Từ trước đến nay, tình trạng tấn công DDoS đã trở nên nỗi sợ hãi của bất kỳ chủ website nào. Trong khi website đóng vai trò vô cùng quan trọng trong việc kinh doanh trên Internet. Đó là nơi để doanh nghiệp tiếp cận khách hàng; ngược lại, cũng là nơi để người dùng tìm kiếm thông tin chi tiết về sản phẩm, dịch vụ trước khi quyết định mua. Vậy nên, bài viết hôm nay Vietnix sẽ hướng dẫn bạn cách chống DDoS hiệu quả cho website, mở rộng ra là cho cả VPS và Server. Cùng theo dõi nhé!
Tấn công DDoS là gì?
Tấn công DDoS hay tấn công từ chối dịch vụ phân tán là phương pháp sử dụng nhiều thiết bị trực tuyến được kết nối – gọi chung là mạng botnet – để tấn công vào máy chủ đích bằng vô số lưu lượng truy cập giả mạo. Điều này khiến cho máy chủ không có đủ tài nguyên để phản hồi các yêu cầu, dẫn đến sập hệ thống và gây ra nhiều hậu quả nghiêm trọng.
Không như các loại tấn công mạng khác, tấn công DDoS không cố gắng xâm phạm đến khả năng bảo mật mà chỉ có mục đích làm cho website hay máy chủ trở nên không khả dụng với người dùng hợp pháp. Tuy nhiên, DDoS cũng có thể được sử dụng như một lớp “bom khói” cho các hoạt động tấn công độc hại khác. Từ đó đánh sập các “phòng tuyến” thiết bị bảo mật và tấn công vào bên trong.
Các loại tấn công từ chối dịch vụ phân tán (DDoS)
Hiện nay, có rất nhiều phương pháp tấn công DDoS, điển hình có thể kể đến là:
- SYN Flood.
- UDP Flood.
- HTTP Flood.
- Ping of Death.
- Smurf Attack.
- Fraggle At
Các loại tấn công từ chối dịch vụ phân tán (DDoS)
Hiện nay, có rất nhiều phương pháp tấn công DDoS, điển hình có thể kể đến là:
- SYN Flood.
- UDP Flood.
- HTTP Flood.
- Ping of Death.
- Smurf Attack.
- Fraggle Attack.
- …
Với nhiều phương pháp tấn công như vậy, liệu có thể chống lại được hay không? Vietnix sẽ giới thiệu một số giải pháp để phòng chống tấn công DDoS ở phần tiếp theo.
Sau đây là 6 cách chống DDOS hiệu quả!!!
1. Đầu tư vào phần cứng mạng
Đầu tư vào phần cứng mạng chất lượng cao có thể giúp phát hiện các cuộc tấn công bất ngờ và thậm chí ngăn chặn chúng. Phần cứng mạng bao gồm tất cả thành phần giúp truyền dữ liệu trên mạng. Bao gồm router, cable để kết nối hệ thống, switch mạng và card mạng.
Nếu bạn đầu tư vào các thiết bị tốt, bạn có thể cấu hình phần cứng mạng để ngăn chặn tấn công DDoS. Một cách để làm điều này là cài đặt tường lửa mạng để các block các request không hợp lệ từ bên ngoài. Cách giảm thiểu DDoS này rất phù hợp cho các ứng dụng doanh nghiệp sử dụng mạng nội bộ.
Đối với một chủ doanh nghiệp nhỏ hay các webmaster, rất khó để đầu tư vào phần cứng mạng đắt tiền. Hơn nữa, mọi người thường không có các tài nguyên và kĩ năng để quản lý hệ thống phần cứng mạng riêng.
Vì vậy, chúng tôi khuyên bạn sử dụng dịch vụ lưu trữ của một nhà cung cấp được quản lý tốt và uy tín. Bằng cách đó, bạn sẽ không phải chịu chi phí liên quan đến việc mua và duy trì cơ sở hạ tầng mạng đắt tiền để hỗ trợ cho website.
2. Loại bỏ lỗ hổng trên website
Cách tốt nhất để ngăn chặn tấn công DDoS cho website là loại bỏ tất cả lỗ hổng trên trang web. Một trang web được hỗ trợ bởi một mạng lưới mạnh mẽ và có dịch vụ lưu trữ tốt thì ít có khả năng trở thành nạn nhân của các cuộc tấn công DDoS.
Nếu bạn sử dụng WordPress, hãy cập nhật (update) phiên bản mới thường xuyên. Lúc đó phần mềm này sẽ bao gồm các biện pháp bảo vệ mới nhất nhằm chống lại DDoS.
Ngoài ra, bạn cũng có thể cài đặt các plugin để bảo mật cho WordPress. Tuy nhiên không nên sử dụng quá nhiều plugin mà nên chọn cẩn thận. Điều quan trọng nhất là sử dụng các plugin có chất lượng cao, uy tín và được nhiều người dùng đánh giá cao như Sucuri, iTheme Securiy PRO.
