Mở bài
Khi bạn nhận thấy rằng VPS Linux của mình đang bị DDoS (tấn công mạng phân tán), nhanh chóng hành động để giảm thiểu ảnh hưởng là rất quan trọng. Mục tiêu của bài viết này là cung cấp các lệnh cấp cứu nhanh chóng và hữu ích để giúp bạn kiểm tra và đối phó với tình trạng này.
Nội dung chính
## Kiểm tra tình trạng VPS
Trước khi bắt đầu đối phó với DDoS, cần phải xác định liệu server của mình có bị tấn công hay không. Dưới đây là cách kiểm tra tình trạng VPS:- Sử dụng lệnh
netstat: Lệnh này giúp bạn xem các kết nối đang hoạt động trên máy chủ của mình.
netstat -anp | grep 'tcp|udp' | awk '{print $5}' | cut -d: -f1 | sort -u- Lệnh này phân tích các kết nối TCP và UDP, đưa ra danh sách các địa chỉ IP đang được kết nối. Bằng cách sử dụng
sort -u, bạn có thể loại bỏ trùng lặp và chỉ hiển thị các IP độc đáo. - Kiểm tra lưu lượng truy cập: Sử dụng lệnh dưới đây để đếm số lượng kết nối vào Port 80 (phương thức thường dùng để tấn công web).
netstat -n | grep :80 | wc -l- Lệnh này đếm số lượng kết nối đang ở trạng thái SYN_RECV trên Port 80, giúp bạn xác định liệu có nhiều yêu cầu đồng thời đang diễn ra hay không.
## Sử dụng các công cụ chống DDoS
Có nhiều công cụ và công nghệ có thể giúp bạn chống lại DDoS hiệu quả. Dưới đây là một số cách phổ biến:- Fail2Ban: Đây là một công cụ tự động giúp ngăn chặn các cuộc tấn công bằng cách phát hiện và chặn các IP có lỗi.
sudo systemctl start fail2ban
sudo systemctl enable fail2ban- Firewall: Kích hoạt và cấu hình tường lửa (Firewall) là vô cùng quan trọng để bảo mật VPS. Dưới đây là hướng dẫn chi tiết cách kích hoạt và cấu hình tường lửa trên hai hệ điều hành phổ biến là Ubuntu/Debian và CentOS/RHEL:
- Trên Ubuntu/Debian với UFW (Uncomplicated Firewall):
sudo ufw enable
sudo ufw default deny incoming
sudo ufw default allow outgoing- Trên CentOS/RHEL với iptables:
sudo systemctl start firewalld
sudo firewall-cmd --permanent --zone=public --add-rule ipv4 filter INPUT 1 -p tcp --dport 80 -j DROP # Ví dụ: chặn Port 80
sudo firewall-cmd --reload- CSF (Config Server Firewall): CSF là một phần mềm tự động hóa firewall giúp người dùng dễ dàng cấu hình và bảo vệ server của mình.
- Cấu hình để chặn các cuộc tấn công:
csf -r # Xóa các quy tắc hiện tại
csf -a <IP> # Chặn một IP cụ thể
csf -d <IP> # Tháo gỡ chặn một IP cụ thể
csf -s <IP> # Thêm IP vào danh sách trắng## Theo dõi và phân tích
Khi server của bạn đang bị tấn công, phân tích và theo dõi tình trạng là rất quan trọng. Dưới đây là một số lệnh giúp bạn theo dõi tình trạng server:- Sử dụng lệnh
top:
top- Lệnh này giúp bạn xem thông tin về các tiến trình đang chạy trên server, giúp bạn xác định liệu có bất kỳ tiến trình nào đang sử dụng quá nhiều tài nguyên hay không.
- Kiểm tra nhật ký máy chủ (log file):
tail -f /var/log/syslog # Trên Ubuntu/Debian
cat /var/log/messages # Trên CentOS/RHEL- Lệnh này giúp bạn xem nhật ký thực hiện các tác vụ trên server. Nhận biết các thông tin về IP nguồn, thời gian và loại lưu lượng truy cập có thể giúp bạn xác định và chặn các cuộc tấn công.
Kết luận
Khi VPS của bạn bị tấn công bằng DDoS, việc nhanh chóng hành động là vô cùng quan trọng. Bằng cách sử dụng các lệnh cấp cứu và công cụ chống DDoS được đề cập trong bài viết này, bạn có thể giảm thiểu ảnh hưởng và bảo vệ server của mình. Hạn chế sử dụng các lệnh và công cụ mà không kiểm tra kỹ các quy tắc để tránh chặn các dịch vụ cần thiết. Bằng cách thường xuyên sao lưu cấu hình và theo dõi tình trạng server, bạn có thể đảm bảo an toàn cho VPS của mình.