Phòng chống DDoS cho trang web: Các bước thực hiện và giải pháp tối ưu với +6 cách thực hiện

Tấn công DDoS (Distributed Denial of Service) là một trong những hình thức tấn công mạng phổ biến và nguy hiểm nhất hiện nay. Nó gây ra sự gián đoạn dịch vụ, làm ảnh hưởng đến trải nghiệm người dùng và uy tín của trang web. Bài viết này sẽ giúp bạn hiểu về tấn công DDoS và cách phòng chống chúng hiệu quả.

Tấn công DDos là gì?

Tấn công DDOS hay còn được gọi tấn công từ chối dịch vụ đơn giản được hiểu là tạo ra 1 lượt truy cập ảo ồ ạt vào một địa chỉ website tại cùng một thời điểm nào đó đã định sẵn nhằm “đánh sập” máy chủ lưu trữ khiến nó chạy chậm hoặc không thể chạy được nữa. Hiểu đơn giản Tấn công DDoS là việc sử dụng một hệ thống máy tính phân tán để gửi lượng lớn truy vấn đến máy chủ của trang web, khiến máy chủ không thể xử lý hết yêu cầu và dẫn đến sự gián đoạn dịch vụ.

Thật sự thì không có phương pháp chống DDOS hiệu quả nhất nhưng nếu với mức độ nhỏ và mang tính không chuyên khi sử dụng các phần mềm được lập trình sẵn ở quy mô nhỏ lẻ thì ta hoàn toàn có thể chủ động phòng chống. Sau đây là 6 cách phòng chống DDOS mà Hosting Việt gợi ý cho bạn!

Tấn công ddos

>> Tham khảo: Các hình thức tấn công DDoS L3, L4, L7 và cách khắc phục

Trong trường hợp Quý khách không thể tự chống DDoS, HostingViet sẽ chống DDoS website giúp Quý khách khi sử dụng dịch vụ tại HostingViet: đăng ký VPS giá rẻ chống ddos

Các bước để phòng chống DDoS

  • Bước 1: Lựa chọn dịch vụ hosting có khả năng chống DDoS: Chọn một nhà cung cấp hosting uy tín, có hệ thống bảo mật chống DDoS hiệu quả.
  • Bước 2: Cập nhật và bảo trì phần mềm: Đảm bảo cập nhật phiên bản mới nhất của hệ thống quản trị nội dung (CMS), plugin và theme để ngăn chặn lỗ hổng bảo mật.
  • Bước 3: Sử dụng CDN (Content Delivery Network): CDN giúp phân tán lưu lượng truy cập và giảm thiểu tác động của tấn công DDoS đối với máy chủ.
  • Bước 4: Thiết lập tường lửa (firewall): Sử dụng tường lửa phần cứng hoặc phần mềm để giám sát và kiểm soát lưu lượng truy cập đến trang web của bạn.
  • Bước 5: Giám sát trang web và phát hiện sớm tấn công DDoS: Theo dõi lưu lượng truy cập và phát hiện bất thường để kịp thời ngăn chặn tấn công.

Lựa chọn dịch vụ hosting chống DDoS

Khi lựa chọn dịch vụ hosting, hãy chú ý đến những yếu tố sau để đảm bảo họ có khả năng chống DDoS:

  • Hệ thống bảo mật chuyên nghiệp: Đảm bảo nhà cung cấp hosting có hệ thống bảo mật tốt, bao gồm phát hiện và ngăn chặn tấn công DDoS.
  • Hạ tầng mạng mạnh mẽ: Nhà cung cấp hosting cần có hạ tầng mạng đủ mạnh để chịu đựng và phân tán lưu lượng truy cập lớn trong trường hợp bị tấn công.
  • Hỗ trợ kỹ thuật chuyên nghiệp: Đội ngũ hỗ trợ kỹ thuật của nhà cung cấp hosting cần có kinh nghiệm và khả năng xử lý nhanh chóng các vấn đề liên quan đến tấn công DDoS.
  • Dịch vụ CDN tích hợp: Nếu có thể, chọn một nhà cung cấp hosting cung cấp dịch vụ CDN tích hợp để tăng khả năng chống DDoS và cải thiện hiệu suất trang web.

