188bongda.com

Thảo luận Cách chống DDoS trên Linux

Thảo luận trong 'Mua bán trao đổi tên miền - hosting' bắt đầu bởi nguyenhuuthien_42, 9/4/21.

  1. Lượt xem: 41

    nguyenhuuthien_42 PageRank 1 Member

    Tham gia ngày:
    16/9/13
    Bài viết:
    87
    Đã được thích:
    6
    Ở môi trường làm việc, chúng tôi – System Administrators – đã có kinh nghiệm nhiều năm quản trị HĐH Linux và chống DDoS hàng trăm trận với quy mô khác nhau. Tôi muốn chia sẻ kinh nghiệm với bạn đọc và cũng đáp ứng nhu cầu xây dựng document cho những đồng nghiệp tương lai, giúp họ nhanh chóng tiếp cận những kỹ năng thiết yếu thúc đẩy công việc quản trị đạt hiệu quả tại tổ chức. Hy vọng series Hướng dẫn chống DDoS sẽ mang lại giá trị thiết thực cho các bạn.

    Series “Hướng dẫn chống DDoS trên Linux” sẽ giúp bạn:

    • Trang bị những kiến thức nền tảng và kỹ năng/công cụ cần thiết để phân tích – nhận dạng – phòng thủ trước tấn công DoS/DDoS.
    • Bạn sẽ tự mình build được bộ firewall rules cho application. Không cầu toàn trong “sự nghiệp” chống DDoS, không khái niệm “one-size-fits-all“, không tồn tại một bộ core-rule-set bảo vệ tất cả application.
    Tùy thuộc vào đối tượng dịch vụ bạn đang quản trị, những kiến thức và kỹ năng hữu ích là chìa khóa giúp bạn build được firewall cho nhu cầu riêng mình.

    Tại sao chúng tôi chọn iptables/ipset ?

    • Theo chiều dài series, tôi và bạn đặt mình trong tình huống quản trị một server Linux, với nhu cầu chống tấn công DDoS quy mô trong phạm vi phần cứng server có thể chịu được (NICs, bandwidth, CPU, interrupts,…).
    • Series chỉ tập trung công cụ có sẵn iptables/ipset của Netfilter (Linux kernel). Iptables/ipset là công cụ mạnh mẽ, gọn nhẹ, có sẵn, linh hoạt và hiệu suất tuyệt đối để build firewall.
    Vì thế, bài viết chỉ tập trung xoay quanh packet filter ở layer 3 (tầng network). Các công cụ và khái niệm khác như IDS, IPS, HA, LB,… và cả WAF nằm ngoài phạm vi bài viết này.

    Lời kết:

    System Admin không thể viết firewall rule chống DDoS nếu không thể phân tích cuộc tấn công. Sử dụng thông thạo [CÔNG CỤ] và vững [KIẾN THỨC NỀN TẢNG] là yêu cầu bắt buộc.

    Avoid-a-boring-life, trong series chúng tôi chỉ tập trung nhiều vào tấn công giao thức TCP. Những kỹ năng bạn được trang bị sẽ dễ dàng mở rộng sang bất kì giao thức khác.

    Xem thêm dịch vụ: Tường lửa chống DDoS - Firewall Anti DDoS | Vietnix Hosting
     
    #1

Chia sẻ trang này