Có gì mới?

Welcome to Tạp Chí CNTT & Truyền Thông

Join us now to get access to all our features. Once registered and logged in, you will be able to create topics, post replies to existing threads, give reputation to your fellow members, get your own private messenger, and so, so much more. It's also quick and totally free, so what are you waiting for?

Dấu hiệu nhận biết server bị DDOS – Kiểm tra IP ddos và đối phó

nguyenac

Administrator
Staff member
Tham gia
18/11/08
Bài viết
22,990
Điểm tương tác
6
Điểm
38
Website
tapchiict.com
DDOS là một vấn đề nan giải cho các webmaster và web admin. DDOS làm tê liệt web server từ chối nhu cầu sử dụng của người dùng thông thường và làm giảm hiệu xuất kinh doanh cũng như hoạt động của website. Sau đây là một vài thủ thuật để nhận biết DDOS cùng với các phương án đối phó.

Khi server đột ngột chậm như rùa, mọi xử lý của server đều rất nặng nề, thì nhiều khả năng do một trong hoặc những nguyên nhân sau:
1. Server bị DDOS
2. Server bị quá tải do thiếu RAM
3. Server bị quá tải do tốc độ xử lý của CPU không đảm bảo
4. Tốc độ truy xuất dữ liệu của HDD không đáp ứng nhu cầu read/write của data. (Thông thường xảy ra trên các ổ SATA 72krpm hoặc HDD sắp hỏng)
Trong bài viết này chúng ta đi vào vấn đề thứ 1: server bị DDOS, các vấn đề 2,3,4 có thể khắc phục dễ dàng bằng cách nâng cấp phần cứng.
Hình minh họa cho một đợt tấn công DDOS đơn giản.​
Kiểm tra xem server có bị DDOS hay không:

Từ command line Linux gõ:
Mã:
netstat -anp |grep ’tcp\|udp’ | awk ’{print $5}’ | cut -d: -f1 | sort | uniq -c | sort –n
Câu lện trên sẽ trả về hàng loạt IP chiếm nhiều connection nhất trên server. Cần lưu ý rằng DDOS có thể xuất phát từ một lượng nhỏ connection. Do đó việc kết quả trả về connection thấp bạn vẫn có thể trong tình trạng under attack.

Một phương pháp khác:
Mã:
netstat -n | grep :80 |wc –l
netstat -n | grep :80 | grep SYN |wc –l
Dòng lệnh thứ nhất trả về số lượng active connection (connection đang hoạt động). Rất nhiều kiểu tấn công DDOS bằng cách mở một kết nối connection lên server rồi không làm gì cả khiến cho server chờ đợi cho đến khi timeout. Nến nếu dòng lệnh thứ nhất trả về trên 500 thì server của bạn rất nhiều khả năng bị DDOS.

Dòng lệnh thứ 2 trả về kết quả trên 100 thì rất nhiều khả năng server bạn trong tình trang syn attack DDOS.

Lưu ý: cách tính trên chỉ là tương đối, một số website có lưu lượng truy cập lớn thì phương pháp detect này có thể không chính xác.
Một số phương pháp khắc phục:
Cách khắc phục nhanh nhất là block các IP chiếm nhiều connection nhất trong "giờ cao điểm":

Cách 1:
route add địa-chỉ-ip reject
route add 192.168.0.168 reject
Kiểm tra bằng lệnh: route -n |grep địa-chỉ-ip

Cách 2: sử dụng iptables
Mã:
iptables -A INPUT 1 -s địa-chỉ-ip -j DROP/REJECT service iptables restart
service iptables save
Sau đó xóa hết tất cả connection hiện hành và khơi động lại service httpd
Mã:
killall -KILL httpd
service httpd restart
Nếu như hoàn tất các bước nêu trên mà server vẫn chậm thì có nghĩa là vấn đề bạn gặp phải nằm vào trường hợp 2,3,4… chỉ việc nâng cấp server để đáp ứng nhu cầu truy cập của người sử dụng.
vietitclub​
 

Facebook Comment

Similar threads

ICTnews đang trực tiếp sự kiện này trên fanpage của trang, kính mời bạn đọc vào đây để xem:Buổi tọa đàm được Báo Bưu điện Việt Nam tổ chức trong bối cảnh an toàn thông tin mạng đang là vấn đề thời sự, thu hút sự quan tâm lớn hiện nay. Ảnh hưởng của tấn công mạng không chỉ gây thiệt hại đối với...
Trả lời
0
Xem
941
Trên thực tế, có khá nhiều tác vụ của Windows Server 2008 chúng ta có thể thực hiện nhanh hơn rất nhiều bằng PowerShell so với ứng dụng hoặc công cụ hỗ trợ có giao diện đồ họa. Trong bài viết dưới đây, chúng tôi sẽ giới thiệu với các bạn một số thao tác cơ bản và được sử dụng thường xuyên nhất...
Trả lời
0
Xem
876
Quản Trị Mạng - Ở thời điểm hiện tại, thật khó tin là các mã mức thấp vẫn có thể chạy ngầm trên máy tính mà không bị phát hiện. Các chính phủ cũng nhận ra các biện pháp phòng thủ hiện tại là chưa đủ và họ có thể dễ dàng mất quyền kiểm soát mạng nội bộ hay website vào tay kẻ khác. Bài viết sẽ tập...
Trả lời
0
Xem
391
IP là một giao thức tự nỗ lực tối đa (Best - effort)để chuyển gói tới đích. Nó không hề có cơ chế nào để xác nhận dữ liệu đã được chưyển tới đích.Dữ liệu có thể gặp sự cố trên đường đi tới đích vì rất nhiều lý do như phần cứng bị hư hỏng, cấu hình sai hoặc thông tin định tuyến không đúng. Giới...
Trả lời
0
Xem
552
Chúng ta sẽ xây dựng Firewall theo kiến trúc application-level gateway, theo đó một bộ chơng trình proxy được đặt ở gateway ngăn cách một mạng bên trong (Intranet) với Internet. Khái quát Bộ chương trình proxy được phát triển dựa trên bộ công cụ xây dựng Internet Firewall TIS (Trusted...
Trả lời
0
Xem
754

Latest resources

Bên trên Bottom