Tạm dịch là giao thức xác thực thử thách-bắt tay.Tại sao lại thử thách - bắt tay.Ta sẽ đi tìm hiểu từng khái niệm để làm rõ giáo thức này vậy
Chap là mô hình xác thực dựa trên username và password.Ta xét trường hợp 2 router sử dụng giao thức xác thực Chap.
Router 1 và Router 2 có cùng một password chung được thiết lập trước đó.Router 1 muốn kết nối đến router 2 thì nó phải chứng minh được rằng nó nắm bí mật (chính là password) giữa chúng.Khác với giao thức PAP truyền pass dưới dạng clear text .Giao thức Chap truyên một giá trị hash mà giá trị đầu vào là password và các trường khác .Để vượt qua được thử thách thì giá trị hash sau khi tính toán của 2 bên phải giống nhau
Các bước như sau
Bước 1: Router1 Gửi yêu cầu kết nối tới Router 2
Bước 2: Router2 sẽ gửi lại Router 1 một bản tin có các trường chính sau đây:
01 - Xác định loại bản tin là: challenge
ID - Xác định phiên đó - trường này có tác dụng chống hình thức tấn công gửi lại khi bên thứ 3 bắt được gói tin
random - số ngẫu nhiên sinh bởi Router 2
Router2 - Tên xác thực của nó - Tên của router 2 .tên này sẽ có trong cơ sở dữ liệu của router 1 và tương ứng sẽ là password kèm theo user này.
Bước 3: Route1 nhận được bản tin challenge(code=01) sẽ xử lý như sau:
Lấy ID, random ở bản tin challenge gửi sang, rồi căn cứ vào tên xác thực là router2 để tìm ra password xác thực. - lúc này router 1 đã có các thông tin như : ID , số ngẫu nhiên và password tương ứng với username router2-
3 thông số đó được lấy làm đầu vào hàm băm MD5 Hash. Đầu ra là một giá trị gọi là số hassh.
Sau khi xử lý xong, Router 1 sẽ gửi lại Router2 một bản tin có code =02, gọi là bản tin response.
Trong bản tin này có 2 trường vẫn giữ nguyên giá trị như bản tin challenge là: ID và random. Ngoài ra còn có thêm kết quả của hàm hash, tên xác thực của Router1 cũng được gửi đi.
Bước 4: Router 2 nhận được kết bản tin response từ Router1. Nó tìm kiếm password tương ứng với username mà nó nhận được.
Sau đó nó cũng tính toán giá trị MD5 Hash với 3 thông số đầu vào: ID, random và password vừa tim.
Cuối cùng nó so sánh giá trị 2 hàm Hash: giá trị nó tự tính toán và giá trị nó nhận được.
Bước 5:
- Nếu giá trị nó tính và giá trị nó nhận được giống nhau thì gửi bản tin có code=03, succcess
- Nếu không giống nhau thì gửi bản tin có code=04, faile.
Nếu Router1 nhận được bản tin code=03 thì quá trình xác thực kết thúc.
Còn không thì xác thực ko thành công và kết nối bị Faile.
Thứ Tư, 13 tháng 4, 2011
Authentication
Đây là bài viết của tác giả Dương Ngọc Thái trên http://vnhacker.blogspot.com
Tôi cũng định tìm hiểu viết một bài về chủ đề này nhưng đọc bài của anh Thái rất hay rõ ràng xin chép lại nguyên văn nội dung của tác giả
Bạn thấy tiêu đề của bài viết này không? Authentication, tạm dịch là xác thực. Authentication là chữ A đầu tiên trong bộ tứ Authentication, Authorization, Availability và Authenticity như bốn trụ chống trời nâng đỡ thế giới bảo mật. Hôm nay chúng ta sẽ bàn về chữ A đầu tiên, nghĩa là đi tìm câu trả lời (hay tìm cách hỏi) cho câu hỏi: bạn có phải là người mà bạn tự nhận không?
Bạn và tôi mỗi ngày đều xác thực ít nhất vài lần, có khi là chúng ta xác thực người khác, có khi người khác xác thực chúng ta. Ví dụ như khi bạn đi gửi xe chẳng hạn, người ta sẽ cho bạn một mẩu giấy, mà thuật ngữ gọi là token, trên đó thường có ghi thông tin về chiếc xe của bạn (biển số chẳng hạn). Mẫu giấy này chính là một thứ gì đó mà bạn sở hữu (something you have) giúp bạn chứng minh với người giữ xe rằng: bạn chính là người chủ của chiếc xe. Chỉ có những người có mẩu giấy đó mới được phép lấy chiếc xe của bạn ra ngoài. Nhiệm vụ của bạn là phải giữ nó an toàn, mất là rất phiền toái đấy nhé.
