Hiện nay các doanh nghiệp ngày càng phát triển phụ thuộc vào các công cụ tìm kiếm và lưu lượng truy cập web để thúc đẩy doanh số bán hàng, thì nguy cơ ngày càng hiện hữu từ các tác nhân độc hại trực tuyến cũng có mối đe doạ hơn bao giờ hết. Và mối đe doạ thường xuyên nhất là các cuộc tấn công DDoS.
Nhưng tấn công DDoS là gì, làm cách nào để xác định được chúng và bạn có thể làm gì để bảo vệ trang web của mình? Ở bài viết này mình sẽ giới thiệu cho các bạn.
1. DDoS là gì?
DDoS, là một cuộc tấn công phối hợp sử dụng một hoặc nhiều địa chỉ IP được thiết kế để làm tê liệt một trang web bằng cách làm cho máy chủ của nó không thể truy cập được. Điều này được thực hiện bằng cách làm quá tải tài nguyên của máy chủ và sử dụng hết tất cả các kết nối, băng thông và thông lượng có sẵn.
2. Cách kiểm tra DDoS
Nếu bạn lo ngại rằng máy chủ của mình có thể bị tấn công DDoS, điều đầu tiên bạn cần làm là xem xét xem máy chủ Cloud VPS của bạn có thể “tải trọng” được bao nhiêu?
Để xác định độ chịu tải hiện tại của máy chủ, bạn có thể sử dụng lệnh grep / proc / cpuinfo | lệnh wc -l, nó sẽ trả về số bộ xử lý logic (luồng). Trong một cuộc tấn công DDoS, bạn có thể thấy tải ở mức gấp đôi, gấp ba hoặc thậm chí cao hơn mức tải tối đa mà bạn nên có.
Để bắt đầu, hãy sử dụng hai lệnh bên dưới để trả về thời gian hoạt động và tải máy chủ của bạn.
grep / proc / cpuinfo | wc -l
Mức trung bình tải hiển thị trong các khoảng thời gian sau: trung bình 1 phút, trung bình 5 phút và trung bình 15 phút. Trong trường hợp này, trung bình tải lớn hơn 7 có thể sẽ là vấn đề quan ngại.
3. Cách kiểm tra IP nào đang kết nối với máy chủ của bạn
Vì hầu hết các cuộc tấn công DDoS yêu cầu kết nối với máy chủ, bạn có thể kiểm tra và xem có bao nhiêu địa chỉ IP nào đang kết nối với máy chủ của bạn cùng một lúc. Điều này có thể được xác định bằng cách sử dụng netstat,
netstat -ntu | awk '{print $ 5}' | cut -d: -f1 -s | sort | uniq -c | sort -nk1 -r
Khi được nhập đúng, lệnh này sẽ trả về một danh sách giảm dần các IP nào được kết nối với máy chủ của bạn và mỗi IP có bao nhiêu kết nối.
Nếu bạn thấy một số IP có hơn 100 kết nối thì cần xem xét.
4. Giảm nhẹ cuộc tấn công DDoS
Khi bạn đã có ý tưởng về những IP nào đang tấn công máy chủ của mình, việc chặn những IP cụ thể này có thể được thực hiện bằng một vài lệnh đơn giản.
Để bắt đầu, hãy sử dụng lệnh sau, thay thế “ipaddress” bằng địa chỉ IP mà bạn đang cố chặn.
route add ipaddress reject
Khi bạn đã chặn một IP cụ thể trên máy chủ, bạn có thể kiểm tra chéo xem IP đó có bị chặn thành công hay không bằng cách sử dụng:
route -n | grep ipaddress
Bạn cũng có thể đánh dấu địa chỉ IP trên máy chủ bằng cách sử dụng iptables bằng cách nhập các lệnh sau:
iptables -A INPUT 1-S IPADDRESS -j DROP / REJECT
- iptables iptables restart
- iptables iptables save
Sau khi nhập loạt lệnh này, bạn sẽ cần phải hủy tất cả các kết nối httpd và khởi động lại các dịch vụ httpd. Điều này có thể được thực hiện bằng cách nhập.
- killall -KILL httpd
- service httpd startssl
Nếu nhiều địa chỉ IP không xác định đang tạo ra một số lượng lớn kết nối, thì một trong hai quá trình này có thể được lặp lại cho tất cả các IP vi phạm.
5. DDoS sử dụng nhiều IP
Để bắt đầu, bạn sẽ cần xác định xem những kết nối này đến từ các mạng con nào /16 hoặc /24. Bạn có thể sử dụng hai lệnh tiếp theo để liệt kê các mạng con chứa các IP được kết nối và có bao nhiêu IP trong mỗi mạng con.
Để tìm các IP từ cùng một mạng con /16 (xxx.xxx.0.0), hãy sử dụng:
netstat -ntu | awk '{print $ 5}' | cut -d: -f1 -s | cut -f1,2 -d '.' | sed 's / $ /. 0.0 /' | sort | uniq -c | sort -nk1 -r
Khi được nhập, lệnh này sẽ hiển thị bất kỳ IP nào bắt đầu bằng hai octet giống nhau: tức là. 192.168.xxx.xxx.
Để tìm các IP từ cùng một mạng con / 24 (xxx.xxx.xxx.0), hãy sử dụng:
netstat -ntu | awk '{print $ 5}' | cut -d: -f1 -s | cut -f1,2,3 -d '.' | sed 's / $ /. 0 /' | sort | uniq -c | sort -nk1 -r
Khi được nhập, lệnh này sẽ hiển thị bất kỳ IP nào bắt đầu bằng ba octet giống nhau: tức là. 192.168.1.xxx.
Những kỹ thuật này chỉ là một số công cụ có sẵn để kiểm tra các cuộc tấn công có thể xảy ra hay không. Mặc dù hiện có nhiều công cụ nâng cao hơn, nhưng các phương pháp này có thể cung cấp kết quả nhanh chóng và dễ dàng. Chúc các bạn thành công.
Leave a Reply