Cách kiểm tra website bị DDoS: Hướng dẫn chi tiết & Khắc phục

Tìm hiểu về DDoS là gì?

Khái niệm về DDoS

DDoS là viết tắt của Distributed Denial of Service, nghĩa là tấn công từ chối dịch vụ phân tán. Đây là một loại tấn công mạng nhằm làm quá tải một hệ thống hoặc mạng bằng cách gửi một lượng lớn lưu lượng truy cập giả mạo.

Cơ chế hoạt động của tấn công DDoS

• + Tạo lượng truy cập giả mạo: Hacker sẽ sử dụng hàng ngàn, thậm chí hàng triệu thiết bị bị nhiễm mã độc (botnet) để gửi một lượng lớn yêu cầu truy cập đến một mục tiêu cụ thể (ví dụ: website, máy chủ).
• + Quá tải hệ thống: Lượng truy cập khổng lồ này sẽ làm quá tải băng thông, tài nguyên máy chủ, khiến hệ thống không thể xử lý được các yêu cầu hợp lệ từ người dùng.
• + Ngăn chặn truy cập: Kết quả là, người dùng sẽ không thể truy cập được vào dịch vụ hoặc website đó.

XEM THÊM: 5 Cách nhận diện và khắc phục hình thức tấn công website hiện nay

Cách kiểm tra website bị DDoS Nhanh Chóng

Nếu bạn lo ngại máy chủ của mình có thể đang bị tấn công DDoS, điều đầu tiên cần làm là kiểm tra tình trạng tải của máy chủ. Tải hợp lý là bao nhiêu? Điều này phụ thuộc vào tài nguyên CPU và số luồng có sẵn trên hệ thống. Quy tắc thông thường là mỗi luồng CPU sẽ tương ứng với một đơn vị tải.

Để kiểm tra tải hiện tại của máy chủ, bạn có thể sử dụng lệnh grep /proc/cpuinfo | wc -l, lệnh này sẽ trả về số lượng bộ xử lý logic (luồng). Khi bị tấn công DDoS, bạn có thể thấy tải tăng lên gấp đôi, gấp ba, hoặc thậm chí cao hơn mức tải tối đa mà hệ thống của bạn có thể chịu đựng. Để bắt đầu, hãy sử dụng hai lệnh dưới đây để kiểm tra thời gian hoạt động và tải của máy chủ:

• + Lệnh 1: Kiểm tra thời gian hoạt động
• + Lệnh 2: Kiểm tra mức tải hiện tại

Các giá trị trung bình tải sẽ hiển thị mức tải trong các khoảng thời gian 1 phút, 5 phút và 15 phút. Nếu trung bình tải lớn hơn 7, đó có thể là dấu hiệu của một vấn đề nghiêm trọng.

Ngoài ra, có những trường hợp máy chủ vẫn phản hồi tốt qua kết nối phụ trợ như IPMI, nhưng lại chậm khi kết nối qua giao diện công cộng. Để xác định vấn đề này, bạn nên kiểm tra lưu lượng mạng. Các công cụ như nload, bmon, iftop, vnstat, và ifstat đều có thể giúp bạn làm điều này. Việc lựa chọn công cụ phù hợp phụ thuộc vào hệ điều hành mà bạn đang sử dụng, và tất cả đều có thể được cài đặt thông qua trình quản lý gói như apt hoặc yum.

XEM THÊM: Hướng dẫn quét mã độc Website tự động: Bảo vệ trang web 24/7

Cách xác định và chặn IP tấn công DDoS đang nhắm vào website của bạn

Khi đối mặt với một cuộc tấn công DDoS, việc kiểm tra số lượng và địa chỉ IP đang kết nối với máy chủ của bạn là bước đầu tiên để xác định nguồn tấn công. Các cuộc tấn công DDoS thường đòi hỏi nhiều kết nối từ các IP khác nhau, và bạn có thể sử dụng lệnh netstat để kiểm tra điều này.

Để bắt đầu, hãy sử dụng lệnh sau trên thiết bị đầu cuối của bạn:

“netstat -ntu | awk '{print $5}' | cut -d: -f1 -s | sort | uniq -c | sort -nk1 -r”

Lệnh này sẽ trả về danh sách các địa chỉ IP kết nối với máy chủ của bạn, sắp xếp theo số lượng kết nối giảm dần. Kết quả sẽ hiển thị số kết nối từ mỗi IP, giúp bạn dễ dàng phát hiện các IP có lượng kết nối bất thường.

