tag:blogger.com,1999:blog-37305442.post6781773454251901320..comments2024-03-27T00:15:03.948-07:00Comments on thái: Một phương pháp chống DDoS bằng xFlashUnknownnoreply@blogger.comBlogger3125tag:blogger.com,1999:blog-37305442.post-62566048266054390962007-07-02T02:09:00.000-07:002007-07-02T02:09:00.000-07:00conmale: hoàn toàn đồng ý với ý kiến của hai anh. ...conmale: hoàn toàn đồng ý với ý kiến của hai anh. Như em đã nói trong bài viết của mình, phương thức này không phải là silver bullet, có thể giải quyết dứt điểm xFlash. Ưu điểm lớn nhất của nó là có thể phát hiện ra được xFlash bất kể thằng xFlash có thay hình đổi dạng đến cỡ nào (ý em là thế hệ xFlash gửi POST request như hiện nay).<BR/><BR/>nohat: tôi biết rõ ActionScript 3 nguy hiểm cỡ nào và trong bài viết của tôi cũng có đề cập đến điểm này. Phương thức này chỉ có thể chống lại đám xFlash hiện tại thôi, còn nếu kẻ tấn công cố ý khai thác những tính năng mới của ActionScript 3 thì phương thức này sẽ hoàn toàn bó tay. BTW, XMLSocket không phải là tính năng nguy hiểm nhất của ActionScript 3 đâu. <BR/><BR/>-ThaiAnonymousnoreply@blogger.comtag:blogger.com,1999:blog-37305442.post-81337977205128768132007-07-01T22:07:00.000-07:002007-07-01T22:07:00.000-07:00Flash có thể tạo cả 1 socket thông qua XMLSocket C...Flash có thể tạo cả 1 socket thông qua XMLSocket Class đó mrro à. Chẹp nếu mà kẻ tấn công dùng cả thứ này thì tớ tin là nó còn ác hơn là dùng các hàm getURL, LoadVariable .v.v. nhiều rất nhiều vì chúng trong chỉ truy cập mà còn dội cả packet vào server.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-37305442.post-21139981275724282952007-07-01T21:29:00.000-07:002007-07-01T21:29:00.000-07:00Một nhận định rất lý thú :).Hơn một năm nay chưa h...Một nhận định rất lý thú :).<BR/><BR/>Hơn một năm nay chưa hề thấy x-flash POST tấn công HVA có lẽ không phải do những điều mrro phát hiện mà do tính nặng nề của nó.<BR/><BR/>Nói về phương diện cản như mrro đưa ra, chắc chắn dùng x-flash POST sẽ không đi quá tầng apache được. Bởi thế, ý định DDoS để tăng server load (vì tạo truy vấn đến CSDL như HVA bị ngày trước) thì chắc chắn sẽ không được. Tuy nhiên, nói trên bình diện bị DDoS thuần túy thì băng thông, máy chủ và chính apache vẫn bị trì trệ nếu như số lượng request đủ nhiều. Giả sử, nếu một số lượng người dùng cùng được huy động để load x-flash vào tạo khoảng 10 ngàn SYN 1 giây thì server sẽ cực kỳ mệt nhọc vì chính kernel điều tác memory để xử lý cũng đã vất vả. Nếu chỉ để một mình apache gánh vác phần "inline edit" luôn thì nguy cơ bị cạn kiệt tài nguyên càng nhanh nữa.<BR/><BR/>Nói chung, chống DDoS ở bất cứ dạng nào cũng nên trải dài từ tầng thấp nhất lên tầng cao nhất. Tài nguyên cho hệ thống cần được trang bị đầy đủ. Có lẽ, cân bằng tải giữa nhiều servers là một giải pháp xem ra là khả thi nhất hiện nay. Tuy nhiên, không phải ai cũng có điều kiện tài chính để làm được điều này.<BR/><BR/>Thân mến.conmalehttps://www.blogger.com/profile/16598933828282382048noreply@blogger.com