(vnCloud.vn) Đối với các bạn làm website thì việc DDoS là việc khó tránh khỏi bởi hiện nay DDoS là việc không quá khó, không cần trình độ pro, chỉ cần một vài phần mềm và vài thao tác cơ bản là bạn hoàn toán có thể DDoS được một website ” chết ngay” hoặc die trong một thời gian. Hôm nay chúng ta cùng đi thảo luận về cách phòng chống DDOS cho máy chủ hiệu quả nhất hiện nay ?
Do đó cần sự chuẩn bị về mặt tinh thần bị DDoS thì chớ có hoảng, ai làm Business online thì cũng ít nhất một lần bị. Dễ nhất là nếu ước lượng không thiệt hại gì nhiều vì cái site cũng không lớn, cũng chẳng muốn đầu tư nhiều thì thôi kệ nó DDoS chán thì nghỉ.
Còn nếu đã đầu tư nhiều tâm huyết vào business online này thì cần nghiêm túc suy nghĩ về việc dự phòng cho DDoS, vì bản thân chữ DoS đã ghi rõ, nó là Denial of Service tức là Từ-chối-dịch-vụ, mục đích của kẻ tấn công là ngưng hoạt động của website hay hệ thống online đó, do đó bất kỳ thời gian ngưng nào của dịch vụ cũng là thiệt hại về tài chính, về thương hiệu, về tinh thần và cả về vật chất. Mà đã dính tới dự phòng cho DDoS thì nói thẳng và thật là sẽ phải đầu tư tiền của nhiều, không rẻ được vì các giải pháp chống DDoS thực ra khá gần với các giải pháp để có một hệ thống cung cấp dịch vụ cho hàng ngàn người dùng đồng thời cùng lúc.
Nguyên lý cơ bản của đỡ DDoS:
Notes: đỡ DDoS nha không có chống , vì không có chống được chỉ có đỡ và giảm tác hại, còn cao tay hơn thì là triệt nguồn tấn công thôi
DDoS là kẻ tấn công sinh ra một lượng lớn truy cập giả khiến website, hệ thống quá tải do không còn tài nguyên (CPU, RAM, Bandwidth) để xử lý các truy cập. Thế nên có vài hướng để đỡ DDoS
– Tăng phần cứng của máy chủ đang bị DDoS. Tăng CPU tăng RAM tăng Bandwidth, là cách nhanh nhất để đỡ DDoS, nếu lượng CPU, RAM, Bandwidth của bạn đủ lớn để cover một cuộc tấn công DDoS loại thông thường thì mọi thứ OK
– Cản lọc. Chỗ này mang nặng tính kỹ thụât hơi nhiều. Cản lọc là dùng các giải pháp kỹ thụât để gạt bỏ các truy cập giả mạo và chừa chỗ cho các truy cập thật của người dùng/khách hàng. Điển hình dễ hiểu là mấy cái script chống DDoS đang đầy trên mạng mà các bạn hay tải về gắn lên site, khi có nhiều người vô qúa thì nó bắt gõ Captcha ấy. Còn về mặt kỹ thuật chuyên sâu thì có các loại Firewall ( tường lửa ), router chuyên đỡ DDoS và các lệnh cấu hình đặc biệt để đỡ DDoS, phần này không nói rõ hơn vì chỉ các kỹ sư mới thực hiện được
– Phân tải. Tức là từ 1 máy chủ chịu không nổi thì tăng lên nhiều máy chủ. vd cho dễ hiểu: trước đây chỉ có 1 máy chủ vừa chứa website vừa chứa forum chẳng hạn thì giờ tách ra 2 máy chủ hay là 100 truy cập thì 50 truy cập giao cho máy chủ 1 xử lý, 50 truy cập cho máy chủ 2 xử lý, đó gọi là cân bằng tải . Còn về mặt kỹ thuật thì có các giải pháp phân tải, cân bằng tải mà thuật ngữ gọi là Load Balancing. Tóm lại vẫn là dùng nhiều máy chủ, phối hợp với các giải pháp kỹ thuật để tự động phân tải lượng truy cập khổng lồ mà website/hệ thống đang nhận ra cho nhiều máy chủ xử lý cùng lúc
