HƯỚNG DẪN CHỐNG LẠI DDOS
Điều đầu tiên muốn nói về ddos là hiện tại chưa có bất kì
1 Số lượng trẻ trâu ngày càng tăng nên là tut này cho ae
1 Số lượng trẻ trâu ngày càng tăng nên là tut này cho ae
hệ thống nào có thể tuyên chiến với ddos cả mà chỉ có thể nói là hạn chế thiệt hại đến mức thấp nhất có thể,
Qua quá trình trải nghiệm chống ddos từ thời Thegioingamvn.org, Bill rút ra được 1 số kinh nghiệm như sau:
1) đối với các bạn sài share hosting.
Đối với trường hợp này các bạn chỉ có thể can thiệp vào code để chống ddos hay flood ngập lụt dữ liệu.
vậy vấn đề đặt ra là làm thế nào để có thể chống ddos 1 cách hiệu quả mà thành viên không phải bất tiện khi vào forum như: nhập user pass ( Password protect Area), click vào firewall để vào DNP hay firewall của ddth...
- Cách thứ nhất các đồng chí có thể sài các biện pháp trên để bảo vệ code web. Cách tốt nhất là password protect area nhưng bất tiện với các forum không phải UG. Code của ddth cũng rất ok lại đỡ bất tiện hơn nhưng hiện tại phiên bản xflash mới nhất đã có thể làm giả HTTP_REFERER để vuợt qua firewall dạng này.
- cách thứ 2 là DNP firewall và INV firewall, không hiệu quả đối với các cấp thử mục bên trong.
- Cách thứ 3 mà Bill muốn đề cập tới đó là Hotlink protect. Cái này thấy ít người nói tới nhưng khá hiệu quả. Ví dụ như khi vào http://vhz.vn/VHC/index.php thì các đồng chí được đưa trở lại trang home http://vhcgroup.net. Khi ddos vào code cũng tuơng tự link ddos sẽ có dạng http://yourdomain.com/forum/xxx.php Như vậy sẽ ko đc. Cách này đã test rất ok và có 1 vấn đề nhỏ đó là khi link ddos dạng http://yourdomain.com/forum/ thì vẫn đc. Vậy để khắc phục thì nên để file index.htm ở tất cả các thư mục và tự động chuyển về trang home, khi đựoc gọi từ trang home thì mới có thể truy cập đựoc. vấn đề này anh em tự tìm hiểu. hotlink protect có thể kết hợp rất tốt với DNP, INV và password protect.
Code hotlink protect đưa vào 1 file .htaccess:
Trích:
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^http://vhz.vn/.*$ [NC]
RewriteCond %{HTTP_REFERER} !^http://vhz.vn$ [NC]
RewriteCond %{HTTP_REFERER} !^http://vhzgroup.net/.*$ [NC]
RewriteCond %{HTTP_REFERER} !^http://vhzgroup.net$ [NC]
RewriteCond %{HTTP_REFERER} !^http://www.vhzgroup.net/.*$ [NC]
RewriteCond %{HTTP_REFERER} !^http://www.vhzgroup.net$ [NC]
RewriteCond %{HTTP_REFERER} !^http://www.vhz.vn/.*$ [NC]
RewriteCond %{HTTP_REFERER} !^http://www.vhz.vn$ [NC]
RewriteCond %{HTTP_REFERER} !^http://vhcgroup.net/.*$ [NC]
RewriteCond %{HTTP_REFERER} !^http://vhcgroup.net$ [NC]
RewriteCond %{HTTP_REFERER} !^http://tnv4rum.com/.*$ [NC]
RewriteCond %{HTTP_REFERER} !^http://vhzgroup.net$ [NC]
RewriteCond %{HTTP_REFERER} !^http://www.vhcgroup.net/.*$ [NC]
RewriteCond %{HTTP_REFERER} !^http://www.vhcgroup.net$ [NC]
RewriteCond %{HTTP_REFERER} !^http://www.tnv4rum.com/.*$ [NC]
RewriteCond %{HTTP_REFERER} !^http://www.tnv4rum.com$ [NC]
RewriteRule .*\.(jpg|jpeg|gif|png|bmp|php|js|)$ http://vhcgroup.net [R,NC]
Ngoài ra còn có thể sài 1 số ứng dụng khác để anti ddos cho code. Nhưng Bill chỉ nêu ra cách đơn giản mà hiệu quả nhất cho anh em thôi.
2) Đối với các bạn có server:
có server thì còn phải nói.