Một ví dụ khác chính là bài đồng dao ở trên. Nếu bạn là thỏ ư, chắc hẳn tai bạn phải dài lắm, cho tôi xem đi nào rồi tôi mới tin. Ở đây, tôi xác thực bằng một đặc điểm trên cơ thể của bạn (something you are). Dấu vân tay, võng mạc hay giọng nói là những đặc điểm thường được sử dụng. Còn có một cách xác thực khác khá phổ biến, đó là dựa trên những điều mà bạn biết (something you know). Bạn đang chat trên Yahoo! Messenger? Thế làm sao bạn đăng nhập vào đó được? Bạn phải biết mật khẩu, chính mật khẩu là thông tin giúp Yahoo! xác thực bạn là chủ nhân của tài khoản đang đăng nhập. Tất cả những ai biết mật khẩu đều có thể đăng nhập vào tài khoản của bạn.
Ngoài ra còn một cách xác thực nữa là dựa vào sự tin tưởng (something you trust). Cách xác thực này thường được áp dụng trong các trường hợp những cá nhân đơn lẻ có nhu cầu xác thực danh tính lẫn nhau. Khi đó họ sẽ dựa vào một bên thứ ba mà cả hai cùng tin tưởng để làm trung gian. Ví dụ như người ta tin tưởng vào thông tin trong chứng minh thư của bạn không phải vì họ tin tưởng bạn mà vì họ tin tưởng vào tổ chức cấp chứng minh thư đó cho bạn, ở đây là cơ quan công an. Cũng có trường hợp họ áp dụng tính bắt cầu trong niềm tin để xác thực. Ví dụ như anh A tin chị B, chị B tin anh C, nên anh A sẽ tin anh C (vì anh A tin rằng chị B đã xác thực danh tính anh C trước đó rồi).
Cách xác thực bằng mật khẩu là cách thông dụng nhất vì tính đơn giản và dễ triển khai của nó. Tuy nhiên, qua thời gian cách này bộc lộ nhiều điểm yếu mà dễ thấy nhất là: mật khẩu rất dễ bị đánh cắp. Sự thực là bất kì thứ gì lưu trữ trên máy tính đều rất dễ bị đánh cắp. Nhưng tôi đâu có lưu mật khẩu trên máy tính đâu? Tôi nhớ chúng trong não và chỉ khi nào cần thiết tôi mới gõ chúng ra kia mà? Bạn có lưu đấy. Có thể bạn không lưu xuống ổ cứng nhưng khi bạn gõ ra nghĩa là bạn đang lưu mật khẩu của mình vào RAM. Và chỉ trong tích tắc, mật khẩu "tối mật" của bạn sẽ được chuyển đến tay một kẻ khác! Nhưng bạn an tâm, đã có rất nhiều giải pháp cho vấn đề này, trọn vẹn hay không trọn vẹn.
Tôi có mở tài khoản ở một ngân hàng, chủ yếu để nhận tiền lương từ công ty mà tôi làm chuyển vào. Tôi thường rút tiền thông qua máy ATM. Làm thế nào tôi chứng minh cho ngân hàng biết tôi là chủ tài khoản? Tôi phải trình ra được thẻ ATM của mình (something you have) và nhập vào đúng số PIN gắn với thẻ ATM đó (something you know). Rõ ràng cách làm này an toàn hơn việc chỉ sử dụng mật khẩu. Muốn đánh cắp tiền của tôi, kẻ trộm phải vừa chôm được thẻ ATM, vừa biết được mã PIN của tôi. Nói cách khác hắn phải chôm được hai yếu tố mới xác thực được.
