Làm gì khi VPS bị tấn công ddos trên linux

2 Tháng Mười, 2016

Làm gì khi VPS bị tấn công ddos trên linux

I. Giới thiệu

Trên môi trường internet thì việc bị ddos là chuyện như ăn cơm bửa, thích thì bị ddos, không thích thì cũng bị ddos, làm người ta ghét cũng bị ddos, làm người ta yêu cũng bị ddos, nói chung là làm cái gì cũng bị ddos. Vậy làm sao để chặn ddos. Xin thưa không có cách nào để chặn được ddos mà chỉ hạn chế và chờ đợi cho nó qua đi mà thôi. Cách tốt nhất có thể làm khi bị ddos là tắt dịch vụ, tắt các service, tắt tất tần tật trên VPS. Nói chung là shutdown cho nó lẹ.

ddos là gì mà ghê gớm vậy ?

(ở đây mình nói trên phương diện người dùng hiểu vấn đề chứ không đi sâu vào hàn lâm)

DoS : Denial of service tiếng việt là “từ chối dịch vụ” đơn giản dễ hiểu là : Bạn cung cấp dịch vụ website mà hacker tấn công cho bạn hết cung cấp được.

DDos : Distributed Denial of service tiếng việt là “Tấn công từ chối dịch vụ phân tán” đơn giản dễ hiểu là : Bạn cung cấp dịch vụ website mà cả chục hacker tấn công cho bạn hết cung cấp được dịch vụ.

-> Đơn giản dễ hiểu nhất là :

Dos : một thằng tấn công bạn

DDos : nhiều hơn 2 thằng tấn công bạn

Tại sao hacker lại thực hiện ddos ?

– Cạnh tranh không lành mạnh

– Chứng tỏ sức mạnh

– Tỏ ra nguy hiểm

– Nghiên cứu

Tại sao không thể chặn được DDos ?

Theo nhiều chuyên gia trên toàn thế giới thì bla bla bla… -> Cái này hàn lâm lắm muốn tìm hiểu thêm thì search nhé!

Cách nhận ra một cuộc tấn công dos và ddos là gì ?

– Mạng truy cập chậm, thất thường, website thì load không được, thường xuyên bị treo

– Nhiều kết nối vào website hoặc VPS/server

– Ping chập chờn, rớt gói

– Thao tác trên server/vps chậm khó diễn tả

II. Thực hiện hạn chế dos và ddos

Bước 1: Nhận dạng có phải là dos và ddos hay không

kiểm tra lượng tất cả lượng kết nối tới theo port :80

-> Nếu kết quả lớn hơn bình thường hoặc tăng đột biến thì rất có thể bạn đã bị ddos. Mình không nói chính xác con số, theo một số chuyên gia thì trên 500 connect cùng một lúc thì đã có vấn đề (chưa kiểm chứng)

Bước 2: Nhận biết IP thực hiện tấn công

Kiểm tra IP nào thực hiện nhiều gói SYN_REC:

 

Hiển thị tất cả IP đang kết nối và số lượng kết nối trên mõi IP:

 

Bước 3: Chặn IP đã được phát hiện

Cách 1: Dùng firewall

khởi động lại dịch vụ để được thực thi.

 

Cách 2: Cài csf (Nếu bạn biết sử dụng)

Link tham khảo nếu chưa biết CSF là gì ! CSF (ConfigServer Security & Firewall) trên Centos 6


Cách 3: Nullroute IP (hố đen vũ trụ)

 

Cách 4: Nhanh nhất và hiệu quả nhất

 



Bước 5 : Xóa các IP đã thực hiện dos và ddos


hoc 
  1. killall 9 httpd

khởi động lại dịch vụ httpd (apache)