DDoS là gì? Kiểm tra website bị DDoS như thế nào?
29/04/2022 09:40 am | Lượt xem : 10750
Bài viết dưới đây của tenten sẽ giúp bạn biết cách kiểm tra website bị DDoS và cách giải quyết !
Contents
Kiểm tra website bị DDoS: DDoS là gì?
Website bị DDoS hoặc Tấn công Từ chối dịch vụ là một cuộc tấn công phối hợp sử dụng một hoặc nhiều địa chỉ IP được thiết kế để làm tê liệt một trang web bằng cách làm cho máy chủ của nó không thể truy cập được.
Điều này được thực hiện bằng cách làm quá tải tài nguyên của máy chủ và sử dụng hết tất cả các kết nối, băng thông có sẵn. Cũng giống như khi lái xe, thời gian di chuyển của bạn từ điểm A đến điểm B sẽ chậm hơn nếu có quá nhiều xe cộ.
Bằng cách làm ngập một máy chủ có nhiều kết nối hơn mức nó có thể xử lý, máy chủ sẽ bị quá tải, không thể xử lý các yêu cầu hợp pháp. Ngay cả các máy chủ lớn cũng không thể xử lý số lượng kết nối mà website bị DDoS có thể mang lại.
Mặc dù có nhiều phương tiện khác nhau để thực hiện một cuộc tấn công, website bị DDoS, từ HTTP floods đến các kết nối kéo dài của Slowloris, nhưng phần lớn yêu cầu kết nối trực tiếp đến máy chủ của bạn. Rất nhiều trong số họ.
Tin tốt là vì những kết nối này đang hoạt động, bạn có khả năng nhìn thấy chúng khi chúng đang được thực hiện. Sử dụng một vài lệnh đơn giản, bạn không chỉ có thể xác định xem website bị DDoS có đang xảy ra hay không mà còn có thể có được thông tin cần thiết để giúp giảm thiểu các cuộc tấn công này.
Dịch vụ Hosting và Email nổi bật
Cách kiểm tra website bị DDoS
Nếu bạn lo lắng rằng máy chủ của mình có thể bị tấn công, website bị DDoS, điều đầu tiên bạn cần làm là xem xét tình trạng tải trên máy chủ của mình.
Tải chấp nhận được là bao nhiêu? Điều đó phụ thuộc vào tài nguyên CPU của bạn hoặc các luồng có sẵn. Thông thường, quy tắc là một điểm cho mỗi luồng.
Để xác định tải hiện tại của máy chủ, bạn có thể sử dụng các lệnh grep / proc / cpuinfo | lệnh wc -l , sẽ trả về số lượng bộ xử lý logic (luồng). Trong một cuộc tấn công DDoS, bạn có thể thấy tải ở mức gấp đôi, gấp ba hoặc thậm chí cao hơn mức tải tối đa mà bạn nên có.
Để bắt đầu, hãy sử dụng hai lệnh bên dưới để trả về thời gian hoạt động và tải máy chủ của bạn.
Mức trung bình tải hiển thị tải trong các khoảng thời gian sau: trung bình 1 phút, trung bình 5 phút và trung bình 15 phút. Trong trường hợp này, trung bình tải lớn hơn 7 có thể là một mối quan tâm.
Không giống như ví dụ trên, đôi khi máy chủ của bạn sẽ phản hồi tốt qua kết nối phụ trợ như IPMI, nhưng vẫn sẽ chậm khi kết nối qua giao diện công cộng. Để xác định xem có phải trường hợp này hay không, bạn sẽ muốn kiểm tra lưu lượng mạng của mình.
Điều này có thể được thực hiện bằng một trong số các công cụ bao gồm nload, bmon, iftop, vnstat và ifstat. Lựa chọn của bạn sẽ phụ thuộc vào hệ điều hành của bạn, nhưng tất cả các công cụ này đều có thể được cài đặt thông qua trình quản lý gói của bạn (apt, yum, v.v.).
Cách kiểm tra IP nào đang kết nối với máy chủ của bạn khi website bị DDoS
Vì hầu hết các cuộc tấn công DDoS yêu cầu kết nối với máy chủ của bạn, bạn có thể kiểm tra và xem có bao nhiêu và địa chỉ IP nào đang kết nối với máy chủ của bạn cùng một lúc.
