VietNetwork.Vn

Các cuộc tấn công từ chối dịch vụ (DoS) và từ chối dịch vụ phân tán (DDoS) là các mối đe dọa phổ biến mà mọi máy chủ web có thể truy cập công khai phải đối mặt. Mục đích của các cuộc tấn công như vậy, theo cách đơn giản nhất, là làm ngập máy chủ với các kết nối, làm quá tải nó và ngăn chặn việc chấp nhận lưu lượng truy cập hợp pháp.

Các cuộc tấn công ngày càng trở nên tự động thay vì nhắm trực tiếp và các botnet (mạng máy tính bị nhiễm có thể điều khiển từ xa) tiếp tục phát triển với tốc độ nhanh, khiến các cuộc tấn công DoS và DDoS trở nên phổ biến hơn nhiều.

May mắn thay, CSF có thể được sử dụng để giúp giảm thiểu các cuộc tấn công nhỏ. Trước khi tiếp tục, điều quan trọng là phải hiểu các điểm sau:

• Không có cách nào để ngăn chặn cuộc tấn công DoS / DDoS đối với bất kỳ máy chủ nào được kết nối với Internet, một khi trong tiến trình, điều duy nhất có thể được thực hiện là cố gắng giảm thiểu tác động của nó.
• Không có cách nào để làm cho một máy chủ phản hồi bình thường khi nó đang bị tấn công, điều tốt nhất có thể được thực hiện là cố gắng giữ cho nó trực tuyến online trong suốt cuộc tấn công bằng cách giảm tác động của lưu lượng truy cập đến.
• Trong một số trường hợp, cách tốt nhất để đối phó với một cuộc tấn công khối lượng lớn là vô hiệu hóa địa chỉ IP của máy chủ. Thực tế, điều đó có nghĩa là tạm thời ngắt kết nối IP với Internet cho đến khi lưu lượng truy cập đến giảm xuống.
• Bất kỳ biện pháp nào được sử dụng trong CSF sẽ chỉ có hiệu quả đối với các cuộc tấn công nhỏ và các biện pháp chỉ nên được thực hiện trong CSF khi máy chủ đang bị tấn công. Các cài đặt tường lửa luôn phải được khôi phục sau đó để giảm thiểu sự gián đoạn lưu lượng truy cập hợp pháp, vì các biện pháp được nêu dưới đây sẽ làm chậm các gói tin và dữ liệu đến.
• CSF không phải là cách duy nhất để giảm thiểu các cuộc tấn công quy mô nhỏ. Các dịch vụ như được cung cấp bởi mạng CloudFlare, cũng có thể hữu ích vì chúng ở bên ngoài, lưu lượng truy cập vào máy chủ. Và để bảo vệ tối đa trước các cuộc tấn công lớn (hàng triệu gói đến mỗi giây), một dịch vụ giảm thiểu DoS chuyên dụng có thể là cần thiết. Bạn có thể đọc thêm về bảo vệ như vậy tại   Đăng nhập để xem liên kết.

Kiểm tra tường lửa.

• Giả định rằng bạn đã cài đặt Tường lửa cấu hình máy chủ (CSF) trên máy chủ cPanel của mình và bạn có quyền truy cập vào WebHost Manager (WHM).
• Nếu máy chủ cPanel được quản lý của bạn hiện đang sử dụng APF nhưng bạn lại thích CSF, hãy chuyển đổi.

Nếu bạn chưa làm như vậy, trước tiên hãy chắc chắn sao lưu cấu hình tường lửa hiện tại trước khi thực hiện bất kỳ thay đổi nào. Sau khi cuộc tấn công đã lắng xuống, bạn sẽ muốn khôi phục cấu hình tường lửa hiện tại bằng cách sử dụng các cấu hình trong tường lửa đã sử dụng trước đó.

Bước 1: Mở Firewall Configuration.

• Trong Webhost Manager, xác định vị trí và chọn ConfigServer Security & Firewall trong phần Plugins trong menu bên trái. Bạn cũng có thể bắt đầu nhập vào chữ fire vào trường tìm kiếm ở góc trên bên trái để thu hẹp các tùy chọn.
• Nhấp vào nút Firewall Configuration để mở tập tin cấu hình.