Chống DDoS bằng cách kết hợp với các giải pháp bên thứ ba

Ngoài các giải pháp nêu trên, bạn cũng có thể sử dụng các dịch vụ bảo mật bên thứ ba để tăng cường khả năng chống DDoS cho trang web của mình. Một số dịch vụ phổ biến và uy tín bao gồm Cloudflare, Sucuri và Akamai.

Tóm lại, việc phòng chống DDoS là rất quan trọng để bảo vệ trang web của bạn khỏi các cuộc tấn công mạng nguy hiểm. Bằng cách áp dụng các phương pháp phòng chống DDoS và lựa chọn dịch vụ hosting phù hợp, bạn sẽ đảm bảo an toàn và ổn định cho trang web của mình.

=========================================

Dưới đây là 1 vài thao tác chi tiết

Cách 1: Chống iframe.

Đây là phương pháp được xem là thô sơ nhất. Kẻ tấn công sẽ mượn 1 website có lượt truy cập lớn nào đó chèn các iframe hướng về website cần đánh rồi cho chạy lệnh refresh (tải lại) nhiều lần hoặc họ viết sẵn 1 tập tin flash với công dụng tương tự rồi đặt lên website và khi người dùng truy cập vào website này thì họ vô tình bất đắc dĩ trở thành người tấn công website kia.

Với hình thức tấn công kiểu như thế này bạn hoàn toàn có thể chống lại bằng cách chèn 1 đoạn mã Javascript chống chèn iframe từ các website khác đến website của bạn.
<script language="JavaScript">
if (top.location != self.location)
{top.location = self.location}
</script>
Bạn có thể tại đoạn mã trên tại: http://www.mediafire.com/?weephu8sgdphwel

Cách 2: Chống tải lại trang web có ác ý

Một hình thức tấn công khác nữa là dùng phím F5 liên tục có chủ ý, hoặc dùng một phần mềm được lập trình sẵn với công dụng tương tự (tải lại trang web liên tục sau những khoảng thời gian định sẵn) của một nhóm người làm cho trang web của bạn tải lại (reload) liên tục. Việc này có thể làm tốn băng thông của trang web hoặc làm trang web chạy chậm vì những kết nối ảo.
Với cách thức tấn công này thì nếu dùng cách một để chống coi như là vô ích. Nếu bạn bị tấn công như thế này thì bạn hãy thiết lập tập tin .htaccess với nội dung:
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?domain.com [NC]
RewriteRule !antiddos.phtml http://www.domain.com/antiddos.phtml?%{REQUEST_URI} [QSA]

Sau đó tạo thêm một một tập tin antiddos.phtml có nội dung:
<?
$text = $HTTP_SERVER_VARS['QUERY_STRING'];
$text = preg_replace("#php\&#si",'php?',$text);
echo('<center><a href=http://www.domain.com/?'.$text.'>;<font color=red size=5 face=Monotype>[CLICK HERE TO ENTER]</font></a</center>');
?>
Sau đó bạn upload 2 tập tin này lên thư mục gốc của website. Như vậy là mỗi khi truy cập vào website, nếu lần đầu tiên thì sẽ có thông báo yêu cầu nhấn chuột thì bạn mới vào được website và ở các lần sau sẽ không có và các phần mềm DDOS được lập trình sẽ bị chặn lại ở bước click chuột để vào trang web ở lần truy cập đầu tiên nên việc tải lại trang web chỉ đơn thuần là 1 trang HTML nhỏ không ảnh hưởng nhiều đến hệ thống.

Bạn có thể đoạn mã trên tại: http://www.mediafire.com/?c41hmfeod3qxii8

Chú ý là cách này chỉ áp dụng cho website đang sử dụng server chạy trên nền Linux.

