Page 1 of 2
Bị tấn công "TCP SYN Flood Action" có cách nào khắc phục không mọi người?
PostPosted:01 Oct 2018 17:37
by tonyviet9x
Hi Admin,
Mình là thành viên sử dụng BMAX, hiện tại mình có 1 vps bị tấn công "TCP SYN Flood Action" và nhà cung cấp dịch vụ đã khóa vps của mình và yêu cầu tìm cách khắc phục, mà mình lại không có chuyên môn về vấn đề này, vậy admin và mọi người có biết cách phục sự cố tấn công trên cũng như ngăn chặn không ạ?
Thanks all.
Re: Bị tấn công "TCP SYN Flood Action" có cách nào khắc phục không mọi người?
PostPosted:01 Oct 2018 18:55
by nguyenoanh
em edit /etc/nginx/conf/ddos1.conf và ddos2.conf, giảm giá trị trong đây xuống và khởi động lại nginx xem ntn ?
Anh để khá cao mà.
Re: Bị tấn công "TCP SYN Flood Action" có cách nào khắc phục không mọi người?
PostPosted:01 Oct 2018 20:09
by tonyviet9x
nguyenoanh wrote: ↑01 Oct 2018 18:55
em edit /etc/nginx/conf/ddos1.conf và ddos2.conf, giảm giá trị trong đây xuống và khởi động lại nginx xem ntn ?
Anh để khá cao mà.
Anh ơi, vậy bật CSF Firewall có tác dụng ngăn chặn TCP SYN Food Action không ạ? Và khi giảm giá trị trong 2 files như anh bảo thì có ảnh hưởng gì đến truy cập của website không ạ?
Re: Bị tấn công "TCP SYN Flood Action" có cách nào khắc phục không mọi người?
PostPosted:01 Oct 2018 20:12
by nguyenoanh
@tonyviet9x
Có tác dụng chứ em. Nên bật.
Giảm xuống nếu hợp lý (ko thấp quá) truy cập website không ảnh hưởng.
Re: Bị tấn công "TCP SYN Flood Action" có cách nào khắc phục không mọi người?
PostPosted:01 Oct 2018 20:18
by tonyviet9x
nguyenoanh wrote: ↑01 Oct 2018 18:55
em edit /etc/nginx/conf/ddos1.conf và ddos2.conf, giảm giá trị trong đây xuống và khởi động lại nginx xem ntn ?
Anh để khá cao mà.
Ở ddos1.conf
Code: Select alllimit_conn_zone $binary_remote_addr zone=conn_limit_per_ip:10m;
limit_req_zone $binary_remote_addr zone=req_limit_per_ip:10m rate=100r/s;
Thì mình giảm xuống bao nhiêu ạ?
Ở ddos2.conf
Code: Select alllimit_conn conn_limit_per_ip 100;
limit_req zone=req_limit_per_ip burst=300 nodelay;
Thì mình giảm xuống bao nhiêu ạ?
Tại em không có chuyên môn về cái này lắm ạ?
Mong anh giải đáp ạ!
Re: Bị tấn công "TCP SYN Flood Action" có cách nào khắc phục không mọi người?
PostPosted:01 Oct 2018 20:20
by tonyviet9x
nguyenoanh wrote: ↑01 Oct 2018 20:12
@tonyviet9x
Có tác dụng chứ em. Nên bật.
Giảm xuống nếu hợp lý (ko thấp quá) truy cập website không ảnh hưởng.
Em có reply ở trên rùi ạ, E đang dùng VPS Ram 1gb, ssd 20gb không biết cấu hình này giảm xuống bao nhiêu là hợp lý ạ?
Re: Bị tấn công "TCP SYN Flood Action" có cách nào khắc phục không mọi người?
PostPosted:01 Oct 2018 20:34
by nguyenoanh
Em cứ giảm , khởi động lại nginx thấy site load bình thường thì giảm tiếp.
Tùy theo các site khác nhau thì có cách cấu hình khác nhau.
Thấp quá thì site truy cập chậm đi một chút hoặc không load hết ảnh nếu site nh ảnh quá thôi.
Re: Bị tấn công "TCP SYN Flood Action" có cách nào khắc phục không mọi người?
PostPosted:01 Oct 2018 20:39
by tonyviet9x
nguyenoanh wrote: ↑01 Oct 2018 20:34
Em cứ giảm , khởi động lại nginx thấy site load bình thường thì giảm tiếp.
Tùy theo các site khác nhau thì có cách cấu hình khác nhau.
Thấp quá thì site truy cập chậm đi một chút hoặc không load hết ảnh nếu site nh ảnh quá thôi.
Anh ơi ví dụ như
ddos1.conf
Code: Select alllimit_conn_zone $binary_remote_addr zone=conn_limit_per_ip:10m;
limit_req_zone $binary_remote_addr zone=req_limit_per_ip:10m rate=100r/s;
Sửa lại như này đúng không anh?
Code: Select alllimit_conn_zone $binary_remote_addr zone=conn_limit_per_ip:8m;
limit_req_zone $binary_remote_addr zone=req_limit_per_ip:8m rate=80r/s;
Còn ddos2.conf
Code: Select alllimit_conn conn_limit_per_ip 100;
limit_req zone=req_limit_per_ip burst=300 nodelay;
Sửa thành
Code: Select alllimit_conn conn_limit_per_ip 80;
limit_req zone=req_limit_per_ip burst=250 nodelay;
Đúng không a?
Re: Bị tấn công "TCP SYN Flood Action" có cách nào khắc phục không mọi người?
PostPosted:01 Oct 2018 21:02
by nguyenoanh
Ở ddos1.conf e chỉ giảm rate /s xuống, ở ddos2.conf giảm limit_per_ip và burst xuống. Em đang bị tấn công thì giảm hẳn nó xuống thì mới chống được. Giảm như kia thì để nguyên cho rồi.
Lúc này việc chính là chống tấn công.
Re: Bị tấn công "TCP SYN Flood Action" có cách nào khắc phục không mọi người?
PostPosted:01 Oct 2018 21:05
by tonyviet9x
nguyenoanh wrote: ↑01 Oct 2018 21:02
Ở ddos1.conf e chỉ giảm rate /s xuống, ở ddos2.conf giảm limit_per_ip và burst xuống. Em đang bị tấn công thì giảm hẳn nó xuống thì mới chống được. Giảm như kia thì để nguyên cho rồi.
Lúc này việc chính là chống tấn công.
Vâng ạ, e cũng vừa cài CFS, liệu cài xong có chống lại được không anh