Đây chính là ý tưởng chủ đạo của việc nâng câo tính an toàn khi xác thực: kết hợp nhiều yếu tố khác nhau (multi-factor authentication), mà thông dụng nhất là xác thực hai yếu tố (two-factor authentication) và xác thực ba yếu tố (three-factor authentication). Người ta sẽ gộp 4 yếu tố ở trên (thông thường là 3 yếu tố đầu), để tạo ra các tổ hợp yếu tố dùng để xác thực. Thông dụng nhất là sự kết hợp giữa something you know và something you have như cách làm của thẻ ATM. Dĩ nhiên bạn hoàn toàn có thể làm n-factor authentication với n > 3 nhưng lúc đó hệ thống của bạn sẽ chẳng có người nào sử dụng cả bởi vì nó quá bất tiện. Bảo mật bao giờ cũng phải là sự cân bằng giữa an toàn và tiện dụng. Vả lại, không có gì là an toàn tuyệt đối. Two-factor hay n-factor đi chăng nữa cũng chỉ giúp bạn giảm xác suất bị tấn công xuống một mức nào đó, nhưng không bao giờ là zero.
Một hôm nào đó chúng ta sẽ tìm hiểu chữ A thứ hai, authorization, còn bây giờ xin chào tạm biệt.
-Thái.
Tôi cũng định tìm hiểu viết một bài về chủ đề này nhưng đọc bài của anh Thái rất hay rõ ràng xin chép lại nguyên văn nội dung của tác giả
Chữ A đầu tiên: authentication
Cốc cốc cốcBạn có đang nhớ về tuổi thơ của mình như tôi? Ừh, nhớ thật đó. Nhưng mà tôi vô cái blog này không phải để đọc đồng dao, đây là blog bảo mật thông tin kia mà? Ấy bạn đừng nóng, nào hãy cùng ngồi xuống với tôi, uống một ngụm trà (và vài con nghêu hấp xã chẹp chẹp) rồi ta cùng đi vào chủ đề chính nào.
Ai gọi đó
Tôi là thỏ
Nếu là thỏ
Cho xem tai
Cốc cốc cốc
Ai gọi đó
Tôi là nai
Nếu là nai
Cho xem gạc
Cốc cốc cốc
Ai gọi đó
Tôi là gió
Nếu là gió
Xin mời vào
Bạn thấy tiêu đề của bài viết này không? Authentication, tạm dịch là xác thực. Authentication là chữ A đầu tiên trong bộ tứ Authentication, Authorization, Availability và Authenticity như bốn trụ chống trời nâng đỡ thế giới bảo mật. Hôm nay chúng ta sẽ bàn về chữ A đầu tiên, nghĩa là đi tìm câu trả lời (hay tìm cách hỏi) cho câu hỏi: bạn có phải là người mà bạn tự nhận không?
Bạn và tôi mỗi ngày đều xác thực ít nhất vài lần, có khi là chúng ta xác thực người khác, có khi người khác xác thực chúng ta. Ví dụ như khi bạn đi gửi xe chẳng hạn, người ta sẽ cho bạn một mẩu giấy, mà thuật ngữ gọi là token, trên đó thường có ghi thông tin về chiếc xe của bạn (biển số chẳng hạn). Mẫu giấy này chính là một thứ gì đó mà bạn sở hữu (something you have) giúp bạn chứng minh với người giữ xe rằng: bạn chính là người chủ của chiếc xe. Chỉ có những người có mẩu giấy đó mới được phép lấy chiếc xe của bạn ra ngoài. Nhiệm vụ của bạn là phải giữ nó an toàn, mất là rất phiền toái đấy nhé.
Một ví dụ khác chính là bài đồng dao ở trên. Nếu bạn là thỏ ư, chắc hẳn tai bạn phải dài lắm, cho tôi xem đi nào rồi tôi mới tin. Ở đây, tôi xác thực bằng một đặc điểm trên cơ thể của bạn (something you are). Dấu vân tay, võng mạc hay giọng nói là những đặc điểm thường được sử dụng. Còn có một cách xác thực khác khá phổ biến, đó là dựa trên những điều mà bạn biết (something you know). Bạn đang chat trên Yahoo! Messenger? Thế làm sao bạn đăng nhập vào đó được? Bạn phải biết mật khẩu, chính mật khẩu là thông tin giúp Yahoo! xác thực bạn là chủ nhân của tài khoản đang đăng nhập. Tất cả những ai biết mật khẩu đều có thể đăng nhập vào tài khoản của bạn.
