Share Code chống DDos của ddth.com

[VIETCOM]

Tóm lại là phải có VPS hoặc dedicated server để tự mình config thì mới đỡ được , chứ Host và Reseller thì ngậm gùi mà chờ chết .
Firewall code bằng Script PHP cũng sẽ làm server load tăng cao , chỉ hạn chế được 1 phần nhỏ chứ không đạt hiệu quả cao .

[U.F.O]

Còn nếu "web die à...kệ nó", thì bạn không cần phải đọc nguyên bài viết dài này làm gì nữa, vào www.potay.com giải trí thôi nào
--> Ặc trang này vào được nà . Cứ tưởng anh ý nói đùa ^_^
( làm thay dổi không khí tí . EM 0 có ý câu đâu.Khị khị)

[SieuHost.Com]

- 1 HTTP request đến 1 file bất kỳ trong server sẽ được "kiểm tra" trước xem đó là người dùng thật hay là x-flash tự động.

Như vậy sẽ phải có 1 bước kiểm tra và "phát thẻ", chỉ những ai có thẻ mới tiếp tục đi vào hết các khu vực khác của website.

Đó là lý do tại sao bạn phải "click vào đây" để đi tiếp vào DDTH. Xflash thì không thể "click" được

Đó là bước 1.

Bước 1 dùng htaccess chặn lại là xong

- Tiếp theo, phải làm sao để những HTTP request đó không ảnh hưởng đến MySQL, như vậy ta sẽ phải chặn ngay từ khi script PHP bắt đầu hoạt động. Tuy nhiên, vậy thì PHP cũng phải xử lý và cũng vẫn tốn tài nguyên như thường.

Sau 1 thời gian nghiên cứu, chúng tôi đưa ra được giải pháp chặn ngay từ Apache, tức là PHP cũng không phải chạy để xử lý request đầu tiên mà chỉ xử lý những request nào đã được kiểm tra.

- Tiếp theo nữa là build lại Apache 1 cách tối ưu nhất theo các hướng đã đề ra.

Bước 2: tuy giải thích nghe phức tạp nhưng thực hiện cực kì đơn giản. Nếu thực hiện phức tạp quá hóa ra apache phải làm việc nặng hơn cả PHP request sao

Cách này nói chung chỉ hạn chế ở mức DDOS từ website chứ nếu sử dùng botnet với khoảng 10000 connection thì apache cũng ngủm từ lâu.

[hansho]

Nói tóm lại là chẳng có biện pháp nào hoàn chỉnh trong thời gian này để chống ddos ? Source thì không thể share ? => Buồn !

[vikhoa]

Bước 1 dùng htaccess chặn lại là xong -> Đơn giản thế thôi sao?

1/ Gây phiền phức hơn nhiều cho người dùng, với 1 số người không biết thì họ sẽ bỏ qua luôn mà không gõ user/pass vào (mặc dù đã ghi sẵn trên form).

2/ Bypassed htaccess với user/password có sẵn là 1 chuyện cực kỳ dễ dàng. Chẳng lẽ SieuHost.com không biết điều đó?

3/ Cộng 2 điều trên lại thì htaccess trở nên vô dụng.

Bước 2: tuy giải thích nghe phức tạp nhưng thực hiện cực kì đơn giản. Nếu thực hiện phức tạp quá hóa ra apache phải làm việc nặng hơn cả PHP request sao

Vâng, thực hiện cũng khá đơn giản. Tuy nhiên 1 chương trình nhỏ xíu thực hiện việc này sẽ hiệu quả hơn nhiều so với Apache hoặc PHP vốn hơi bị "cồng kềnh". Vấn đề nằm ở chỗ làm sao để chương trình đó hoạt động hiệu quả. Điều này thì ...chắc là không đến nỗi đơn giản lắm.

Tất nhiên, tất cả các biện pháp trên đây cũng chỉ là để hạn chế. Hạn chế nhiều hay ít thì tùy vào phương pháp. Nếu hạn chế được nhiều thì tỉ lệ sống sót của server sẽ cao hơn. "Đơn giản" thế thôi.

