 10/3/2008 2:22:25 AM


Sau khi thực hiện Whois một số IP mình thấy chúng đều được cấp bởi Asia Pacific Network Information Centre (APNIC) sau đó tiếp tục vào APNIC để kiểm tra mình có một số thông tin về các một số IP như sau:

222.254.193.199

inetnum: 222.254.144.0 - 222.254.207.255
netname: HCMPT-NET
country: vn
descr: HoChiMinh City Post and Telecom Company
admin-c: NG102-AP
tech-c: DQ79-AP
status: ALLOCATED NON-PORTABLE
changed: hm-changed@vnnic.net.vn 20070511
mnt-by: MAINT-VN-VNPT
source: APNIC
person: Nguyen Giang Do
nic-hdl: NG102-AP
e-mail: giangdo@hcmpt.com.vn
address: 125 Hai Ba Trung, Dist 1, HCMC
phone: +84-882-46476
fax-no: +84-882-46482
country: vn
changed: hm-changed@vnnic.net.vn 20061025
mnt-by: MAINT-VN-VNPT
source: APNIC
person: Duong Quoc Viet
nic-hdl: DQ79-AP
e-mail: quocviet@hcmpt.com.vn
address: 125 Hai Ba Trung, Dist1, HCMC
phone: +84-882-46480
fax-no: +84-882-46482
country: vn
changed: hm-changed@vnnic.net.vn 20061025
mnt-by: MAINT-VN-VNPT
source: APNI

58.215.93.7

inetnum: 58.208.0.0 - 58.223.255.255
netname: CHINANET-JS
descr: CHINANET jiangsu province network
descr: China Telecom
descr: A12,Xin-Jie-Kou-Wai Street
descr: Beijing 100088
country: CN
admin-c: CH93-AP
tech-c: CJ186-AP
mnt-by: APNIC-HM
mnt-lower: MAINT-CHINANET-JS
mnt-routes: MAINT-CHINANET-JS
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
remarks: This object can only be updated by APNIC hostmasters.
remarks: To update this object, please contact APNIC
remarks: hostmasters and include your organisation's account
remarks: name in the subject line.
remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+
status: ALLOCATED PORTABLE
changed: hm-changed@apnic.net 20050624
source: APNIC
role: CHINANET JIANGSU
address: No.268,Hanzhong Road,Nanjing 210029
country: CN
phone: +86-25-6588783
fax-no: +86-25-6588740
e-mail: ip@jsinfo.net
trouble: send anti-spam reports to spam@jsinfo.net
trouble: send abuse reports to abuse@jsinfo.net
trouble: times in GMT+8
admin-c: CH360-AP
tech-c: CS306-AP
tech-c: CN142-AP
nic-hdl: CJ186-AP
remarks: www.jsinfo.net
notify: ip@jsinfo.net
mnt-by: MAINT-CHINANET-JS
changed: dns@ptt.js.cn 20020530
changed: ip@jsinfo.net 20021213
source: APNIC
person: Chinanet Hostmaster
nic-hdl: CH93-AP
e-mail: anti-spam@ns.chinanet.cn.net
address: No.31 ,jingrong street,beijing
address: 100032
phone: +86-10-58501724
fax-no: +86-10-58501724
country: CN
changed: dingsy@cndata.com 20070416
mnt-by: MAINT-CHINANET
source: APNIC

58.186.137.76

inetnum: 58.186.128.0 - 58.186.143.255
netname: FPT-NET
country: VN
descr: IP range for FPT Broadband Service
descr: 75 Tran Hung Dao, Hoan Kiem, Ha Noi
admin-c: LPC5-AP
tech-c: LPC5-AP
status: ASSIGNED NON-PORTABLE
remarks: For spamming matters, mail to abuse@fpt.vn
changed: hm-changed@vnnic.net.vn 20051130
mnt-by: MAINT-VN-FPT
source: APNIC
person: Liem Pham Cong
nic-hdl: LPC5-AP
e-mail: liempc@fpt.net
address: FPT Telecom
address: 66-68 Vo Van Tan, Dist 3, HCMC
phone: +84-8-9301280
country: VN
changed: hm-changed@vnnic.net.vn 20080128
mnt-by: MAINT-VN-FPT
source: APNIC