Ngoài ra còn một cách xác thực nữa là dựa vào sự tin tưởng (something you trust). Cách xác thực này thường được áp dụng trong các trường hợp những cá nhân đơn lẻ có nhu cầu xác thực danh tính lẫn nhau. Khi đó họ sẽ dựa vào một bên thứ ba mà cả hai cùng tin tưởng để làm trung gian. Ví dụ như người ta tin tưởng vào thông tin trong chứng minh thư của bạn không phải vì họ tin tưởng bạn mà vì họ tin tưởng vào tổ chức cấp chứng minh thư đó cho bạn, ở đây là cơ quan công an. Cũng có trường hợp họ áp dụng tính bắt cầu trong niềm tin để xác thực. Ví dụ như anh A tin chị B, chị B tin anh C, nên anh A sẽ tin anh C (vì anh A tin rằng chị B đã xác thực danh tính anh C trước đó rồi).
Cách xác thực bằng mật khẩu là cách thông dụng nhất vì tính đơn giản và dễ triển khai của nó. Tuy nhiên, qua thời gian cách này bộc lộ nhiều điểm yếu mà dễ thấy nhất là: mật khẩu rất dễ bị đánh cắp. Sự thực là bất kì thứ gì lưu trữ trên máy tính đều rất dễ bị đánh cắp. Nhưng tôi đâu có lưu mật khẩu trên máy tính đâu? Tôi nhớ chúng trong não và chỉ khi nào cần thiết tôi mới gõ chúng ra kia mà? Bạn có lưu đấy. Có thể bạn không lưu xuống ổ cứng nhưng khi bạn gõ ra nghĩa là bạn đang lưu mật khẩu của mình vào RAM. Và chỉ trong tích tắc, mật khẩu "tối mật" của bạn sẽ được chuyển đến tay một kẻ khác! Nhưng bạn an tâm, đã có rất nhiều giải pháp cho vấn đề này, trọn vẹn hay không trọn vẹn.
Tôi có mở tài khoản ở một ngân hàng, chủ yếu để nhận tiền lương từ công ty mà tôi làm chuyển vào. Tôi thường rút tiền thông qua máy ATM. Làm thế nào tôi chứng minh cho ngân hàng biết tôi là chủ tài khoản? Tôi phải trình ra được thẻ ATM của mình (something you have) và nhập vào đúng số PIN gắn với thẻ ATM đó (something you know). Rõ ràng cách làm này an toàn hơn việc chỉ sử dụng mật khẩu. Muốn đánh cắp tiền của tôi, kẻ trộm phải vừa chôm được thẻ ATM, vừa biết được mã PIN của tôi. Nói cách khác hắn phải chôm được hai yếu tố mới xác thực được.
Đây chính là ý tưởng chủ đạo của việc nâng câo tính an toàn khi xác thực: kết hợp nhiều yếu tố khác nhau (multi-factor authentication), mà thông dụng nhất là xác thực hai yếu tố (two-factor authentication) và xác thực ba yếu tố (three-factor authentication). Người ta sẽ gộp 4 yếu tố ở trên (thông thường là 3 yếu tố đầu), để tạo ra các tổ hợp yếu tố dùng để xác thực. Thông dụng nhất là sự kết hợp giữa something you know và something you have như cách làm của thẻ ATM. Dĩ nhiên bạn hoàn toàn có thể làm n-factor authentication với n > 3 nhưng lúc đó hệ thống của bạn sẽ chẳng có người nào sử dụng cả bởi vì nó quá bất tiện. Bảo mật bao giờ cũng phải là sự cân bằng giữa an toàn và tiện dụng. Vả lại, không có gì là an toàn tuyệt đối. Two-factor hay n-factor đi chăng nữa cũng chỉ giúp bạn giảm xác suất bị tấn công xuống một mức nào đó, nhưng không bao giờ là zero.
Một hôm nào đó chúng ta sẽ tìm hiểu chữ A thứ hai, authorization, còn bây giờ xin chào tạm biệt.
-Thái.
.htaccess
Giới thiệu
Bài viết này sẽ giới thiệu vè tập tin .htaccess và sức mạnh của nó để cải thiện website của bạn.htaccess là một tập tin đặc biệt cho phép thay đổi hoạt động của máy chủ apache ở tầng thư mục , phổ biến là có khả năng tùy chỉnh cho trang erro 404 .htaccess không phải là khó sử dụng mà thực sự chỉ với một vài câu lệnh trong một file text đơn giản.Chúng ta cùng làm mấy cái “đơn giản ” xem nó có phức tạp không nào.^_^
Câu hỏi đặt ra đầu tiên là xem host của mình có hỗ trợ htaccess không ?