3. Sử dụng Cloudflare để chống ddos cho website
Cloudflare có cả phiên bản miễn phí và phiên bản mất phí. Phiên bản miễn phí chỉ phù hợp với quy mô DDoS nhỏ. Ở quy mô lớn, Cloudflare sẽ khoá trang web của bạn với mục đích đảm bảo tài nguyên của Cloudflare. Phiên bản mất phí thì tương đối đắt nhưng khá tốt.
Sử dụng Cloudflare để chống ddos cho website
4. Giới hạn số kết nối website tại một thời điểm
Khi người dùng truy cập vào website thì sẽ tạo nên 1 truy vấn kết nối với cơ sở dữ liệu để lấy thông tin khách truy cập sau đó trả về bằng thông báo của website. Mỗi máy chủ sẽ bị giới hạn số lượng truy vấn kết nối, khi xảy ra tình huống quá hạn mức này thì việc truy vấn sẽ khó khăn hoặc có thể xảy ra vấn đề là không thể truy xuất được. Những kẻ xấu có thể lợi dụng chút sơ hở này để tạo ra những truy vấn ảo, kết nối ảo thông qua proxy hay là bởi mạng botnet với mục đích đánh sập những website, sau đó phá hỏng CSDL trang web. Để hạn chế điều này, người dùng có thể sử dụng đoạn mã sau vào trang chủ của website:
function server_busy($numer) {
if (THIS_IS == 'WEBSITE' && PHP_OS == 'Linux' and @file_exists ( '/proc/loadavg' ) and $filestuff = @file_get_contents ( '/proc/loadavg' )) {
$loadavg = explode ( ' ', $filestuff );
if (trim ( $loadavg [0] ) > $numer) {
print '';
print 'Lượng truy cập đang quá tải, mời bạn quay lại sau vài phút.';
exit ( 0 );
}
}
}
$srv = server_busy ( 100 );Trong đó 100 là số lượng người có thể vào website trong 1 thời điểm. Trong trường hợp số lượng người truy cập vượt quá quy định chủ sở hữu website đặt ra lúc này là 100 người, thì khách truy nhập vào website sẽ nhận được thông báo lượng truy cập bị quá tải.
Lưu ý: đoạn mã này chỉ áp dụng cho ngôn ngữ lập trình PHP.
5. Chống iframe.
Đây là phương pháp được xem là thô sơ nhất. Kẻ tấn công sẽ mượn 1 website có lượt truy cập lớn nào đó chèn các iframe hướng về website cần đánh rồi cho chạy lệnh refresh (tải lại) nhiều lần hoặc họ viết sẵn 1 tập tin flash với công dụng tương tự rồi đặt lên website và khi người dùng truy cập vào website này thì họ vô tình bất đắc dĩ trở thành người tấn công website kia.
Với hình thức tấn công kiểu như thế này bạn hoàn toàn có thể chống lại bằng cách chèn 1 đoạn mã Javascript chống chèn iframe từ các website khác đến website của bạn.
<script language="JavaScript">
if (top.location != self.location)
{top.location = self.location}
</script>
Bạn có thể tại đoạn mã trên tại:
6. Sử dụng phần cứng Anti-DDoS và module phần mềm
Trang bị tường lửa mạng và tường lửa ứng dụng web chuyên dụng là một trong những phương pháp hiệu quả để chống lại DDos. Bộ load balance là một thành phần không thể thiếu để đảm bảo cân bằng dữ liệu trong công cuộc phòng chống DDoS.
Hiện tại, nhiều nhà sản xuất linh kiện phần cứng còn đảm bảo cung cấp thêm dịch vụ bảo vệ phần mềm khỏi DDoS. Cơ chế là sẽ theo dõi số lượng kết nối không dây đang tồn tại, khi các kết nối này đạt tới một số lượng nhất định nó sẽ bị xóa. Làm như vậy có thể bảo vệ phần mềm khỏi các cuộc tấn công DDoS flood SYN.
Ngoài ra, một số phần mềm web server còn được tích hợp các module chuyên dụng. Chẳng hạn như Apache 2.2.15 được trang bị module mod_reqtimeout để chống lại các cuộc tấn công DDoS ở lớp ứng dụng.
Lời kết
Bài viết trên, đã hướng dẫn bạn các cách phòng chống DDoS hiệu quả. Hy vọng những giải pháp nêu trên có thể giúp ích cho bạn trong việc phòng chống tấn công DDoS gây ảnh hưởng xấu đến doanh nghiệp. Nếu có thắc mắc về dịch vụ Firewall Anti DDoS , hãy để lại bình luận bên dưới để chúng tôi có thể giải đáp cho bạn kịp thời. Hienblogdev xin chân thành cảm ơn bạn đã quan tâm!
Chúc bạn sẽ thành công!