DDoS là gì ? Tấn công DDoS là gì mà tại sao gần đây lại có nhiều Website bị rơi vào tình trạng ấy đến vậy ? Cần phải làm thế nào để phòng tránh và ngăn chặn tấn công DDoS bây giờ? Tất cả những câu hỏi này, POWERNET sẽ giải đáp cho các bạn trong bài viết dưới đây:
DDoS là gì?
DDoS (Distributed Denial of Service) hay còn gọi là tấn công từ chối dịch vụ. Là một nỗ lực để làm cho một dịch vụ trực tuyến không thể sử dụng được. Bằng cách truy cập vào website từ nhiều nguồn khác nhau với lưu lượng lớn, hacker sẽ khiến cho Website của bạn bị quá tải và “sập” ngay trong tích tắc. Mục tiêu của kẻ tấn công là không giới hạn, chúng nhắm đến nhiều đơn vị quan trọng từ ngân hàng cho đến các trang tin tức và chúng đã tạo ra những thách thức lớn để ngăn cản sự truy cập thông tin một cách công khai của người dùng. Tuy nhiên, trong nhiều năm trở lại đây, các doanh nghiệp nhỏ có xu hướng tìm hiểu cách để ngăn chặn một cuộc tấn công nhiều hơn.
Một vài thông tin thú vị có thể bạn chưa biết về các cuộc tấn công DDoS :
- 150$ là chi phí ít nhất cho 1 hacker chợ đen để thực hiện 1 cuộc tấn công DDoS kéo dài 1 tuần.
- Hơn 2000 cuộc tấn công DDoS được diễn ra trên toàn thế giới mỗi ngày.
- Các vụ tấn công DDoS chiếm 33% trong tổng số các sự cố thời gian chết.
Các cuộc tấn công DDoS được thực hiện như thế nào ?
Có bao giờ bạn tự hỏi làm thế nào để biết được chính xác những cuộc tấn công được thực hiện đầu tiên ở đâu không? Câu trả lời là trước khi cuộc tấn công bắt đầu, những kẻ tấn công đã xây dựng mạng lưới máy tính bị lây nhiễm (hay còn gọi là botnet) bằng cách lây lan phần mềm độc hại thông qua Email, Website và các phương tiện truyền thông xã hội.
Khi bị lây nhiễm, những máy này có thể bị kiểm soát từ xa trong khi chủ sở hữu vẫn không hề hay biết. Các botnet được sử dụng như một quân đội để khởi động một cuộc tấn công chống lại bất cứ mục tiêu nào. Chúng có thể gây ra những cơn bão lưu lượng truy cập để đánh sập mục tiêu. Lưu lượng truy cập được tạo ra bằng nhiều cách, ví dụ như gửi thật nhiều yêu cầu kết nối quá tải mức mà máy chủ có thể xử lý. Một số cuộc tấn công lớn đến mức có thể làm quá tải năng suất cáp của một quốc gia.
Nhưng có lẽ thật may mắn, khi các nhà phát triển Website hiểu được nên làm thế nào để ngăn chặn một cuộc tấn công DDoS trước khi bất cứ một thiệt hại lớn nào xảy ra.
Làm thế nào để ngăn chặn một cuộc tấn công DDoS
Nếu bạn đang gặp phải một cuộc tấn công DDoS hoặc lo sợ rằng Website của mình không may trở thành mục tiêu của hacker thì hãy thực hiện ngay các bước sau để bảo vệ tối đa nhé:
1. Thiết lập CloudFlare cho tên miền
CloudFlare là một dịch vụ kiểm soát an toàn trung gian cho Website và phân phối lượng truy cập Website thông qua lớp bảo vệ của CloudFlare. Hay có thể hiểu đơn giản là thay vì truy cập trực tiếp vào máy chủ trang web thông qua địa chỉ tên miền thì chúng ta sẽ đi qua máy chủ phân giải tên miền CloudFlare để truy cập dữ liệu.
Nếu bạn hiện tại đang là khách hàng của CloudFlare, hãy nâng cập trực tuyến kế hoạch kinh doanh từ bảng điều khiển ” My Website” và chuyển sang bước thứ 2.
Nếu bạn là người mới sử dụng CloudFlare, điều bạn cần lưu ý là trong quá trình đăng ký, họ sẽ yêu cầu một vài thay đổi nhỏ đối với các cài đặt DNS hiện tại của bạn.
2. Bật chế độ Under Attack
Chế độ I’m Under Attack giúp giảm nhẹ và ngăn chặn các cuộc tấn công DDoS. Chế độ này cho phép bảo vệ bổ sung để ngăn chặn lưu lượng HTTP tiềm ẩn nguy hiểm chuyển đến máy chủ của bạn. Trong lần truy cập đầu tiên, khách truy cập hợp pháp sẽ thấy một trang kẽ hở trong khi thực hiện kiểm tra bổ sung:
Để kích hoạt tính năng này, hãy đi tới tổng quan về miền của bạn, nhấp vào Quick actions, sau đó nhấp vào Under Attack Mode.