Đây là câu hỏi khó nhất cho một câu trả lời đơn giản.Nhiều host hỗ trợ htaccess nhưng nó không thực sự public và nhiều user trên host đó không được cho phép htaccess.Nếu máy chủ của bạn chạy Unix , Linux hoặc một số phiên bản của máy chủ Apache sẽ hỗ trợ htaccess mặc cho host của bạn không cho phép bạn sử dụng nó.
Một dấu hiệu để biết host bạn cho phép tập tin htaccess là chúng hỗ trợ bảo vệ thư mục bằng mật khẩu.Điều này họ cần cung cấp htaccess (mặc dù trong một vài trường hợp họ sẽ cung cấp bảo vệ thư mục bằng mật khẩu nhưng không cho phép sử dụng .htaccess)
Những điều ta có thể làm với .htaccess ?
Có một phạm vi lớn các việc .htaccess có thể làm : bảo vệ thư mục bằng mật khẩu , chuyển hướng người dung tự động , tùy chỉnh lỗi trang , thay đổi phần mở rộng tập tin của bạn , cấm người dùng dựa vào IP, chỉ cho phép người dùng thuộc một dải IP , dừng danh sách thư mục và sử dụng file khác như một file index.
Tạo một tập tin .htaccess
Tạo một tập tin htaccess có thể gây cho bạn một vài vấn đề .Viết một file là dễ dàng bạn chỉ cần nhập code và một trình soạn thảo văn bản (như notepad chẳng hạn ).bạn có thể gặp vấn đề với lưu file bởi vì .htaccess là một tập tin lạ (không có tên nhưng có đến 8 ký tự mở rộng) nó có thể không được chấp nhận nhất là trên Windown(như 3.1).Bạn phải lưu với tên như “.htaccess”
Nếu nó không làm việc thì bạn lưu thành htaccess.txt rồi tải lên máy chủ sau đó đổi tên bằng một chương trình FTP
Cảnh Báo
Mặc dù sử dụng htaccess trên server của bạn nếu có vấn đề thì chỉ đơn giản là không làm việc nhưng bạn nên thận trọng nếu bạn đang sử dụng Microsoft FrontPage Extensions .Các phần mở rộng của Frontpage sử dụng tập tin .htaccess vì vậy bạn không nên chỉnh sửa nó để thêm thông tin của riệng bạn.Nếu bạn không muốn bạn có thể tải tập tin htaccess từ máy chủ về rồi thêm code vào.
Tùy chỉnh trang lỗi
Ứng dụng đầu tiên của file htaccess là việc tùy chỉnh trang lỗi điều này sẽ cho phép bạn có một trang lỗi cá nhân thay vì sử dụng các trang báo lỗi của máy chủ hoặc không có trang điều này làm cho web của bạn có vẻ chuyên nghiệp hơn hay thong báo cho bạn nếu có lỗi bằng cách sử dụng shell script.Bạn có thế tùy chỉnh cho bất kỳ lỗi nào miễn là bạn biết số của nó (như 404 là không tìn thấy máy chủ ) bằng cách thêm dòng sau vào tập tin .htaccess
ErrorDocument errornumber /file.html ErrorDocument errornumber / file.html
Đây là một số lỗi phổ biến :
401 - Authorization Required
400 - Bad request
403 - Forbidden
500 - Internal Server Error
404 - Wrong page
Sau đó tất cả nhừng gì bạn cần làm là tạo ra một tập tin để hiện thị khi lỗi xảy ra và tải tập tin đó lên server . thay đổi trong tập tin .htaccess
Phần sau minh sẽ giới thiệu về các lệnh .htaccess và việc bảo vệ thư mục bằng mật khẩu
D4ngh3t
Chống DDOS trong linux với MOD_DOSEVASIVE
Khi xây dựng một webserver vấn nạn DoS và DDoS luôn làm các webmaster điên đầu .Hiện nay chưa có một hệ thống nào dám tuyên chiến với tấn công từ chối dịch vụ.Xem ra chúng ta còn phải chịu đựng chúng dài dài.Tuy nhiên có nhiều phương pháp được đưa ra để hạn chế chúng.Mình xin giới thiệu một phương pháp sử dụng mod_dosevasive .Đây là một mod trong apache nó cho phép user apache có thể sử dụng iptables để chặn IP DDoS nó phản ứng lại với HTTP DoS và hình thức tấn công Brute Force