Bước 2: Giới hạn tỷ lệ lưu lượng truy cập đến.

• Điều đầu tiên có thể được thực hiện để giảm thiểu tác động của một cuộc tấn công sắp tới là giới hạn số lượng kết nối trên mỗi địa chỉ IP.
• Khi được cấu hình đúng, CSF sẽ theo dõi số lượng kết nối từ địa chỉ IP đánh vào máy chủ và chặn địa chỉ IP ở cấp tường lửa nếu chúng vượt quá giới hạn xác định.
• Điều quan trọng là không đặt giới hạn quá thấp, vì các giao thức như FTP, IMAP và thậm chí HTTP đều tạo ra nhiều kết nối hợp pháp. Ngoài ra, hãy nhớ rằng hầu hết các công ty cũng như ở nhà và các điểm truy cập công cộng có thể có nhiều máy tính khác nhau trên mạng nội bộ của họ, tất cả đều có chung một địa chỉ IP công cộng.

Để đặt giới hạn cho các kết nối trên mỗi địa chỉ IP, hãy cuộn xuống phần Theo dõi kết nối Connection Tracking của trang Cấu hình tường lửa Firewall Configuration và đặt CT_LIMIT thành giá trị mong muốn.


Với mục đích của hướng dẫn này, chúng tôi sẽ sử dụng 150 kết nối cho mỗi địa chỉ IP làm giới hạn trên. Bạn có thể thấy rằng bạn cần phải hạ hoặc tăng số đó, nhưng nói chung, bạn không bao giờ nên cố gắng đặt nó dưới khoảng 100.

Giả sử máy chủ đang bị tấn công, bạn cũng sẽ muốn tắt thông báo email bằng cách đặt CT_EMAIL_ALERT thành 0 0. Nếu không, máy chủ sẽ gửi email mỗi lần chặn địa chỉ IP, địa chỉ này sẽ chỉ tăng thêm để tải trên máy chủ.


Bạn cũng có thể muốn hạn chế tốc độ giới hạn ở các cổng cụ thể, có thể được thực hiện bằng cách sử dụng cài đặt CT_PORTS. Nhiều cổng có thể được thêm vào ở định dạng được phân tách bằng dấu phẩy (không có khoảng trắng ở giữa). Trong ví dụ này, chúng tôi chỉ áp dụng giới hạn tốc độ cho các cổng HTTP:


Với các cài đặt này, mọi địa chỉ IP tạo hơn 150 kết nối đến trang web trên các cổng tiêu chuẩn và / hoặc các cổng an toàn sẽ bị chặn trong tường lửa. Theo mặc định, đó sẽ bị chặn tạm thời trong 30 phút. Cài đặt CT_BLOCK_TIME có thể kéo dài thời gian chặn và bằng cách chuyển đổi cài đặt CT_PERMANENT, bạn có thể sắp xếp các địa chỉ IP bị chặn vĩnh viễn.

Bước 3: Bảo vệ SYNflood

Một cuộc tấn công SYNflood là một cuộc tấn công DoS khai thác quá trình kết nối TCP (Giao thức điều khiển truyền dữ liệu Transmission Control Protocol).
Theo các thuật ngữ cơ bản, kết nối TCP được thiết lập bằng cách bắt tay ba bước:

• Máy khách (kết nối đến) sẽ gửi gói đồng bộ hóa (SYN) đến máy chủ.
• Máy chủ phản hồi với xác nhận đồng bộ hóa (SYN / ACK) cho máy khách.
• Sau đó, máy khách phản hồi với một xác nhận (ACK) trở lại máy chủ.