- Thứ nhất anti ddos vào apache:
+ Giới thiệu mod_evasive, Mod này có tác dụng giới hạn số request trong một đơn vị thời gian, và giới hạn số kết nối tới server từ một IP. nên có tác dụng chống ddos khá hiệu quả đặc biệt là Flood. Nhuợc điểm tốn tài nguyên server! Đối với windows thì Bill ko nói nhé, Bill sẽ hướng dẫn qua cho các đồng chí install trong linux.
buớc 1:Login SSH vào server
Buớc 2:
Đối với Apache 1.3x
Trích:
cd /usr/local/src
wget http://www.zdziarski.com/projects/mo..._1.10.1.tar.gz
tar -zxf mod_evasive_1.10.1.tar.gz
cd mod_evasive
/usr/local/apache/bin/apxs -cia mod_evasive.c
Đối với Apche 2.xx
Trích:
up2date -i httpd-devel
cd /usr/local/src
wget http://www.zdziarski.com/projects/mo..._1.10.1.tar.gz
tar -zxf mod_evasive_1.10.1.tar.gz
cd mod_evasive
/usr/sbin/apxs -cia mod_evasive20.c
Cấu hình lại mod_evasive
Apache 1.3.x ( httpd.conf)
Trích:
<IfModule mod_evasive.c>
DOSHashTableSize 3097
DOSPageCount 5
DOSSiteCount 100
DOSPageInterval 2
DOSSiteInterval 2
DOSBlockingPeriod 600
</IfModule>
Apache 2.x.x ( httpd.conf)
Trích:
<IfModule mod_evasive20.c>
DOSHashTableSize 3097
DOSPageCount 5
DOSSiteCount 100
DOSPageInterval 2
DOSSiteInterval 2
DOSBlockingPeriod 10
DOSBlockingPeriod 600
</IfModule>
Đối với tùy server mà các đồng chí có thể thay đổi localtion cho phù hợp với path của server.
ngoài ra có thể install thêm mod_limitipconn cũng khá hiệu quả ( các đồng chí tự tìm tài liệu nhé!
-- Firewall cho server chặn các packer ko hợp lệ đến server. hiện tại có một số dạng firewall như sau: iptables , endian , ipcop... Nhưng theo Bill thấy hay nhất lại free đó là iptables mặc dầu không dễ config như ipcop. Vì cách cấu hình khá phức tạp và dài nên Bill không post lên đây được. Các đồng chí có thể lên google tự tìm hiểu.
--- router: nếu bạn có server đặt tại nhà tại sao ko đầu tư 1 firewall đắt tiền có chức năng anti ddos
Ngoài ra còn rất nhiều cách chống ddos nhưng Bill không thể biết và nêu hết lên đây đựoc. Các đồng chí ai có cách nào thì post lên anh em tham khảo nhé
À quên có 1 cách đơn giản nhất và hiệu quả nhất đó là đặt server ở đầu giường như HVA bây giờ đó có gì thì rút điện cái là xong
Hết tut, chúc anh em thành công
Qua quá trình trải nghiệm chống ddos từ thời Thegioingamvn.org, Bill rút ra được 1 số kinh nghiệm như sau:
1) đối với các bạn sài share hosting.
Đối với trường hợp này các bạn chỉ có thể can thiệp vào code để chống ddos hay flood ngập lụt dữ liệu.
vậy vấn đề đặt ra là làm thế nào để có thể chống ddos 1 cách hiệu quả mà thành viên không phải bất tiện khi vào forum như: nhập user pass ( Password protect Area), click vào firewall để vào DNP hay firewall của ddth...
- Cách thứ nhất các đồng chí có thể sài các biện pháp trên để bảo vệ code web. Cách tốt nhất là password protect area nhưng bất tiện với các forum không phải UG. Code của ddth cũng rất ok lại đỡ bất tiện hơn nhưng hiện tại phiên bản xflash mới nhất đã có thể làm giả HTTP_REFERER để vuợt qua firewall dạng này.
- cách thứ 2 là DNP firewall và INV firewall, không hiệu quả đối với các cấp thử mục bên trong.
- Cách thứ 3 mà Bill muốn đề cập tới đó là Hotlink protect. Cái này thấy ít người nói tới nhưng khá hiệu quả. Ví dụ như khi vào http://vhz.vn/VHC/index.php thì các đồng chí được đưa trở lại trang home http://vhcgroup.net. Khi ddos vào code cũng tuơng tự link ddos sẽ có dạng http://yourdomain.com/forum/xxx.php Như vậy sẽ ko đc. Cách này đã test rất ok và có 1 vấn đề nhỏ đó là khi link ddos dạng http://yourdomain.com/forum/ thì vẫn đc. Vậy để khắc phục thì nên để file index.htm ở tất cả các thư mục và tự động chuyển về trang home, khi đựoc gọi từ trang home thì mới có thể truy cập đựoc. vấn đề này anh em tự tìm hiểu. hotlink protect có thể kết hợp rất tốt với DNP, INV và password protect.