58.186.185.13

inetnum: 58.186.176.0 - 58.186.191.255
netname: FPT-NET
country: VN
descr: IP range for FPT Broadband Service
descr: 75 Tran Hung Dao, Hoan Kiem, Ha Noi
admin-c: LPC5-AP
tech-c: LPC5-AP
status: ASSIGNED NON-PORTABLE
remarks: For spamming matters, mail to abuse@fpt.vn
changed: hm-changed@vnnic.net.vn 20051130
mnt-by: MAINT-VN-FPT
source: APNIC
person: Liem Pham Cong
nic-hdl: LPC5-AP
e-mail: liempc@fpt.net
address: FPT Telecom
address: 66-68 Vo Van Tan, Dist 3, HCMC
phone: +84-8-9301280
country: VN
changed: hm-changed@vnnic.net.vn 20080128
mnt-by: MAINT-VN-FPT
source: APNIC

118.68.248.178

inetnum: 118.68.0.0 - 118.68.255.255
netname: IPxDSL-NET
country: vn
descr: Dai IP dong su dung cho ket noi xDSL
admin-c: FHIG2-AP
tech-c: FHIG2-AP
status: ALLOCATED NON-PORTABLE
changed: hm-changed@vnnic.net.vn 20080411
mnt-by: MAINT-VN-FPT
source: APNIC
role: FPT HCMC IPADMIN GROUP
address: 66-68 Vo Van Tan
address: HCMC
country: VN
phone: +84-8-9301280
fax-no: +84-4-7262163
e-mail: abuse@hcm.fpt.vn
trouble: send spam reports to abuse@hcm.fpt.vn
trouble: and abuse reports to abuse@hcm.fpt.vn
admin-c: LPC5-AP
tech-c: LTVL1-AP
nic-hdl: FHIG2-AP
notify: hm-changed@vnnic.net.vn
mnt-by: MAINT-VN-FPT
changed: hm-changed@vnnic.net.vn 20080128
source: APNIC

Đây là mình mới chỉ kiểm tra một số IP. Tất cả đều liên quan tới FPT (mình xài ADSL của FPT, chỉ có một IP từ Trung Quốc). Mình ko rành lắm về vấn đề DDos, nhưng theo mình hiểu và cảnh báo của KIS thì máy mình bị DDos, vậy tại sao lại bị tấn công từ IP của FPT. Mỗi lần như vậy tốc độ net chậm hẳn lại rõ rệt. Bạn nào có thể giải thích và chỉ mình cách khắc phục được không? Xin cám ơn!

[=========> Bổ sung bài viết <=========]

hix! Sao ko thấy ai ra tay giúp hết nè?

Thử copy ba cái vớ vẩn trên mạng chơi:

1. Giới thiệu:
Hiện giờ tình trạng ddos ngày càng diễn ra nhiều, nhất là khi nhiều script ddos đang được phổ biến. Trong đó ddos bằng flash là kiểu hay gặp nhất.
Script chống ddos này sẽ rất hiệu quả trong việc hạn chế hậu quả của ddos, làm giảm rất nhiều tác động của ddos. Tôi đã dùng từ lâu rồi - nhiều lần không vào được website do bị ddos, nhưng bật script này lên vài phút là có thể vào lại được! Một trong những diễn đàn tin học lớn nhất Việt Nam - Diễn Đàn Tin Học - Powered by vBulletin, sau nhiều lần bị ddos cũng phải bảo vệ site họ bằng biện pháp tương tự như script này thực hiện.