Một khả năng bổ sung của module này là nó có thể thực thi các lệnh hệ thống khi cuộc tấn công DoS được xác định.Điều này cung cấp khả năng gửi địa chỉ IP tấn công vào các ứng dụng bảo mật khác như tường lửa để chặn các IP vi phạm
Tuy nhiên nhược điểm của mod_dosevasive là tốn băng thông cũng như bộ vi xử lý
Cách thức làm việc của Mod_Dosevasive : Mod_Dosevasive xác định các cuộc tấn công bằng các tạo và sử dụng một bảng băm nội bộ linh hoạt cặp IP và URI dựa trên các yêu cầu nhận được.Khi một yêu cầu mới đến Mod_dos sẽ thực hiện các nhiệm vụ sau :
Địa chỉ IP của khách hàng được kiểm tra trong danh sách đen tạm thời của bảng băm. Nếu địa chỉ IP có trong list thì sẽ bị cấm (403 forbidden)
Nếu khách hàng không trong danh sách đen, sau đó các địa chỉ IP của khách hàng và các Universal Resource Identifier (URI) yêu cầu được băm vào một phím. Mod_Dosevasive sau đó sẽ kiểm tra của bảng băm người nghe để xác minh nếu có các băm cùng tồn tại . Nếu có, nó sau đó sẽ đánh giá tổng số băm lần xuất hiện và khung thời gian mà họ đã được yêu cầu trong so với ngưỡng quy định trong file httpd.conf của các chỉ thị Mod_Dosevasive.
. Nếu yêu cầu không được từ chối bởi cáclần kiểm tra trước, thì chỉ cần địa chỉ IP của máy khách được băm vào một phím. Các module sau đó sẽ kiểm tra bảng băm trong thời trang như trên. Sự khác biệt duy nhất với kiểm tra này là nó không phải là nhân tố trong URI là kiểm tra. Nó sẽ kiểm tra xem số lượng khách hàng đã yêu cầu ở trên ngưỡng đặt cho toàn bộ trang web theo các khoảng thời gian quy định.
Nói Chung
Các module mở rộng mod_dosevasive cố gắng để phát hiện và từ chối yêu cầu vô nghĩa bằng cách hạn chế số lượng truy vấn trong một khoảng thời gian nhất định từ một trong những khách hàng yêu cầu.
Cài đặt và cấu hình
Download mod_dosevasive.1.9.tar.gz trên http://tools.l0t3k.net/Hardening/MD5SUM
tar zxvf mod_dosevasive_1.10.tar.gz
cd mod_dosevasive
/usr/local/apache/bin/apxs -i -a -c mod_dosevasive.c
If you're using Apache 2, use this command instead of ^:
/usr/local/apache/bin/apxs -i -a -c mod_dosevasive20.c
Add the following to httpd.conf
<IfModule mod_dosevasive20.c>
DOSHashTableSize 3097
DOSPageCount 2
DOSSiteCount 50
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 10
DOSEmailNotify you@email.com
DOSSystemCommand "su - user -c '/sbin/... %s ...'"
</IfModule>
Descriptions:
- DOSHashTableSize: the size of the table of URL and IP combined
- DOSPageCount: the number of same page requests from the same IP during an interval that will cause that IP to be added to the block lt.
- DOSSiteCount: the number of pages requested of a site by the same IP during an interval which will cause the IP to be added to the block lt.
- DOSPageInterval: the interval that the hash table for IPs and URLs erased (in seconds)
- DOSSiteInterval: the intervale that the hash table of IPs erased (in seconds)
- DOSBlockingPeriod: the time the IP blacked (in seconds)
- DOSEmailNotify: can be used to notify by sending an email everytime an IP blocked
- DOSSystemCommand: the command used to execute a command when an IP blocked. It can be used to add a block the user from a firewall or router.
