Làm gì khi VPS bị tấn công ddos trên linux
I. Giới thiệu
Trên môi trường internet thì việc bị ddos là chuyện như ăn cơm bửa, thích thì bị ddos, không thích thì cũng bị ddos, làm người ta ghét cũng bị ddos, làm người ta yêu cũng bị ddos, nói chung là làm cái gì cũng bị ddos. Vậy làm sao để chặn ddos. Xin thưa không có cách nào để chặn được ddos mà chỉ hạn chế và chờ đợi cho nó qua đi mà thôi. Cách tốt nhất có thể làm khi bị ddos là tắt dịch vụ, tắt các service, tắt tất tần tật trên VPS. Nói chung là shutdown cho nó lẹ.
ddos là gì mà ghê gớm vậy ?
(ở đây mình nói trên phương diện người dùng hiểu vấn đề chứ không đi sâu vào hàn lâm)
DoS : Denial of service tiếng việt là “từ chối dịch vụ” đơn giản dễ hiểu là : Bạn cung cấp dịch vụ website mà hacker tấn công cho bạn hết cung cấp được.
DDos : Distributed Denial of service tiếng việt là “Tấn công từ chối dịch vụ phân tán” đơn giản dễ hiểu là : Bạn cung cấp dịch vụ website mà cả chục hacker tấn công cho bạn hết cung cấp được dịch vụ.
-> Đơn giản dễ hiểu nhất là :
Dos : một thằng tấn công bạn
DDos : nhiều hơn 2 thằng tấn công bạn
Tại sao hacker lại thực hiện ddos ?
– Cạnh tranh không lành mạnh
– Chứng tỏ sức mạnh
– Tỏ ra nguy hiểm
– Nghiên cứu
Tại sao không thể chặn được DDos ?
Theo nhiều chuyên gia trên toàn thế giới thì bla bla bla… -> Cái này hàn lâm lắm muốn tìm hiểu thêm thì search nhé!
Cách nhận ra một cuộc tấn công dos và ddos là gì ?
– Mạng truy cập chậm, thất thường, website thì load không được, thường xuyên bị treo
– Nhiều kết nối vào website hoặc VPS/server
– Ping chập chờn, rớt gói
– Thao tác trên server/vps chậm khó diễn tả
II. Thực hiện hạn chế dos và ddos
Bước 1: Nhận dạng có phải là dos và ddos hay không
kiểm tra lượng tất cả lượng kết nối tới theo port :80
- netstat –n | grep :80 |wc –l
- netstat –n | grep: 80 | grep SYN | wc –l
-> Nếu kết quả lớn hơn bình thường hoặc tăng đột biến thì rất có thể bạn đã bị ddos. Mình không nói chính xác con số, theo một số chuyên gia thì trên 500 connect cùng một lúc thì đã có vấn đề (chưa kiểm chứng)
Bước 2: Nhận biết IP thực hiện tấn công
Kiểm tra IP nào thực hiện nhiều gói SYN_REC:
1 | netstat –n –p | grep SYN_REC | awk ‘{print $5}’ | awk –F: ‘{print $1}’ |
Hiển thị tất cả IP đang kết nối và số lượng kết nối trên mõi IP:
1 | netstat –an|grep :80 |awk ‘{print $5}’|cut –d“:” –f1|sort|uniq –c|sort –rn |
Bước 3: Chặn IP đã được phát hiện
Cách 1: Dùng firewall
1 | iptables –A INPUT 1 –s $IPADRESS –j DROP/REJECT |
khởi động lại dịch vụ để được thực thi.
1 | iptables–save hoặc service iptables save |
Cách 2: Cài csf (Nếu bạn biết sử dụng)
Link tham khảo nếu chưa biết CSF là gì ! CSF (ConfigServer Security & Firewall) trên Centos 6
- csf –d [IP_được nhận diện]
- csf –r (restart lai dịch vụ csf để được thực thi ngay lập tức)
Cách 3: Nullroute IP (hố đen vũ trụ)
- route add [IP_được nhận diện] gw 127.0.0.1
- route add –host [IP_được nhận diện] reject
Cách 4: Nhanh nhất và hiệu quả nhất
- shutdown
Bước 5 : Xóa các IP đã thực hiện dos và ddos
- killall –KILL httpd
- killall –9 httpd
khởi động lại dịch vụ httpd (apache)
- service httpd restart