- Bất tiện khi sử dụng script này: Khách vào website bạn không thể truy cập vào ngay trang chủ mà phải click vào một link mới vào được.
- Tiện lợi: Việc bật tắt script rất đơn giản, bạn chỉ việc chỉnh sửa đúng một ký tự là có thể bật tắt script. Do đó thời gian nào website của bạn hay bị ddos thì hãy bật script này lên, lúc nào gió yên biển lặng thì lại tắt đi

2. Cách thiết lập:
Download file nén về & giải nén ra, trong đó có file antidos.php. Bạn mở ra và sửa các thiết lập cho file này:

$level = 1;

Chọn 1 trong hai giá trị cho $level: 1 hoặc 2
- Nếu chọn 1: Để truy cập trực tiếp vào site bạn, người dùng phải click vào một link trên một website nào đó, nếu không sẽ được đưa vào một trang trên đó có một link để vào site bạn
- Nếu chọn 2: Để truy cập trực tiếp vào site bạn, người dùng phải click vào một link trên chính website của bạn, nếu không sẽ được đưa vào một trang trên đó có một link để vào site bạn.
Nếu bạn chọn 2 thì bạn phải điền tên miền của bạn ở phần sau:
$yoursite = "mysite.com";

* Để chống ddos thông thường chỉ cần để $level = 1 là đủ, để = 2 sẽ bất tiện hơn một chút cho người xem đến với website bạn từ các website khác.

$scheme = 1;

Chọn 1 trong hai giá trị cho $scheme: 1 hoặc 2

- Chọn 1: Điều chỉnh bật/ tắt chống ddos bằng cách edit trực tiếp trên file này.
Nếu bạn chọn 1 thì bạn sẽ phải thiết lập phần sau:

$antidos = 1;

Chọn 1 để bật chống ddos, 0 để tắt.
Vì nhiều khi server mới bị ddos, mặc dù vào website chậm hoặc không vào được nhưng vẫn kết nối ftp được thì bạn có thể vào host bạn và sửa giá trị của phần này để bật chống ddos. Tuy nhiên, thường thì khi đã bị ddos một lúc lâu và site đã down, bạn không thể vào host để chỉnh sửa được nữa, do đó bạn nên chọn $scheme = 2...

- Nếu chọn 2: Điều chỉnh bật/ tắt chống ddos từ một file trên một host khác!
Khi website bạn bị ddos và bạn muốn bật chống ddos, trong khi bạn lại không thể vào host bạn, thì bạn chỉ việc sửa một file khác đặt trên một host khác để bật chống ddos. Do đó nếu chọn $scheme = 2 thì bạn sẽ phải thiết lập phần sau:

$determiner = "http://anothersite.com/determiner.txt";

Đây là đường dẫn tới file mà sẽ quyết định bật hay tắt chống ddos: để bật chống ddos, bạn chỉ cần mở file determiner.txt trên host đó và nhập vào đó số "1". Còn để tắt chống ddos thì bạn chỉ cần xóa số 1 đi! Rất đơn giản & nhanh gọn phải ko.
Bạn có thể kiếm một host free để đặt file text quy định việc bật tắt chống ddos này.

Nếu host chứa file này die và không thể truy cập vào file text này thì sao? Lúc đó script chống ddos sẽ được bật theo mặc định, do đó nếu host chứa file text này không ổn định, lúc tốt lúc die thì cũng không sao

3. Cách sử dụng:

Upload file antidos.php lên host của bạn, rồi ở tất cả các file php trên website của bạn (hoặc ít ra là những file php mà nhiều người biết và truy cập vào) chèn đoạn mã sau vào ĐẦU file - trước tất cả các nội dung khác:

PHP Code:
<?php
require("antidos.php");
?>

Tùy vào vị trí tương đối của file php mà bạn chèn đoạn mã trên vào so với file antidos.php mà bạn sẽ phải chỉnh sửa đoạn mã trên. Vd: nếu bạn upload file antidos.php vào thư mục /public_html/ ( /public_html/antidos.php ) và đường dẫn tới file php mà bạn muốn bảo vệ là /public_html/forums/index.php thì bạn sẽ phải thay đoạn code trên thành:

PHP Code:
<?php
require("../antidos.php");
?>

Trang web với định dạng html hay htm không thể sử dụng đoạn code trên được, bạn phải đổi đuôi file thành php mới có thể sử dụng được (việc đổi định dạng file html sang php sẽ không ảnh hưởng gì tới nội dung trang web đó)



File antidos.php chỉ là một script đơn giản, và cách thức chống ddos bằng cách kiểm tra referer cũng không có gì là mới cả, nhưng sự thật là rất ít admin biết tới cũng như áp dụng cách bảo vệ này (tôi cũng đã hỏi nhiều người), trong khi chúng ta lại cứ tìm kiếm những cách thức khác phức tạp hơn. Ít ra đây cũng là một biện pháp tạm thời khá hiệu quả trong việc hạn chế tác động của ddos (nếu ddos cường độ mạnh thì tất nhiên là không cách gì chống nổi nếu không có phần cứng đủ mạnh cũng như server ko được bảo mật cao) trong khi chúng ta chưa tìm ra được biện pháp nào thật sự hiệu quả hơn.