- DOSWhiteLt: can be used to whitelt IPs such as 127.0.0.1
Đã Test .Chống DoSHTTP cực kỳ hiệu quả
Một khả năng bổ sung của module này là nó có thể thực thi các lệnh hệ thống khi cuộc tấn công DoS được xác định.Điều này cung cấp khả năng gửi địa chỉ IP tấn công vào các ứng dụng bảo mật khác như tường lửa để chặn các IP vi phạm
Tuy nhiên nhược điểm của mod_dosevasive là tốn băng thông cũng như bộ vi xử lý
Cách thức làm việc của Mod_Dosevasive : Mod_Dosevasive xác định các cuộc tấn công bằng các tạo và sử dụng một bảng băm nội bộ linh hoạt cặp IP và URI dựa trên các yêu cầu nhận được.Khi một yêu cầu mới đến Mod_dos sẽ thực hiện các nhiệm vụ sau :
Địa chỉ IP của khách hàng được kiểm tra trong danh sách đen tạm thời của bảng băm. Nếu địa chỉ IP có trong list thì sẽ bị cấm (403 forbidden)
Nếu khách hàng không trong danh sách đen, sau đó các địa chỉ IP của khách hàng và các Universal Resource Identifier (URI) yêu cầu được băm vào một phím. Mod_Dosevasive sau đó sẽ kiểm tra của bảng băm người nghe để xác minh nếu có các băm cùng tồn tại . Nếu có, nó sau đó sẽ đánh giá tổng số băm lần xuất hiện và khung thời gian mà họ đã được yêu cầu trong so với ngưỡng quy định trong file httpd.conf của các chỉ thị Mod_Dosevasive.
. Nếu yêu cầu không được từ chối bởi cáclần kiểm tra trước, thì chỉ cần địa chỉ IP của máy khách được băm vào một phím. Các module sau đó sẽ kiểm tra bảng băm trong thời trang như trên. Sự khác biệt duy nhất với kiểm tra này là nó không phải là nhân tố trong URI là kiểm tra. Nó sẽ kiểm tra xem số lượng khách hàng đã yêu cầu ở trên ngưỡng đặt cho toàn bộ trang web theo các khoảng thời gian quy định.
Nói Chung
Các module mở rộng mod_dosevasive cố gắng để phát hiện và từ chối yêu cầu vô nghĩa bằng cách hạn chế số lượng truy vấn trong một khoảng thời gian nhất định từ một trong những khách hàng yêu cầu.
Cài đặt và cấu hình
Download mod_dosevasive.1.9.tar.gz trên http://tools.l0t3k.net/Hardening/MD5SUM
tar zxvf mod_dosevasive_1.10.tar.gz
cd mod_dosevasive
/usr/local/apache/bin/apxs -i -a -c mod_dosevasive.c
If you're using Apache 2, use this command instead of ^:
/usr/local/apache/bin/apxs -i -a -c mod_dosevasive20.c
Add the following to httpd.conf
<IfModule mod_dosevasive20.c>
DOSHashTableSize 3097
DOSPageCount 2
DOSSiteCount 50
DOSPageInterval 1
DOSSiteInterval 1
DOSBlockingPeriod 10
DOSEmailNotify you@email.com
DOSSystemCommand "su - user -c '/sbin/... %s ...'"
</IfModule>
Descriptions:
- DOSHashTableSize: the size of the table of URL and IP combined
- DOSPageCount: the number of same page requests from the same IP during an interval that will cause that IP to be added to the block lt.
- DOSSiteCount: the number of pages requested of a site by the same IP during an interval which will cause the IP to be added to the block lt.
- DOSPageInterval: the interval that the hash table for IPs and URLs erased (in seconds)
- DOSSiteInterval: the intervale that the hash table of IPs erased (in seconds)
- DOSBlockingPeriod: the time the IP blacked (in seconds)
- DOSEmailNotify: can be used to notify by sending an email everytime an IP blocked
- DOSSystemCommand: the command used to execute a command when an IP blocked. It can be used to add a block the user from a firewall or router.