Một cuộc tấn công SYNflood thao túng cái bắt tay ba bước đó bằng cách bắt đầu nhiều yêu cầu đồng bộ hóa và sau đó từ chối trả lời với bất kỳ xác nhận cuối cùng nào. Điều đó khiến cho máy chủ đang chờ một điểm chờ trên máy khách trả lời cuối cùng để hoàn thành kết nối đến của chúng, cuối cùng sẽ hết các kết nối có sẵn cho dịch vụ được nhắm mục tiêu và dường như bị offline.
Trên máy chủ Linux, bạn có thể nhanh chóng kiểm tra các gói SYN bằng cách chạy lệnh này qua SSH:

netstat -nap | grep SYN -c
Điều quan trọng cần lưu ý là sự hiện diện của các gói SYN không nhất thiết có nghĩa là một máy chủ thực sự đang bị tấn công bởi SYNflood. Ví dụ, nếu việc tải trên máy chủ đã cao hoặc có rất nhiều lưu lượng truy cập đến, mức độ cao sẽ được dự kiến. Chỉ có sự hiện diện của một số lượng lớn (trong hàng trăm) có khả năng là dấu hiệu của một cuộc tấn công SYNflood có thể xảy ra.

Nếu bạn biết rằng máy chủ đang bị tấn công, bạn có thể cấu hình CSF để giúp giảm thiểu loại tấn công này. Nếu không, bỏ qua bước thứ 3 và khởi động lại tường lửa để áp dụng các giới hạn tốc độ bạn đã bật trong bước 1.
Để bật chức năng bảo vệ SYNflood, hãy tìm phần Port Flood Settings của trang Firewall Configuration.


Bạn có thể kích hoạt bảo vệ SYNflood bằng thiếp lập SYNFLOOD thành 1 và đặt tốc độ tối đa và burst:

• SYNFLOOD_RATE là số lượng gói tin được chấp nhận trên mỗi IP, mỗi giây. Với mục đích của hướng dẫn này, chúng tôi sẽ sử dụng giá trị của 75 / s trên giả định rằng một cuộc tấn công DoS đang diễn ra.
• SYNFLOOD_BURST là số lần IP có thể đạt giới hạn tốc độ trước khi bị chặn trong tường lửa. Một thiết lập của 25 hoạt động cho mục đích của chúng tôi.

Bạn có thể sẽ cần tăng hoặc giảm các cài đặt này dựa trên hoàn cảnh của bạn. Tuy nhiên, cài đặt trên khoảng 100 / giây cho tốc độ (hoặc 150 cho burst) có thể quá hào phóng để có hiệu quả. Tương tự như vậy, việc giảm tốc độ xuống dưới khoảng 50 / s (hoặc mức giảm dưới 50) có thể ngăn chặn truy cập hợp pháp vào các dịch vụ.

Bước 4: Lưu các thay đổi của bạn và khởi động lại tường lửa.

• Cuộn xuống dưới cùng của trang Cấu hình Tường lửa và nhấp vào nút Thay đổi.
• Trên màn hình tiếp theo, nhấp vào nút Khởi động lại csf + lfd để khởi động lại tường lửa với các cài đặt mới.

Các bước tiếp theo

• Khi cuộc tấn công đã lắng xuống, bạn sẽ cần khôi phục lại tường lửa cấu hình trước đó để tránh làm gián đoạn lưu lượng truy cập hợp pháp. Nếu các quy tắc của vụ tấn công được đặt đúng chỗ, việc kiểm tra gói được thêm vào ở cấp độ tường lửa sẽ làm chậm lưu lượng đáng kể và có thể dẫn đến hiệu suất máy chủ web giảm đáng kể.
• Nếu bạn đã làm theo các hướng dẫn trong bước 1: Cách sao lưu và khôi phục cấu hình tường lửa để sao lưu cấu hình trước đó, bạn có thể dễ dàng sử dụng quy trình tương tự để khôi phục các cài đặt đã lưu đó. Bạn cũng có thể muốn lưu các cài đặt bảo vệ DoS / DDoS này trước khi khôi phục cấu hình ban đầu để chúng có thể được sử dụng nhanh chóng trong tương lai nếu cần.

Cảm ơn vì đã đọc. Xin vui lòng để lại bình luận để biết thêm ý kiến hoặc mẹo mà chúng ta có thể sử dụng để bảo mật VPS bằng tường lửa CSF.