Khắc phục DDOS và tìm ra nguyên nhân trong seo

Khắc phục DDOS và tìm ra nguyên nhân trong seo - khi làm việc và hoạt động trên internet việc đụng phải đối thủ cạnh tranh là chuyện thường gặp. Có nhiều trường hợp 2 seoer cùng làm chung trong một lĩnh vực và seo cùng từ khóa xảy ra trường hợp ddos nhau để tranh giành thứ hạng! ^^. Đây chỉ là trường hợp rất hiếm khi sảy ra vì đạo đức nghề nghiệp của seoer nhưng không phải là không có. Nên chúng ta phải cảnh giác và tìm hiểu để có cách khắc phục và tránh đụng phải những trường hợp này.  Khi bị ddos thì liệu chúng ta có tìm được thủ phạm không? Vấn đề này rất cao cấp, nếu bạn ddos trực tiếp có thể lùng ra IP của bạn, nhưng phải thuộc hàng ngũ nhà nước mới yêu cầu ISP cung cấp được địa chỉ thực của bạn mà bắt, ISP họ làm việc rất nghiêm túc không bao giờ tiết lộ IP này có địa chỉ số nhà là bao nhiêu, ở đâu nếu không có lệnh từ cấp trên.

Cách khắc phục DDos?

• Tùy vào quy mô cuộc tấn công mà hạn chế, chứ không triệt tiêu được. Gặp phải 1 mạng botnet lớn, thì shutdown server là cách nhanh nhất, chừng nào bên kia chán nản rồi reboot chạy lại.

• Tấn công quy mô nhỏ, thì kinh nghiệm của Seoer là các bạn nên sử dụng dịch vụ DNS của Cloud Flare, bạn trỏ domain đến đây, bật các lớp bảo mật lên. Nếu Cloud Flare ngửi thấy các IP đang request nhanh đến server của bạn, sẽ bật ra 1 bảng captcha yêu cầu bạn nhập vào. Botnet có tùy loại, nếu chúng quá thông minh vượt qua được captcha thì shutdown server là vừa rồi bạn ơi.

• Nếu bạn sử dụng host, thì up tạm bộ cản bằng .htaccess, yêu cầu các request phải click vào mới cho qua. Tuyệt đối không sử dụng các firewall bắt click vào, nhưng cho bots google qua, vì nó có thể fake user-agent mà xuyên qua lớp này được. Và hãy liên hệ HP của bạn để nhận support, vì nếu ddos mạnh quá ảnh hưởng các host khác thì nguy cơ bị suspend là 100%.

• Nếu bạn sử dung VPS, Server có tài khoản Root, thì hãy check Status Server thường xuyên, config các bộ lọc và mod sercurity tốt hơn (ngửi thấy bị request nhanh là block lại, thà giết nhầm còn hơn bỏ sót), nếu có nhiều site chạy trên 1 server thì cài thêm Cloud Linux (chạy Dedicated IP là tốt nhất, để nó không lùng ra các site còn lại trên server mà ddos vào) để giới hạn cho từng domain trên server sử dụng tài nguyên. Hãy hỏi ý kiến các chuyên gia về cung cấp Hosting, Server,… nhờ họ giúp đỡ bạn ngay.

 Dấu hiệu nhận biết DDOS?

1. Khi server đột ngột chậm như rùa, mọi xử lý của server đều rất nặng nề.
2. Server bị quá tải do tốc độ xử lý của CPU không đảm bảo
3. Server bị quá tải do thiếu RAM
4. Tốc độ truy xuất dữ liệu của HDD không đáp ứng nhu cầu read/write của data. (Thông thường xảy ra trên các ổ SATA 72krpm hoặc HDD sắp hỏng)

Những lệnh kiểm tra xem sever có bị DDOS hay không?

Từ command line Linux gõ:

netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

Câu lện trên sẽ trả về hàng loạt IP chiếm nhiều connection nhất trên server. Cần lưu ý rằng DDOS có thể xuất phát từ một lượng nhỏ connection. Do đó việc kết quả trả về connection thấp bạn vẫn có thể trong tình trạng under attack.

Một phương pháp khác:

netstat -n | grep :80 |wc -l

 

netstat -n | grep :80 | grep SYN |wc -l

Dòng lệnh thứ nhất trả về số lượng active connection (connection đang hoạt động). Rất nhiều kiểu tấn công DDOS bằng cách mở một kết nối connection lên server rồi không làm gì cả khiến cho server chờ đợi cho đến khi timeout. Nến nếu dòng lệnh thứ nhất trả về trên 500 thì server của bạn rất nhiều khả năng bị DDOS.

Dòng lệnh thứ 2 trả về kết quả trên 100 thì rất nhiều khả năng server bạn trong tình trang syn attack DDOS.

Lưu ý: cách tính trên chỉ là tương đối, một số website có lưu lượng truy cập lớn thì phương pháp detect này có thể không chính xác.
Một số phương pháp khắc phục:

Cách khắc phục nhanh nhất là block các IP chiếm nhiều connection nhất trong “giờ cao điểm”:

Cách 1:

route add địa-chỉ-ip reject

route add 192.168.0.168 reject

Kiểm tra bằng lệnh: route -n |grep địa-chỉ-ip

Cách 2: sử dụng iptables

iptables -A INPUT 1 -s địa-chỉ-ip -j DROP/REJECT service iptables restart

service iptables save

Sau đó xóa hết tất cả connection hiện hành và khơi động lại service httpd

killall -KILL httpd

service httpd restart

Nếu như hoàn tất các bước nêu trên mà server vẫn chậm thì có nghĩa là vấn đề bạn gặp phải nằm vào trường hợp 2,3,4… chỉ việc nâng cấp server để đáp ứng nhu cầu truy cập của người sử dụng.