Về vấn đề code, vui lòng đọc bài dưới đây của 0day:
http://www.ddth.com/showpost.php?p=552862&postcount=25

[real_time]

Tôi có thể chia sẻ 1 số thông tin về cách chống DDoS tại DDTH.

Từ các vấn đề ở trên, và qua 1 thời gian thử nghiệm các biện pháp, chúng tôi đưa ra các hướng giải quyết như sau:

- 1 HTTP request đến 1 file bất kỳ trong server sẽ được "kiểm tra" trước xem đó là người dùng thật hay là x-flash tự động.

Như vậy sẽ phải có 1 bước kiểm tra và "phát thẻ", chỉ những ai có thẻ mới tiếp tục đi vào hết các khu vực khác của website.

Đó là lý do tại sao bạn phải "click vào đây" để đi tiếp vào DDTH. Xflash thì không thể "click" được

Tôi tin rằng với khả năng của mình tôi không làm được X-Flash có thể click được (do chưa nghiên cứu X-Flash bao giờ)nhưng có khả năng làm được 1 asp, vbs script có khả năng click vô dòng [click vô đây để đến nơi cần đến] của DDTH được. Chuyện này không khó nhưng tôi nghiên cứu source của file [click vô đây ...] thì hình như nó có khả năng chặn được cả những cú click tự động thông qua các script?

[blackterran]

Cái quan trọng là chặn bớt được càng nhiều càng tốt. Và cách DDTH làm là dựa trên nguyên lý referer của X-Flash request thì không bắt đầu bằng www.ddth.com.

[cemalon]

Cái quan trọng là chặn bớt được càng nhiều càng tốt. Và cách DDTH làm là dựa trên nguyên lý referer của X-Flash request thì không bắt đầu bằng www.ddth.com.

Chống x-flash mà chỉ dựa vào referer thì... hỏng.

[vikhoa]

Tôi tin rằng với khả năng của mình tôi không làm được X-Flash có thể click được (do chưa nghiên cứu X-Flash bao giờ)nhưng có khả năng làm được 1 asp, vbs script có khả năng click vô dòng [click vô đây để đến nơi cần đến] của DDTH được. Chuyện này không khó nhưng tôi nghiên cứu source của file [click vô đây ...] thì hình như nó có khả năng chặn được cả những cú click tự động thông qua các script?

real_time thử làm đi, nếu làm được thì chúng ta cùng nghiên cứu lại lỗi của script để tìm cách khắc phục.

Rất hoan nghênh các bạn nào tìm cách "vượt rào" của DDTH để chúng ta có thể ngày càng đưa ra các giải pháp tốt nhất để hạn chế DDoS

[bvhn]

real_time thử làm đi, nếu làm được thì chúng ta cùng nghiên cứu lại lỗi của script để tìm cách khắc phục.

Rất hoan nghênh các bạn nào tìm cách "vượt rào" của DDTH để chúng ta có thể ngày càng đưa ra các giải pháp tốt nhất để hạn chế DDoS

Đúng như 0day nói thì phương pháp chống DOS của ddth thực sự chưa hiệu quả: chỉ đơn giản thêm trường "Referer: http://www.ddth.com" vào Request URL là vượt qua dễ dàng.
Thử dùng vài lệnh cơ bản:

C:\>curl -A "Mozilla/5.0" -i http://www.ddth.com/
HTTP/1.1 418 0day F--king RFC
Date: Mon, 29 May 2006 18:39:15 GMT
Server: Apache/2.0.52 (Unix)
Content-Length: 188
Content-Type: text/html; charset=iso-8859-1
Connection: Keep-Alive

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><body><p><center><a href="http://www.ddth.com/">[Click vao day]</a><br>de
chuyen den noi dung can xem.</center></p>
</body></html>

Thêm Referer vào request:

curl -e "http://www.ddth.com/" -i http://www.ddth.com/
HTTP/1.1 200 OK
Date: Mon, 29 May 2006 18:36:43 GMT
Server: Apache/2.0.52 (Unix)
Expires: 0
Cache-Control: private, post-check=0, pre-check=0, max-age=0
Pragma: no-cache
Content-Type: text/html; charset=utf-8
Set-Cookie: bbsessionhash=f471f1f2d5390b46c42885806dde46d8; path=/; domain=.ddth
.com
Set-Cookie: bblastvisit=1148927803; expires=Tue, 29 May 2007 18:36:43 GMT; path=
/; domain=.ddth.com
Set-Cookie: bblastactivity=0; expires=Tue, 29 May 2007 18:36:43 GMT; path=/; dom
ain=.ddth.com
Connection: Close