- DOSWhiteLt: can be used to whitelt IPs such as 127.0.0.1
Đã Test .Chống DoSHTTP cực kỳ hiệu quả
D4ngh3t
Thứ Ba, 12 tháng 4, 2011
Start
Mỗi khi con người ta muốn bắt đầu một cái gì đó.Có thể là một công trình còn dang dở, một sáng kiến mới mang theo trong nó những mường tượng về tương lai hoàn mỹ.Đấy chính là cái xuất phát mọi vấn đề.Tôi còn nhớ năm tôi lơp 8 lần đầu tiên học môn hóa học.Tên nó đã cảm thấy chuối cả nải nhưng thôi.Tôi đang đứng thứ 3 thứ 4 gì đấy trong lớp nhất định môn này tôi phải đứng nhất , đến lớp phải thu nhặt không sót một kiến thức nào của cô giáo , về nhà rồi sẽ học nâng cao.Tương lai đẹp thật , à đã đẹp thế thì phải đầu tư.Không ngại bỏ tiền túi ra mua một quyển vở đẹp mặc dù vở tôi được tặng còn cả tập.Nhưng để có tương lai kia thì có đáng gì.Mở sách giáo khoa ra ta đọc trước và đây "Lời mở đầu".Ta bắt đầu đọc ."Bài giới thiệu" ta vẫn không bỏ xót một chữ.Nhưng ta bắt đầu đọc nhanh hơn.Mấy bác viết gì mà nhiều thế nhỉ.Bỏ qua một đoạn lại một đoạn nữa.Rồi tốc độ ta đọc nhanh hơn nhưng hình như chữ vào đầu ít hơn thì phải.Ta suy nghĩ đọc cái này có ý nghĩa gì đâu nhỉ." Trọng tâm " cái này chuẩn phải đọc trọng tâm bài ngày mai.ngày nào mấy bác cà vạt chẳng bảo phải đi tắt đón đầu.Vậy ta phải đi tắt.Đây rồi bài 1.Được vài dòng ta hiểu ra là ta chẳng hiểu gì. Tại sao nhỉ.chắc là môn này khó mà đã khó thi phải để cô giáo dạy.Cô dạy xong ta sẽ về nhà học tiếp.Thông minh thật vừa đỡ mất thời gian mõ mẫm.Quyết định cuối cùng để ngày mai.Rồi ngày mai cô giáo chỉ giới thiệu bài học.Về nhà ta tự nhủ ta đã học bài mở đầu rồi còn gì.Xem lại vẫn thế.Ô thế là nghiễm nhiên một buổi tối không bài vở và lại đề ngày mai ta sẽ bắt đầu học thực hiện hoài bão lớn kia cũng chẳng muộn.Kết quả thi đại học điểm Hóa của " thiên tài trong tươnglai " đạt 4,75 khối A.May mà Toán Lý tôi điểm cao nên vẫn đỗ.Nhưng Hóa khối B lại làm tôi tan giấc mộng Công nghệ Sinh.Hiện giờ thì trường tôi không học hóa nên tôi không còn nghĩ nhiều về nó nữa nhưng với mỗi sinh viên chúng ta bước chân qua cảnh cổng đại học ai chẳng mang cho minh nhiều hoài bão nhiều ước mơ nhưng "Để mai ta bắt đầu" ,"Để môn sau tao làm lại " "Kỳ sau sẽ được học bổng" v.v.Ta tự nhủ với bản thân bao lần.Để rồi dần dần những tố chất của một con mọt sách cày đêm ngày thi đại học dời xa ta mà người ta ngày một nặng hơn sức ì ngày một lớn.đễ khi ra trường mang theo trong đầu không phải là các kiến thức góp nhặt được mà chẳng có gì trong đấy hết ngoài sụ tiếc nuối thời gian và phân vân mức lương ta muốn mỗi khi điền vào tờ đơn xin việc.Ta nhận ra rằng để có một tương lai đẹp không phải là phải xuất phát tại một thời điểm đẹp một thời điểm có ý nghĩ,Thành công là một quá trình không phải là một điểm đến.Thời điểm đẹp nhất chính là ngay bây giờ.Địa điểm tốt là chính nơi đây là bạn đồng hành lý tưởng chính là ta.Để khi ra ngoài đời ta tự tin điền vào mức lương ta muốn có 4,5 X 2.Tôi đã tứng nghe Xuân Diệu dục dã:
Mau với chứ, vội vàng lên với chứ
Em em ơi, tình non sắp già rồi
Gấp đi em, anh rất sợ ngày mai
Đời trôi chảy, lòng ta không vĩnh viễn.
Mau với chứ, vội vàng lên với chứ
Em em ơi, tình non sắp già rồi
Gấp đi em, anh rất sợ ngày mai
Đời trôi chảy, lòng ta không vĩnh viễn.
Đăng ký:
Bài đăng (Atom)