Các bước để xử lý vấn đề khi phát hiện server bị tấn công DDOS
Một số tác vụ xử lý ddos
1. Sử dụng lệnh Top -c để xem qua xem có user nào chiếm tài nguyên cao đột biến, nếu phát hiện user nào tiến hành Khóa ngay user đó lại và kiểm tra log của user đó.
2. Kiểm tra trên server xem hiện tại có những IP nào hiện đang kết nối
- Đếm lượng connection vào Port 80:
netstat -n | grep :80 |wc -l
- Kiểm tra số lượng connection đang ở trạng thái SYN_RECV:
netstat -n | grep :netstat -n | grep :80 | grep SYN_RECV|wc -l80 | grep SYN_RECV|wc -l
- Hiển thị tất cả các IP đang kết nối và số lượng kết nối từ mỗi IP:
netstatnetstat -an | grep ':80' | awk ' {print $5} -an | grep ':80' | awk ' {print $5}
Phát hiện IP nào có lượng truy vấn bất thường thì tiến hành chặn ngay IP đó lại.
Ngoài ra còn dùng lệnh dsmeg để kiểm tra xem có những IP nào trong danh sách nghi vấn hay không và tiến hành khóa IP đó.
3. Kiểm tra log:
- Kiểm tra kỹ các log cơ bản trong /var/log
Có các log cần quan tâm như: messages, secure ngoài ra còn log của domain đáng nghi trong /var/log/http/domains/tendomain.log, khi phát hiện có IP nào đó nghi vấn thì khóa lại và kiểm tra.
4, Trường hợp DDOS nặng làm ảnh hưởng đến cả dải IP hoặc các server khác cần tiến hành tạo Rule bóp lại băng thông server sau đó kiểm tra để tránh làm ảnh hưởng đến nhiều server trong thời gian dài.
5, Nếu Server bị DDOS trực tiếp vào địa chỉ IP, và không thể có hướng xử lý, phương án dự phòng là add thêm 1 địa chỉ IP mới và chuyển dịch vụ sang chạy tạm thời với địa chỉ IP này.