Trong quá trình kiểm tra, bạn sẽ thấy các IP với từ 1 đến 50 kết nối, điều này khá phổ biến và có thể chấp nhận được đối với lưu lượng truy cập thông thường. Tuy nhiên, nếu bạn phát hiện một số IP có trên 100 kết nối, đó là dấu hiệu cảnh báo cần được chú ý.

Các IP đã biết như IP của máy chủ hoặc IP cá nhân của bạn có thể xuất hiện nhiều kết nối và chúng thường không đáng lo ngại. Nhưng khi bạn thấy các IP lạ với hàng trăm hoặc hàng nghìn kết nối, đó có thể là dấu hiệu của một cuộc tấn công DDoS đang nhắm vào website của bạn.

Sau khi xác định các IP đáng ngờ, bạn có thể tiến hành chặn chúng bằng cách sử dụng tường lửa hoặc các công cụ bảo mật khác để bảo vệ website của mình khỏi cuộc tấn công tiếp theo.

Khắc phục khi website bị DDoS

Khi bạn xác định được các địa chỉ IP đang tấn công máy chủ của mình, việc chặn những IP này là bước quan trọng để giảm thiểu thiệt hại do cuộc tấn công DDoS gây ra. Dưới đây là các bước bạn có thể thực hiện để chặn các IP cụ thể:

Chặn địa chỉ IP

Để bắt đầu, bạn có thể sử dụng lệnh iptables để chặn các IP đáng ngờ. Hãy thay thế “IPADDRESS” bằng địa chỉ IP bạn muốn chặn:
bash
+ iptables -A INPUT -s IPADDRESS -j DROP

Kiểm tra việc chặn IP

Sau khi đã chặn một IP cụ thể, bạn có thể kiểm tra xem lệnh đã được thực thi thành công hay chưa bằng cách sử dụng các công cụ như iptables -L để xem danh sách các IP bị chặn.

Lưu lại cấu hình và khởi động lại iptables

Để lưu lại cấu hình và đảm bảo các thay đổi được áp dụng, hãy nhập các lệnh sau:
bash
+ service iptables save

+ service iptables restart

Hủy kết nối và khởi động lại dịch vụ web

Sau khi chặn các IP tấn công, bạn cần hủy bỏ tất cả các kết nối hiện tại với dịch vụ HTTP và khởi động lại nó:
bash
+ killall -KILL httpd

+ service httpd start

Lặp lại quy trình nếu cần

Nếu có nhiều địa chỉ IP đang tạo ra lượng kết nối lớn và không xác định, bạn có thể lặp lại quy trình trên cho tất cả các IP bị lạm dụng.

XEM THÊM: Các phương pháp bảo mật website

Kết luận

Bằng cách nắm vững Cách kiểm tra website bị DDoS: Hướng dẫn chi tiết & Khắc phục, bạn sẽ có thể phát hiện sớm các cuộc tấn công và thực hiện các biện pháp phòng ngừa kịp thời. Việc kiểm tra tải máy chủ, xác định và chặn các địa chỉ IP độc hại sẽ giúp bảo vệ website của bạn khỏi những mối đe dọa tiềm ẩn, đảm bảo hoạt động ổn định và an toàn cho người dùng. 

Hãy luôn chuẩn bị sẵn các công cụ cần thiết và cập nhật kiến thức để ứng phó hiệu quả với các tình huống bất ngờ, giữ cho website của bạn luôn được bảo vệ tối đa. Nếu bạn còn bất kỳ câu hỏi hay cần tư vấn thêm, hãy liên hệ với đội ngũ chuyên gia của chúng tôi tại Web4s qua:

+ Tổng đài hỗ trợ (24/7): 1900 6680 hoặc 0901191616

+ Email: contact@sm4s.vn

+ Website: https://web4s.vn/

+ Fanpage: https://www.facebook.com/web4s

+ Youtube: https://www.youtube.com/channel/UCr778Hq-QhCEBTGFc9n-Pcg