Làm thế nào bạn xác định rằng bạn đang bị tấn công DDos ? Có thể có một số lý do khiến máy chủ của bạn hoạt động chậm hoặc sử dụng CPU cao. Có thể có cấu hình sai trong mã, tập lệnh hoặc phần cứng rẻ tiền. Nhưng đôi khi nó có thể là do cuộc tấn công DDos vào máy chủ hoặc mạng của bạn DoS (Từ chối Dịch vụ) hoặc DDoS (Từ chối Dịch vụ Phân tán).

Có nhiều cách để xác định rằng bạn đang bị tấn công DDos

Ví dụ: Bạn có thể sử dụng Wireshark và quan sát các gói SYN.

Đối với hướng dẫn này, chúng tôi sẽ sử dụng lệnh netstat hoạt động trên Linux / Windows / Mac, bạn có thể sử dụng các lệnh này trên hầu hết mọi hệ điều hành.

netstart -na

Điều này hiển thị tất cả các kết nối Internet đang hoạt động đến máy chủ và chỉ những kết nối đã thiết lập mới được bao gồm.

netstart –an | grep:80 | sort

Chỉ hiển thị các kết nối Internet đang hoạt động với máy chủ trên cổng 80, đây là cổng http và vì vậy nó rất hữu ích nếu bạn có máy chủ web và sắp xếp kết quả. Hữu ích trong việc phát hiện một lũ bằng cách cho phép bạn nhận ra nhiều kết nối đến từ một IP.

netstart –n –p | grep SYN_REC | wc –l

Lệnh này rất hữu ích để biết có bao nhiêu SYNC_REC đang hoạt động trên máy chủ. Con số phải khá thấp, tốt nhất là nhỏ hơn 5. Trong các sự cố tấn công DoS hoặc bom thư, con số có thể tăng lên khá cao. Tuy nhiên, giá trị luôn phụ thuộc vào hệ thống, vì vậy giá trị cao có thể là giá trị trung bình trên một máy chủ khác.

netstart –n –p | grep SYN_REC | sort –u

Liệt kê tất cả các địa chỉ IP có liên quan thay vì chỉ đếm.

netstart –n –p | grep SYN_REC | awk ‘{print $5}’ | awk –F: ‘{print $1}’

Liệt kê tất cả các địa chỉ IP duy nhất của nút đang gửi trạng thái kết nối SYN_REC.

netstart –ntu | awk ‘{print $5}’ | cut –d: -f1 | sort | uniq –c | sort –n

Sử dụng lệnh netstat để tính toán và đếm số lượng kết nối mà mỗi địa chỉ IP tạo ra với máy chủ.

netstart –anp |grep ‘tcp|udp’ | awk ‘{print $5}’ | cut –d: -f1 | sort | uniq –c | sort –n

Liệt kê số lượng kết nối mà các IP được kết nối với máy chủ bằng giao thức TCP hoặc UDP.

netstart –ntu | grep ESTAB | awk ‘{print $5}’ | cut –d: -f1 | sort | uniq –c | sort –nr

Kiểm tra các kết nối ĐÃ ĐƯỢC THIẾT LẬP thay vì tất cả các kết nối và hiển thị số lượng kết nối cho mỗi IP.

netstart –plan|grep :80|awk ‘{print $5}’|cut –d: f 1|sort|uniq –c|sort –nk 1

Hiển thị và liệt kê địa chỉ IP và số lượng kết nối của nó kết nối với cổng 80 trên máy chủ. Cổng 80 được sử dụng chủ yếu bởi yêu cầu trang web HTTP.

Sử dụng các lệnh này, bạn sẽ có thể xác định Địa chỉ IP từ nơi DDos đến, Vậy làm thế nào chúng ta có thể ngăn chặn nó?

Các biện pháp đối phó để ngăn chặn cuộc tấn công DDos sẽ là gì?

Có hai cách mà chúng tôi có thể sử dụng để ngăn chặn hoặc di chuyển cuộc tấn công.

- Load Balancing

- Throttling

1. Load Balancing là gì?

Load Balancing là tính năng giúp máy chủ ảo hoạt động đồng bộ và hiệu quả hơn bằng cách phân phối đồng đều tài nguyên, để ngăn máy chủ của bạn ngừng hoạt động.

2. Throttling là gì?

Có thể sử dụng bộ điều tiết bộ định tuyến lấy máy chủ làm trung tâm công bằng tối thiểu để ngăn các máy chủ hoạt động. Phương pháp này cho phép các bộ định tuyến quản lý lưu lượng truy cập lớn để máy chủ có thể xử lý. Nó có thể được sử dụng để lọc lưu lượng người dùng hợp pháp khỏi lưu lượng tấn công DDos giả mạo.

Làm cách nào để bảo vệ Địa chỉ IP máy chủ của bạn bằng tích hợp Cloud-flare?

CloudFlare là dịch vụ CDN cơ bản miễn phí, khá tốt, nó giúp trang web của bạn tải hoàn hảo và xử lý một số tải CPU. Nó cũng ngăn chặn các cuộc tấn công DDos vào Trang web của bạn thông qua việc che dấu Địa chỉ IP máy chủ thực của bạn. Tôi sẽ khuyến nghị mọi người sử dụng CloudFlare và ngăn chặn các cuộc tấn công DDos và băng thông an toàn.

 

Được rồi, bây giờ chúng ta có một tùy chọn khác là Throttling phải không? Hướng dẫn di chuyển này chỉ dành cho Linux.

Làm thế nào để di chuyển DDos Attack sau khi bạn xác định được nó?

Khi bạn đã xác định được Địa chỉ IP từ nơi DDos đang xảy ra, chúng tôi có thể di chuyển để đối phó với cuộc tấn công này và chặn Địa chỉ IP.

Để làm việc đó:

iptables –A INPUT 1 –s $IPADRESS –j DROP/REJECT

Xin lưu ý rằng bạn phải thay thế $ IPADRESS bằng các số IP mà bạn đã tìm thấy bằng netstat. Sau khi kích hoạt lệnh trên, hãy KILL tất cả các kết nối httpd để làm sạch hệ thống của bạn và khởi động lại dịch vụ httpd bằng cách sử dụng các lệnh sau:

killall –KILL httpd

service httpd start #For Red Hat systems

/etc/init/d/apache2 restart #For Debian systems