Điều này có thể được xác định bằng cách sử dụng netstat, một lệnh được sử dụng để cung cấp tất cả các cách thức chi tiết. Tuy nhiên, trong trường hợp này, chúng ta chỉ quan tâm đến các IP cụ thể tạo kết nối, số lượng IP và có thể là các mạng con mà chúng là một phần của nó. Để bắt đầu, hãy nhập lệnh sau vào thiết bị đầu cuối của bạn:
netstat -ntu|awk ‘{print $5}’|cut -d: -f1 -s|sort|uniq -c|sort -nk1 -r
Lệnh này sẽ trả về danh sách giảm dần các IP nào được kết nối với máy chủ của bạn và mỗi IP có bao nhiêu kết nối.
Kết quả cũng có thể bao gồm dữ liệu giả, sẽ xuất hiện dưới dạng thông tin không phải IP và có thể bị bỏ qua.
Nhìn vào kết quả, bạn sẽ thấy các kết nối được liệt kê ở bất kỳ đâu từ 1 đến khoảng 50 kết nối trên mỗi IP. Điều này có thể khá phổ biến đối với các traffic bình thường. Tuy nhiên, nếu bạn thấy một số IP có hơn 100 kết nối, thì đây là điều cần xem xét kỹ lưỡng.
Bạn có thể thấy các IP đã biết, một hoặc nhiều IP riêng của máy chủ hoặc thậm chí IP cá nhân của riêng bạn với nhiều kết nối. Đối với hầu hết các phần, chúng có thể bị bỏ qua, vì chúng vẫn bình thường. Đó là khi bạn nhìn thấy các IP đơn lẻ, không xác định với hàng trăm hoặc hàng nghìn kết nối, bạn nên lo lắng, vì đây có thể là dấu hiệu của một cuộc tấn công.
Giảm nhẹ cuộc tấn công khi website bị DDoS
Khi bạn phát hiện những IP nào đang tấn công máy chủ của mình, việc chặn những IP cụ thể này có thể được thực hiện bằng một vài lệnh đơn giản.
Để bắt đầu, hãy sử dụng lệnh sau, thay thế “ipaddress” bằng địa chỉ IP mà bạn đang cố chặn.
Khi bạn đã chặn một IP cụ thể trên máy chủ, bạn có thể kiểm tra chéo xem IP đó có bị chặn thành công hay không bằng cách sử dụng:
Bạn cũng có thể đánh dấu địa chỉ IP trên máy chủ bằng cách sử dụng iptables bằng cách nhập các lệnh sau:
iptables -A INPUT 1 -s IPADDRESS -j DROP/REJECT
service iptables restart
service iptables save
Sau khi nhập một loạt lệnh này, bạn sẽ cần phải hủy tất cả các kết nối httpd và khởi động lại các dịch vụ httpd. Điều này có thể được thực hiện bằng cách nhập:
killall -KILL httpd
service httpd startssl
Nếu nhiều địa chỉ IP không xác định đang tạo ra một số lượng lớn kết nối, thì một trong hai quá trình này có thể được lặp lại cho tất cả các IP đang bị lạm dụng.
Website bị DDoS sử dụng nhiều IP
Mặc dù cuộc tấn công từ chối dịch vụ từ một IP duy nhất tạo ra nhiều kết nối có thể dễ dàng chẩn đoán và sửa chữa nhưng việc ngăn chặn việc website bị DDoS trở nên phức tạp hơn khi những kẻ tấn công sử dụng ít kết nối hơn trên một số lượng lớn hơn các IP tấn công.
Trong những trường hợp này, bạn sẽ thấy ít kết nối riêng lẻ hơn ngay cả khi website bị DDoS. Với sự gia tăng của Internet vạn vật (IoT), các kiểu tấn công này đã trở nên phổ biến hơn. Bằng cách xâm nhập và sử dụng các thiết bị, thiết bị và công cụ “thông minh” có tính năng kết nối internet, các phần tử độc hại đã xây dựng mạng lưới các IP có sẵn, được gọi là botnet, có khả năng được triển khai trong các cuộc tấn công khi website bị DDoS phối hợp chống lại các mục tiêu cụ thể.
Vì vậy, bạn có thể làm gì nếu bạn thấy một số lượng lớn các IP không xác định chỉ thực hiện các kết nối đơn lẻ? Trong trường hợp này, có thể khó xác định đây là lưu lượng truy cập tự nhiên hay là một cuộc tấn công phối hợp.