>>Bài liên quan : Cảnh báo tấn công DDOS thông qua lỗ hổng Memcache trên Server Linux

Cách 3: Giới hạn số kết nối website tại một thời điểm

Khi một khách truy cập vào website thì sẽ tạo ra một truy vấn kết nối với cơ sở dữ liệu (CSDL) lấy thông tin và trả về thông qua hiển thị của website. Mỗi máy chủ sẽ có phép bao nhiêu truy vấn kết nối là hạn định và khi vượt quá hạn mức này thì việc truy cập sẽ khó khăn hoặc không thể truy xuất được. Các tin tặc lợi dụng vào điều này để tạo ra các truy cập ảo, kết nối ảo thông qua proxy hay chuyên nghiệp hơn là mạng botnet nhằm đánh sập trang web và phá hỏng CSDL website. Để hạn chế điều này ta có thể chủ động giới hạn số kết nối truy vấn tin (lượt truy cập) cùng một thời điểm.
Bạn thêm dòng đoạn mã sau vào trang chủ của website.

function server_busy($numer) {
if (THIS_IS == 'WEBSITE' && PHP_OS == 'Linux' and @file_exists ( '/proc/loadavg' ) and $filestuff = @file_get_contents ( '/proc/loadavg' )) {
$loadavg = explode ( ' ', $filestuff );
if (trim ( $loadavg [0] ) > $numer) {
print '';
print 'Lượng truy cập đang quá tải, mời bạn quay lại sau vài phút.';
exit ( 0 );
}
}
}
$srv = server_busy ( 1000 ); // 1000 là số người truy cập tại 1 thời điểm

Đoạn mã trên có ý nghĩa cho phép 1000 người online trên website tại một thời điểm. Nếu vượt qua số 1000 thì khách truy cập sẽ nhận được thông báo: Lượng truy cập đang quá tải. Mời bạn quay lại sau vài phút.

Bạn có thể tải đoạn mã trên tại: http://www.mediafire.com/?exsl6hpd37eqnk3

Chú ý đoạn mã này chỉ áp dụng cho ngôn ngữ lập trình PHP.

Đây chỉ là ba cách chống đỡ mang tính chất giản đơn áp dụng cho những đợt tấn công nhỏ lẻ. Để website của mình hoạt động tốt và có sức chống chọi lại những đợt tấn công quy mô lớn bạn nên:

- Tối ưu hóa website ví dụ bạn có thể xây dựng bộ nhớ đệm (cache) cho website để nhằm giảm số kết nối vào CSDL.

  • Lựa chọn nhà cung cấp hosting lưu trữ web tốt để có những đối phó với những đợt tấn công.

4. Sử dụng Cloudflare (có trả phí và miễn phí)

Phương án sử dụng miễn phí chỉ phù hợp với quy mô DDoS nhỏ. Quy mô lớn 1 chút là chính Cloudflare sẽ khóa website của Bạn nhằm đảm bảo tài nguyên của Cloudflare.

Bản có trả phí khá tốt, tuy nhiên nó RẤT đắt

5. Sử dụng Firewall mềm trên VPS

Phương án này không khả quan cho lắm. Nó chỉ có thể chống ddos bằng cách chặn IP nếu IP đó gửi quá nhiều request đến VPS. Phương án này bất khả thi nếu Bạn đang thuê Hosting

6. Sử dụng Firewall cứng hoặc thiết bị chống DDoS để chống tấn công DDoS (Phương án này là tối ưu nhất)

6.1 Firewall bằng server cài đặt phần mềm chống ddos pfsense. Phần mềm nguồn mở pfsense khá mạnh và chặn được hầu hết các cuộc tấn công quy mô trung bình. Sức mạnh của pfsense phụ thuộc vào sức mạnh của Server (Ram, CPU, SSD, port mạng).

6.2 Sử dụng Firewall cứng chuyên dụng.

6.3 Sử dụng Thiết bị chống DDoS của các hãng như Fortinet, ArBor, Radware.

Cách phòng chống DDOS này là tốt nhất, chống được DDoS quy mô lớn. Nhưng chi phí CỰC KỲ đắt đỏ, ngoài phần cứng, Bạn cần trả thêm cả phí phần mềm đi kèm, thường phần mềm tính phí theo năm.

HostingViet đã tích hợp sẵn Firewall cứng 140Gbps. Bạn chỉ cần thuê Server / VPS / Hosting của chúng tôi. Và hoàn toàn yên tâm về vấn đề DDoS.


Như vậy thông qua bài viết này Hosting Việt đã giúp bạn hiểu được #6 cách phòng chống ddos cho trang web! Nếu thấy bài viết này hữu ích hãy subscribe để theo dõi những thông tin mới nhất từ Hosting Việt nhé. Chúc các bạn thành công!