Hì! Thanks pro! Nhưng mà đây là cách chống DDos cho webserver hay hosting, website. Còn đây là máy tính của mình báo bị Ddos. Máy tính của mình chỉa xài cá nhân thôi, ko có làm có cài webserver hay mạng Lan gì hết. Chỉ có kết nối Internet! Lúc đâu mình tưởng máy mình bị dùng làm Zoombie, nhưng mà ko phải, KIS báo chính máy bị Ddos. Mình xài laptop, line ADSL của FPT, có cả wifi . Dưới nhà có một máy bàn nữa, hình như nó cũng bị. Ai giúp dùm với nhé!

Ủa? Làm sao mà nó bò qua được cái route của bạn vào thẳng máy bạn nhỉ?
Moderm của bạn có mở cổng nào vô máy của bạn không? Mà mỗi lần bị vậy reset moderm nó cấp IP mới cho khỏe :D

Shellingfox! tên này của Sir Home thì phải nhỉ ^_^. Moderm mình có 4 line! Một line cho máy dưới nhà. Một line cho TV Box (xem tivi ) của FPT luôn, một line máy mình nhưng mình toàn dùng wifi, hầu như ko dùng line này. Mình thử reset moderm rồi! Dù Ip mới nó vẫn bị, mỗi lần bị là tốc độ máy "rùa" hẳn!

bạn nên xem lại moderm, chắc chắn bị open port rồi (nghĩ đến nếu chưa thay pass mặc định của moderm)
Protocol/service: TCP on local port 2967

reset lại modem (lỗ nhỏ nhỏ đằng sau đó), change pass mặc định. Bật chức năng block computer attact cho KIS. nếu vẫn còn bị thì phải report bên FPT

trường hợp bạn đã reset modem, đổi pass mặc định mà vẫn bị dos chứng tỏ máy bạn đã nhiểm 1 con backdoor. con này nó sẽ tự mở cổng máy bạn, và báo IP mới của bạn cho người ddos. nếu quét ko dc bạn nên setup lại máy

Đúng ròi, biết đâu bạn đang là zombie DDOS BKAV cũng nên :).

Chuyên môn thì ko dám múa... Khuyên bạn 1 câu : coi chừng thằng bạn cùng phòng....

Đã lâu không vào lại!Mới đi một thời gian về! Tối nay sẽ xem xét lại modem và port xem sao! Cảm ơn các pro.
To ruckus : Mình ko có bạn cùng phòng đâu! (em còn phòng không ạ! ^_^)

email o cty minh su dung ***@vnn.vn bi nhu noi dung ben duoi khi moi sang check mail, mo len thay ben trong la noi dung quang cao dinh kem. Khong biet co phai bi DDOS hay bi spam, pro nao bit chi cach khac phuc dum, minh da lien ben netsof nhung ho cung kg giup duoc gi