Để bắt đầu, bạn sẽ muốn xác định xem những kết nối này đến từ các mạng con chung: phổ biến là giống nhau / 16 hoặc / 24. Bạn có thể sử dụng hai lệnh tiếp theo để liệt kê các mạng con chứa các IP được kết nối và có bao nhiêu IP trong mỗi mạng con.
Để tìm các IP từ cùng một mạng con /16 (xxx.xxx.0.0), hãy sử dụng:
netstat -ntu|awk ‘{print $5}’|cut -d: -f1 -s |cut -f1,2 -d‘.’|sed ‘s/$/.0.0/’|sort|uniq -c|sort -nk1 -r
Khi được nhập, lệnh này sẽ hiển thị bất kỳ IP nào bắt đầu bằng hai octet giống nhau: tức là. 192.168.xxx.xxx.
Để tìm các IP từ cùng một mạng con /24 (xxx.xxx.xxx.0), hãy sử dụng:
netstat -ntu|awk ‘{print $5}’|cut -d: -f1 -s |cut -f1,2,3 -d‘.’|sed ‘s/$/.0/’|sort|uniq -c|sort -nk1 -r
Khi được nhập, lệnh này sẽ hiển thị bất kỳ IP nào bắt đầu bằng ba octet giống nhau: tức là. 192.168.1.xxx.
Khi bạn đã xác định được liệu bạn có thực sự đang bị tấn công khi website bị DDoS nhiều IP hay không, các bước để giảm thiểu nó cũng giống như các bước được sử dụng ở trên để chống lại các cuộc tấn công IP đơn lẻ, nhưng được nhân rộng cho nhiều IP.
Những kỹ thuật này chỉ là một số công cụ có sẵn để kiểm tra các cuộc tấn công có thể xảy ra. Mặc dù hiện có nhiều công cụ nâng cao hơn, nhưng các phương pháp này có thể cung cấp kết quả nhanh chóng và dễ dàng để xác định xem bạn có đang gặp phải cuộc tấn công khi website bị DDoS hay không.
Thông tin mà các lệnh này cung cấp rất hữu ích ngay cả khi không bị tấn công và việc tự làm quen với chúng có thể giúp củng cố công cụ của bất kỳ quản trị viên nào.
Rủi ro và chi phí liên quan đến các cuộc tấn công khi website bị DDoS lớn hơn bao giờ hết. Thật không may, với sự gia tăng của các mạng botnet, ngay cả khi một cuộc tấn công khi website bị DDoS được xác minh, việc chặn hàng trăm hoặc hàng ngàn IP tấn công theo cách thủ công có thể cực kỳ khó khăn. Trong những trường hợp này, rất khó để ngăn chặn một cuộc tấn công khi nó bắt đầu.
Vì lý do này, cách tốt nhất là bạn nên có sẵn một kế hoạch để chống lại các cuộc tấn công khi website bị DDoS trước khi chúng xảy ra. Ngoài các phương pháp được đề cập ở đây, bạn cũng có thể muốn xem xét đăng ký một trong các dịch vụ bảo vệ khi website bị DDoS khác nhau có sẵn trực tuyến. Các tùy chọn phổ biến bao gồm Akamai, Verisign và Radware.
Mong rằng bài viết trên của tenten đã giúp bạn có thêm hiểu biết về cách xử lý khi website bị ddos. Hãy theo dõi tenten để biết thêm nhiều kiến thức hữu ích khác về công nghệ. Ngoài ra bạn có thể truy cập http://ipv6test.google.com để kiểm tra kết nối IPv6 của máy cá nhân.
DỊCH VỤ CLOUD SERVER TỐC ĐỘ XỬ LÝ VƯỢT TRỘI
Các tìm kiếm liên quan đến chủ đề “Kiểm tra website bị DDOS”
Kiểm tra server bị DDoS | Check host |
Cách kiểm tra bị DDoS | VPS bị DDoS |
Kiểm tra website bị DDOS | Kiểm tra ổ cứng VPS |
Server bị DDOS | Kiểm tra cấu hình VPS |
Bài viết liên quan
DDos/Dos là gì? Giải pháp phòng chống tấn công DDos
VPS Google Cloud là gì? 7 bước đăng ký tài khoản VPS Google Cloud
Mách bạn 10 nhà cho thuê VPS free tốt nhất