Chào mọi người,

Hiện site e đang bị DDOS,check netstat thì ra tầm vài trăm IP send request từ 50-500/IP,gây ra quá tải 2 chỉ số 'number of TCP connection' và 'Private of conteiner memory' (màu đỏ lòm trong VZ)

Sau đó e đã cài DDOS Flate và chỉ số TCP đã giảm xuống dưới mức báo động,nhưng chỉ số private vẫn đỏ lòm gây lỗi 500 internal server error.

E đã thử block hết cả đống IP(dùng cả htaccess và iptables) để xem thử thế nào,check log thì đã thấy những IP đó bị "denied by server" nhưng site vẫn đơ ko vào đc.E biết là ddos thì ko đỡ đc,nhưng theo e nghĩ,vs khoảng 100 IP,nếu mình block hết thì ít nhất site cũng phải hoạt động đc chứ nhỉ,mọi người ai có ý kiến help e với,thanks all

Chu trình tấn công ddos sẽ thực hiện bằng cách send hàng loạt các request tới 1 dịch vụ nào đó trên Server từ 1 hoặc nhiều IPs trong mạng LAN hoặc đến từ Internet.

Muốn cản các request này để hệ thống có thể hoạt động ổn định thì phải tiền xử lý gói tin ở PREROUTING (module NAT) trên IPTABLES như Server Linux bạn đang dùng, DROP các gói tin thuộc IP ddos này ngay trước khi nó đi xuyên qua và tới CHAINS INPUT (Module Filter). Nếu các gói tin đi tới tận INPUT(Filter) mới dùng Rules để DROP hay REJECT thì lúc này Các module liên quan trong kernel phải hoạt động khá tích cực (Contrack IP, File Descriptions v.v).
Mặc định các thông số đó sẽ config ở mức trung bình và rất thấp đối với các VPS do đó sẽ gây tràn bộ đệm làm ngưng trệ các dịch vụ như Apache, Mysql v.v vì các dịch vụ này rất phụ thuộc vào các tài nguyên đó.

Ngoài ra khi bị ddos/botnet ở cường độ cao thì các module như Software IRQ sẽ cần rất nhiều CPU để xử lý các connection đến INPUT(filter), nếu cpu ko đủ mà để ksoftirgd overload thì chắc chắn hệ thống sẽ bị ngập lụt và ko thể control được Server nữa, để quá lâu Kernel sẽ crash dẫn đến lỗi Kernel Panic và phải reboot cứng lại Server.

Trong khuôn khổ Reply nên mình không thể nói nhiều đến kỹ thuật debug gói tin mạng và cách đọc các thông số trên header gói tin để tìm ra sự bất hợp lý đối với các gói tin không lành mạnh từ đó có cơ chế loại bỏ nó trước khi nó kịp đi qua PREROUTING và đi sau vào trong.


Giải pháp xử lý các gói tin trên (ở mức đã biết đựoc IP ddos) thì hãy Discard gói tin ngay trên PREROUTING(Nat) thì sẽ đảm bảo loại bỏ các vấn đề gay ngập lụt hệ thống như mô tả ở trên, và băng thông mạng sẽ dừng lại ở trên kênh INPUT chứ không phải xuất ra kênh OUTPUT nữa.

Kỹ thuật Debug các TCP/UDP Connection khá phức tạp và cần có thời gian và thái độ nghiêm túc khi nghiên cứu nó thì kết quả thu được sẽ đáp ứng đủ các yêu cầu khắt khe của một hệ thống FW.

Bạn hãy nhớ rằng "Không có gì là không thể" và "Khiếm khuyết có thể bù đắp bằng thời gian và sự kiên trì"

Chúc bạn tìm ra hướng để xử lý mấy cái IP kia.

reset server, trỏ hết về chính phủ .vn xem sao