Code hotlink protect đưa vào 1 file .htaccess:
Trích:
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^http://vhz.vn/.*$ [NC]
RewriteCond %{HTTP_REFERER} !^http://vhz.vn$ [NC]
RewriteCond %{HTTP_REFERER} !^http://vhzgroup.net/.*$ [NC]
RewriteCond %{HTTP_REFERER} !^http://vhzgroup.net$ [NC]
RewriteCond %{HTTP_REFERER} !^http://www.vhzgroup.net/.*$ [NC]
RewriteCond %{HTTP_REFERER} !^http://www.vhzgroup.net$ [NC]
RewriteCond %{HTTP_REFERER} !^http://www.vhz.vn/.*$ [NC]
RewriteCond %{HTTP_REFERER} !^http://www.vhz.vn$ [NC]
RewriteCond %{HTTP_REFERER} !^http://vhcgroup.net/.*$ [NC]
RewriteCond %{HTTP_REFERER} !^http://vhcgroup.net$ [NC]
RewriteCond %{HTTP_REFERER} !^http://tnv4rum.com/.*$ [NC]
RewriteCond %{HTTP_REFERER} !^http://vhzgroup.net$ [NC]
RewriteCond %{HTTP_REFERER} !^http://www.vhcgroup.net/.*$ [NC]
RewriteCond %{HTTP_REFERER} !^http://www.vhcgroup.net$ [NC]
RewriteCond %{HTTP_REFERER} !^http://www.tnv4rum.com/.*$ [NC]
RewriteCond %{HTTP_REFERER} !^http://www.tnv4rum.com$ [NC]
RewriteRule .*\.(jpg|jpeg|gif|png|bmp|php|js|)$ http://vhcgroup.net [R,NC]
Ngoài ra còn có thể sài 1 số ứng dụng khác để anti ddos cho code. Nhưng Bill chỉ nêu ra cách đơn giản mà hiệu quả nhất cho anh em thôi.
2) Đối với các bạn có server:
có server thì còn phải nói.
- Thứ nhất anti ddos vào apache:
+ Giới thiệu mod_evasive, Mod này có tác dụng giới hạn số request trong một đơn vị thời gian, và giới hạn số kết nối tới server từ một IP. nên có tác dụng chống ddos khá hiệu quả đặc biệt là Flood. Nhuợc điểm tốn tài nguyên server! Đối với windows thì Bill ko nói nhé, Bill sẽ hướng dẫn qua cho các đồng chí install trong linux.
buớc 1:Login SSH vào server
Buớc 2:
Đối với Apache 1.3x
Trích:
cd /usr/local/src
wget http://www.zdziarski.com/projects/mo..._1.10.1.tar.gz
tar -zxf mod_evasive_1.10.1.tar.gz
cd mod_evasive
/usr/local/apache/bin/apxs -cia mod_evasive.c
Đối với Apche 2.xx
Trích:
up2date -i httpd-devel
cd /usr/local/src
wget http://www.zdziarski.com/projects/mo..._1.10.1.tar.gz
tar -zxf mod_evasive_1.10.1.tar.gz
cd mod_evasive
/usr/sbin/apxs -cia mod_evasive20.c
Cấu hình lại mod_evasive
Apache 1.3.x ( httpd.conf)
Trích:
<IfModule mod_evasive.c>
DOSHashTableSize 3097
DOSPageCount 5
DOSSiteCount 100
DOSPageInterval 2
DOSSiteInterval 2
DOSBlockingPeriod 600
</IfModule>
Apache 2.x.x ( httpd.conf)
Trích:
<IfModule mod_evasive20.c>
DOSHashTableSize 3097
DOSPageCount 5
DOSSiteCount 100
DOSPageInterval 2
DOSSiteInterval 2
DOSBlockingPeriod 10
DOSBlockingPeriod 600
</IfModule>
Đối với tùy server mà các đồng chí có thể thay đổi localtion cho phù hợp với path của server.
ngoài ra có thể install thêm mod_limitipconn cũng khá hiệu quả ( các đồng chí tự tìm tài liệu nhé!
-- Firewall cho server chặn các packer ko hợp lệ đến server. hiện tại có một số dạng firewall như sau: iptables , endian , ipcop... Nhưng theo Bill thấy hay nhất lại free đó là iptables mặc dầu không dễ config như ipcop. Vì cách cấu hình khá phức tạp và dài nên Bill không post lên đây được. Các đồng chí có thể lên google tự tìm hiểu.
--- router: nếu bạn có server đặt tại nhà tại sao ko đầu tư 1 firewall đắt tiền có chức năng anti ddos
Ngoài ra còn rất nhiều cách chống ddos nhưng Bill không thể biết và nêu hết lên đây đựoc. Các đồng chí ai có cách nào thì post lên anh em tham khảo nhé
À quên có 1 cách đơn giản nhất và hiệu quả nhất đó là đặt server ở đầu giường như HVA bây giờ đó có gì thì rút điện cái là xong
Hết tut, chúc anh em thành công
No comments: