Hướng dẫn nhận biết và phòng chống tấn công ddos trên máy chủ ảo và máy chủ

Khi server đột ngột chậm như rùa, mọi xử lý của server đều rất nặng nề, thì nhiều khả năng bạn cần nghĩ đến vấn đề máy chủ server của bạn đã bị DDOS

Ddos là vấn nạn cho ngành lưu trữ hiện tại. Mặc dù biết rằng Ddos cần được loại trừ ra khỏi môi trường Internet nhưng chúng ta vẫn chưa có cách hoặc chưa đủ khả năng để làm việc này khi mà các lực lượng ddos thì trong bóng tối còn ta ở ngoài ánh sáng. Thế những chúng ta vẫn phải ngày giờ phòng chống Ddos cũng như xử lý khi ddos xảy ra. Trong bài viết dưới đây, tôi sẽ hướng dẫn nhận biết và phòng chống tấn công ddos trên máy chủ ảo và máy chủ

Khi server đột ngột chậm như rùa, mọi xử lý của server đều rất nặng nề, thì nhiều khả năng do một trong hoặc những nguyên nhân sau:

1. Server bị DDOS

2. Server bị quá tải do thiếu RAM

3. Server bị quá tải do tốc độ xử lý của CPU không đảm bảo

4. Tốc độ truy xuất dữ liệu của HDD không đáp ứng nhu cầu read/write của data. (Thông thường xảy ra trên các ổ SATA 72krpm hoặc HDD sắp hỏng)

Trong bài viết này chúng ta đi vào vấn đề thứ 1: server bị DDOS, các vấn đề 2,3,4 có thể khắc phục dễ dàng bằng cách nâng cấp phần cứng.

Kiểm tra xem server có bị Ddos hay không:

Từ command line Linux gõ:

netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

Câu lện trên sẽ trả về hàng loạt IP chiếm nhiều connection nhất trên server. Cần lưu ý rằng DDOS có thể xuất phát từ một lượng nhỏ connection. Do đó việc kết quả trả về connection thấp bạn vẫn có thể trong tình trạng under attack.

Một phương pháp khác:

Mã:

netstat -n | grep :80 |wc -l

netstat -n | grep :80 | grep SYN |wc -l

Dòng lệnh thứ nhất trả về số lượng active connection (connection đang hoạt động). Rất nhiều kiểu tấn công DDOS bằng cách mở một kết nối connection lên server rồi không làm gì cả khiến cho server chờ đợi cho đến khi timeout. Nến nếu dòng lệnh thứ nhất trả về trên 500 thì server của bạn rất nhiều khả năng bị DDOS.

Dòng lệnh thứ 2 trả về kết quả trên 100 thì rất nhiều khả năng server bạn trong tình trang syn attack DDOS.

Lưu ý: cách tính trên chỉ là tương đối, một số website có lưu lượng truy cập lớn thì phương pháp detect này có thể không chính xác.

Một số phương pháp khắc phục:

Cách khắc phục nhanh nhất là block các IP chiếm nhiều connection nhất trong "giờ cao điểm":

Cách 1:

route add địa-chỉ-ip reject

Ví dụ của mình cái thằng nó đang ddos daivietpda IP là 180.87.42.50 thì cho nó vào

Mã:

route add 180.87.42.50 reject

Kiểm tra bằng lệnh: route -n |grep địa-chỉ-ip

Cách 2: sử dụng iptables

iptables -A INPUT 1 -s địa-chỉ-ip -j DROP/REJECT service iptables restart

service iptables save

Sau đó xóa hết tất cả connection hiện hành và khơi động lại service httpd

killall -KILL httpd service httpd restart

Nếu như hoàn tất các bước nêu trên mà server vẫn chậm thì có nghĩa là vấn đề bạn gặp phải nằm vào trường hợp 2,3,4... chỉ việc nâng cấp server để đáp ứng nhu cầu truy cập của người sử dụng.

 Cảm ơn các bạn đã quan tâm

Từ khóa tìm kiếm :

tấn công ddos
cách thức tấn công ddos
tấn công ddos là gì
kỹ thuật tấn công ddos
tấn công từ chối dịch vụ ddos
anonymous trong vụ tấn công ddos
đồ án tấn công ddos
tấn công từ chối dịch vụ
supper scan

Share on Google Plus