From Subject Received Size
Mail Delivery Service Delivery Status Notification 4:25 AM 15 KB
Mail Delivery Service Delivery Status Notification 4:24 AM 15 KB
Mail Delivery Service Delivery Status Notification 4:24 AM 15 KB
Mail Delivery Service Delivery Status Notification 4:24 AM 15 KB
Mail Delivery Service Delivery Status Notification 4:23 AM 15 KB
Mail Delivery Service Delivery Status Notification 4:23 AM 15 KB
Mail Delivery Service Delivery Status Notification 4:23 AM 15 KB
Mail Delivery Service Delivery Status Notification 4:23 AM 15 KB
Mail Delivery Service Delivery Status Notification 4:23 AM 15 KB
Mail Delivery Service Delivery Status Notification 4:16 AM 15 KB
Mail Delivery Service Delivery Status Notification 4:15 AM 15 KB
Mail Delivery Service Delivery Status Notification 4:14 AM 15 KB
Mail Delivery Service Delivery Status Notification 4:14 AM 15 KB
Mail Delivery Service Delivery Status Notification 4:14 AM 15 KB
Mail Delivery Service Delivery Status Notification 4:09 AM 15 KB
Mail Delivery Service Delivery Status Notification 4:09 AM 15 KB
Mail Delivery Service Delivery Status Notification 4:05 AM 15 KB
Mail Delivery Service Delivery Status Notification 4:05 AM 15 KB
Mail Delivery Service Delivery Status Notification 3:51 AM 15 KB
postmaster@newsint.co.uk Delivery Status Notification (Failure) 3:50 AM 16 KB
Mail Delivery Service Delivery Status Notification 3:50 AM 15 KB
postmaster@newsint.co.uk Delivery Status Notification (Failure) 3:50 AM 16 KB
postmaster@newsint.co.uk Delivery Status Notification (Failure) 3:50 AM 16 KB
Mail Delivery Service Delivery Status Notification 3:50 AM 15 KB
Mail Delivery Service Delivery Status Notification 3:50 AM 15 KB
Mail Delivery Service Delivery Status Notification 3:49 AM 15 KB
Mail Delivery Service Delivery Status Notification 3:49 AM 15 KB
Mail Delivery Service Delivery Status Notification 3:48 AM 15 KB

neu em ma biet lam may cái trò này em cũng làm cho roài ha ha

Hi all ! Mình có 1 câu hỏi muốn hỏi mọi người rất mong được chỉ bảo: Minh có 1 tiệm Net có cài đặt các game online, offline và tính tiền bằng Easycafe trước đây hoạt động rất tốt. Nhưng thời gian gần đây (Khoảng 2 tuần trước) nó có hiện tượng chơi game rất giật, đang chơi thì bị disconnect, nhiều khi đang dùng thì nó thoát ra màn hình chờ của Easycafe. Mình đã thử xóa hết tất cả đi cài đặt lại windows, game và cả phần mềm tính tiền nữa nhưng vẫn bị tình trang trên. Đến jo thì bó tay rùi, mong được các bạn chỉ bảo cách khắc phục

Bác xem lại cái modem xem sao, với lại đường truyền, cái switch nữa.
Có khi có thằng nào vào phá bác không chừng.

À, hay là bạn thử download firewall về dùng thử, cũng chặn ddos khá tốt đó, mình hôm nọ bị ddos cài thằng PC Tools Firewall về dùng nó cũng ngăn chặn mấy cái vụ đó lại, link một số bức tường lửa:
ZoneAlrms: http://www.download.com/ZoneAlarm-Firewall-Windows-2000-XP-/3000-10435_4-10039884.html
PC Tools Firewall: http://www.mediafire.com/?nhxtjovnqmu
Smootwall: http://jaist.dl.sourceforge.net/sourceforge/smoothwall/smoothwall-express-3.0-i386.iso
SoftPerfect Personal Firewall: http://www.download.com/SoftPerfect-Personal-Firewall/3000-10435_4-10313692.html?tag=lst-1&cdlPid=10386958

Xin lỗi mọi người vì lợi ích chung tui phải tuyên truyền diều này :
bọn Tàu chỉ giỏi trò phá hoại , tui mà là dân Tàu tui tự tử lâu rồi , nhục quá mà ,tảy chay bọn Tàu diiiii

máy mình dùng kis 2010 nó cũng báo gần giống bạn nhưng khác ở chỗ là bị tấn công từ các máy khác của công ty
vì mình không quản lý các máy dấy lên chỉ có cách phòng thủ thôi
đây là ảnh:
http://i280.photobucket.com/albums/kk185/dvdung1982/03-08-201011-40-42PM.jpg
bạn nào có cao kiến xin chỉ dùm cách khác phục toàn diện
và mình thấy là máy tính dạo này vào mạng chậm có lẽ là do mấy máy kia bị tấn công

mình bị DDOS, mình có thể chuyển nó sang link khác được ko nhỉ?
Vi dụ nếu IP truy cập là 65.52.32.122 thì chuyển tiếp về google.com :D