<...nội dung trang index ...>

-> Vượt qua khả năng chống DOS của ddth dễ dàng.
Giờ ta thử với công cụ ab (ApacheBench) có sẵn trong apache:
Trước khi thêm referer:

ab -n 20 -c 5 -k http://www.ddth.com/
This is ApacheBench, Version 2.0.41-dev <$Revision: 1.141 $> apache-2.0
Copyright (c) 1996 Adam Twiss, Zeus Technology Ltd, http://www.zeustech.net/
Copyright (c) 1998-2002 The Apache Software Foundation, http://www.apache.org/

Benchmarking www.ddth.com (be patient).....done


Server Software: Apache/2.0.52
Server Hostname: www.ddth.com
Server Port: 80

Document Path: /
Document Length: 188 bytes

Concurrency Level: 5
Time taken for tests: 1.588177 seconds
Complete requests: 20
Failed requests: 0
Write errors: 0
Non-2xx responses: 20
Keep-Alive requests: 20
Total transferred: 8200 bytes
HTML transferred: 3760 bytes
Requests per second: 12.59 [#/sec] (mean)
Time per request: 397.044 [ms] (mean)
Time per request: 79.409 [ms] (mean, across all concurrent requests)
Transfer rate: 5.04 [Kbytes/sec] received

Connection Times (ms)
min mean[+/-sd] median max
Connect: 0 78 139.4 0 314
Processing: 315 317 4.4 315 328
Waiting: 315 317 4.2 315 327
Total: 315 395 143.6 315 641

Percentage of the requests served within a certain time (ms)
50% 315
66% 315
75% 635
80% 637
90% 640
95% 641
98% 641
99% 641
100% 641 (longest request)

Chú ý thông số:
Requests per second: 12.59 [#/sec] (mean)

Sau khi thêm referer:

ab -H "Referer: http://www.ddth.com/" -H "User-Agent: Mozilla/5" -n 200 -c 5 -k http://www.ddth.com/
This is ApacheBench, Version 2.0.41-dev <$Revision: 1.141 $> apache-2.0
Copyright (c) 1996 Adam Twiss, Zeus Technology Ltd, http://www.zeustech.net/
Copyright (c) 1998-2002 The Apache Software Foundation, http://www.apache.org/

Benchmarking www.ddth.com (be patient).....done


Server Software: Apache/2.0.52
Server Hostname: www.ddth.com
Server Port: 80

Document Path: /
Document Length: 143345 bytes

Concurrency Level: 5
Time taken for tests: 24.631920 seconds
Complete requests: 20
Failed requests: 0
Write errors: 0
Keep-Alive requests: 0
Total transferred: 3000518 bytes
HTML transferred: 2990995 bytes
Requests per second: 0.81 [#/sec] (mean)
Time per request: 6157.980 [ms] (mean)
Time per request: 1231.596 [ms] (mean, across all concurrent requests)
Transfer rate: 118.95 [Kbytes/sec] received

Connection Times (ms)
min mean[+/-sd] median max
Connect: 313 313 0.7 314 314
Processing: 3096 5512 943.7 5694 7015
Waiting: 1206 3541 846.4 3802 4812
Total: 3409 5826 944.0 6008 7329
WARNING: The median and mean for the initial connection time are not within a normal deviation
These results are probably not that reliable.

Percentage of the requests served within a certain time (ms)
50% 6008
66% 6079
75% 6441
80% 6979
90% 7303
95% 7329
98% 7329
99% 7329
100% 7329 (longest request)

Thông số: "Requests per second: 0.81 [#/sec] (mean)"
đã giảm một cách đáng kể (do thực thi mã php). Và nếu tăng số Request (-n) và số người dùng đồng thời (-c) thì server của ddth có nguy cơ quá tải.
Có lẽ vikhoa nên có phương pháp nâng cấp giải pháp chống DOS mới nhỉ!