3. Bật chế độ Web Application Firewall ( WAF)
Web Application Firewall hiện có sẵn cho khách hàng doanh nghiệp và các tổ chức. Để kích hoạt chế độ này bạn chỉ cần vào phần Web Application Firewall và click On là được.
4. Thiết lập bản ghi DNS bảo mật tối đa
Với Cài đặt DNS CloudFlare, bạn có thể cho phép bảo mật và hiệu suất của CloudFlare trên cơ sở mỗi bản ghi. Bảo mật được bật khi đám mây là màu da cam. Bảo mật tắt nếu đám mây là màu xám.
Dưới đây là cách đặt bản ghi DNS của bạn bảo vệ tối đa:
- Bật tính năng bảo mật CloudFlare (đám mây màu cam) trên các bản ghi web mà bạn sử dụng, bao gồm FTP, SSH.
- Sử dụng IP gốc của bạn cho các hành động như FTP, SSH, v.v.
- Xóa bất kỳ biểu ghi ký tự đại diện nào trừ khi chúng được yêu cầu vì chúng sẽ vạch trần địa chỉ IP nguồn gốc của bạn.
- Xóa bất kỳ hồ sơ nào để lộ nguồn gốc của bạn.
5. Không giới hạn tỷ lệ hoặc giảm tốc từ các IP của Cloudflare
CloudFlare hoạt động như một proxy ngược vì vậy tất cả các kết nối sẽ đến từ một trong những IP của họ. Điều quan trọng là cần đảm bảo máy chủ của bạn chấp nhận các kết nối này mọi lúc. Các dải IP của CloudFlare được liệt kê tại cloudflare.com/ips, và trang bao gồm các liên kết tới các tệp văn bản đơn giản dùng cho phân tích máy. CloudFlare thêm phạm vi mới bất kỳ vào danh sách công khai ít nhất một tháng trước khi phạm vi mới được công khai và sử dụng.
6. Chặn quốc gia và người truy cập cụ thể
Tính năng kiểm soát mối đe dọa của CloudFlare cho phép bạn chặn các địa chỉ IP và đặt ra những thách thức cho ca quốc gia. Khi bạn thêm một IP hoặc quốc gia, quy tắc bảo mật sẽ có hiệu lực trong vòng hai phút, giảm tải lưu lượng truy cập đến máy chủ của bạn. Để quyết định nước hoặc IP nào cần thêm vào tường lửa IP, hãy kiểm tra các tệp nhật ký của bạn và bạn có thể tìm thấy bức tường lửa IP trong phần IP Firewall của giao diện CloudFlare.
7. Hỏi nhà cung cấp Hosting của bạn để biết địa chỉ IP mới
Nếu bạn đã hoàn thành tất cả các bước nêu trên và bạn vẫn tự hỏi mình làm thế nào để ngăn chặn một cuộc tấn công DDoS, trong khi kẻ tấn công có thể đã có IP máy chủ nguồn gốc của bạn. Bạn sẽ cần phải liên hệ với nhà cung cấp dịch vụ lưu trữ của bạn, yêu cầu họ cung cấp cho bạn một địa chỉ IP gốc và sau đó cập nhật nó trong trang cài đặt CloudFlare DNS của bạn.
Khi bạn có địa chỉ IP máy chủ mới, hãy đảm bảo cập nhật IP trong trang CloudFlare DNS Settings của bạn. Với CloudFlare được kích hoạt cho tất cả các bản ghi web, nó sẽ giúp che giấu địa chỉ IP máy chủ của bạn để kẻ tấn công không thể tìm được địa chỉ IP mới.
8. Chạy Email trên một máy chủ riêng biệt
Nếu bạn đang chạy mail trên cùng một máy chủ như trang web của bạn, kẻ tấn công luôn có thể tìm thấy IP máy chủ gốc của bạn. Để đóng lỗ hổng bảo mật có thể có này, hãy sử dụng dịch vụ Email trên một máy chủ riêng biệt, thông qua nhà cung cấp dịch vụ Hosting hoặc nhà cung cấp bên thứ ba như Google Apps.
Người dùng Mac có thể chạy lệnh này trong Terminal để xem IP đang được báo cáo với bản ghi MX của bạn như thế nào:
dig +short $(dig mx +short WEBSITE)
Ví dụ: nếu tôi quan tâm đến example.com, tôi sẽ nhập:
dig +short $(dig mx +short example.com)
Người dùng PC có thể chạy lệnh này trong cửa sổ lệnh để xem IP nào đang được báo cáo với bản ghi MX của bạn:
nslookup -q = mx WEBSITE
Ví dụ: nếu tôi quan tâm đến example.com, tôi sẽ nhập vào;
nslookup -q = mx example.com
Đối với cả Mac và PC, đầu ra sẽ là địa chỉ IP mà kẻ tấn công luôn có thể tìm thấy. Đảm bảo địa chỉ IP này khác với địa chỉ IP của máy chủ web của bạn. Nếu email của bạn nằm trên cùng một máy chủ, bất kể bạn thay đổi bao nhiêu lần máy chủ web, kẻ tấn công luôn có thể tìm thấy IP mới.