เนื่อจากตอนนี้ ผมโดนbotnet โจมตี
ตอนนี้ ใช้ clearos คั้นกลาง เวลาโดนยิงมา ไม่เข้าเครื่องหลักจริง แต่ clearos ก็เดี้ยงเลย ทำให้ ติดต่อกับเครื่องหลักไม่ได้
อยากจะสอบถามหน่อยครับ ว่ามีอะไรที่ สามารถกัน botnet ได้มั่งครับ
ปล ตอนนี้ใช้ esxi vm clearos5.2 + centos5.7
เอา reverse proxy มากรองครับ พวก nginx/varnish
[B]1)ขอเหตุผลหน่อยว่า ทำไมคิดว่า โดน Botnet โจมตี คุณดูจากอะไร ?
2)เป็นได้ไหมให้ผมเข้าไปใน root ผมจะทำให้ สิ่งที่ผมจะทำให้ ส่งมาทาง PM
ผมเพิ่งพัฒนา Anti ddos & dos[/B] สำหรับ Linux
ระบบจะทำงานดังนี้
2.1 ตั้ง guard คอยตรวจสอบไว้ด้านหน้า
2.2 ถ้าโดนโจมตี ระบบ จะ auto แบน IP ที่โจมตี
2.3 กรณีเครืองคุณหลัง proxy เช่น nginx or varnish ระบบจะเอา IP จริงก่อนผ่าน proxy ออกมา
2.4 เขียนลง log file ip ที่โจมตี จะบอกว่า IP อะไรโจมตีและ วันเวลาของการโจมตี
2.5 ระบบจะส่ง email หาคุณ เมื่อโดนโจมตี
2.6 ในกรณี ถ้าโดนโจมตีอย่างหนัก ระบบจะ restart service ให้เอง ทำให้ท่านอนหลับได้
ที่ต่างประเทศเดี๋ยวนี้มีการโจมตี แบบ ไม่ถึง 1 นาที ทำให้ server ล่ม ภายในไม่ถึง 1 นาที avg load 700 up
ดูด ram connection ละ 1 GB มาหลาย connection
ram ไม่พอ แล้วไปดูดใน swap ทำให้ swap เต็ม แล้วเครื่องจะ hang ไปเลย
ถ้าจะแบนแบบไป logfile จะไม่ทันการ server ล่มไปก่อน
server ของผมไม่ใช่ web hosting นะครับ ใช้งานประเภท voice ip อะครับ ใช้ udp พอท 1000 ถึง 10000
tcpdump มาดูแล้ว แพกเกจมาเป็นล้านเลยครับ ไอพีไม่ซ้ำกันเลย พอทก็เปลี่ยนไปเลื่อยๆ
เพิ่มเติมครับ clearos คั้นกลาง แล้ว foward พอทที่ผมใช้ udp 1000-10000 ผ่าน ip private ภายในครับ
ตอนนี้เวลาโดนยิงมาคือ ตัว clearos cpu 70-90%
ปล ในเครื่อง esxi มีvm หลายตัว เวลาโดนยิงมา ก็จะดับเฉพาะตัว ตัวอื่นๆ ทำงานปรกติ ไม่มีอาการ กระตุก
น่าจะพอไหวเดี่ยวติดต่อทาง PM