– Mạng phân phối nội dung CDN ( Content Delivery Network ), khái niệm này chính là dịch vụ CloudFlare. Thực ra khải niệm CDN chính là khái niệm Phân tải ở trên, dịch vụ CloudFlare hay các dịch vụ CDN khác đều là chuyển hướng các truy cập vô website của bạn qua hệ thống hàng trăm server của CloudFlare để phân tải, rồi cản lọc các truy cập giả, rồi cuối cùng là chuyển hướng trở lại các truy cập thật vô website của bạn
– Cấu hình đúng, các giải pháp ở trên sẽ vô dụng nếu như bản thân cái máy chủ của bạn không được cấu hình đúng. Cấu hình đúng là phải đảm bảo máy chủ dùng tối ưu toàn bộ các tài nguyên mà nó có chứ không xài phung phí, vd: xử lý 1 truy cập mất khoảng 1 KB ram và 1% CPU, nhưng cấu hình sai làm tiêu tới 1MB ram và 10% CPU , thì khi gặp DDoS nhẹ là lên đường ngay
Còn một nguyên lý khác nữa: Đỡ DDoS cần kỹ sư trực tiếp làm, vì nó nặng kỹ thụât, gặp các dạng DDoS bèo bèo thì có thể theo phần nguyên lý trên đây để đỡ bớt bằng việc thuê/mua thêm dịch vụ, tài nguyên; chứ gặp các dạng DDoS “kỹ thuật cao” thì phải các kỹ sư cao tay ấn thì mới đỡ được
>> Thuê Cloud tại vnCloud.vn hỗ trợ phòng chống DDoS tốt
Vì nhiều điều muốn nói thì cần thảo luận nên tôi note thêm vài vấn đề coi như gợi mở:
– Về máy chủ thì nên đầu tư như thế nào để dự phòng DDoS ?
Um, câu hỏi đầu tiên thường là câu này. Câu trả lời là đầu tiên cần loại Share Hosting khỏi danh sách. Thực sự đến thời điểm này tôi thấy rất đáng tiếc khi nhiều bạn muốn đầu tư cho business online mà cứ nghĩ trong đầu việc thuê Share Hosting, đành rằng nó sẽ giúp các bạn tránh việc phải tự tay quản lý hạ tầng máy chủ, chỉ việc “cài cái web lên và chạy rồi chờ tiền về”, thế nhưng cái hại của Share Hosting là rất nhiều vd: Share hosting dễ bị hack ( cái này là chắc chắn luôn, đừng tin bất kỳ bạn chủ dịch vụ Share Host nào bảo là họ an toàn lắm, chém gió cả đấy ), Share Hosting nếu bị DDoS thì nhà cung cấp dịch vụ sẽ tắt dịch vụ của bạn luôn vì ảnh hưởng tới nhiều người khác, nhà cung cấp dịch vụ Share Hosting thường 90% là không hỗ trợ trong trường hợp bạn bị DDoS họ sẽ mặc kệ bạn vì bạn trả rất ít tiền và họ cũng chả thể làm gì nhiều đối với mớ tiền bạn trả
– Vậy loại máy chủ nào nên đầu tư ? VPS ( máy chủ ảo ) hay Dedicate ( máy chủ riêng ) hay Cloud ?
+ VPS là lựa chọn con nhà nghèo mà các startups nhỏ thường chọn. Cái này có lợi là không lo bảo trì phần cứng, thích thì tăng gói lên phần cứng, không thì giảm xuống. Tuy nhiên loại này nó vẫn giống Share hosting chút chút, tuy là khó bị hack hơn nhưng khi bị DDoS thì vẫn đứ đừ nếu gặp nhà cung cấp dịch vụ nhát gan không đám đứng ra hỗ trợ bạn, và vì các VPS vẫn đặt trên cùng 1 server vật lý, nên hiệu năng của VPS vẫn là sự chia nhỏ của một hệ thống vật lý nên xét ra nó kém hơn Dedicate rất nhiều, bạn nên cân nhắc
+ Dedicate Server, loại này là ngon nhất mà cũng tốn tiền nhất, bạn có máy chủ riêng của bạn, không chung đụng ai cả. Bạn không bị hack nếu hàng xóm ( share hosting khác ) bị hack, bạn bị DDoS thì mình bạn với toàn bộ phần cứng của bạn chịu không ai lấy bớt tài nguyên ( CPU, RAM ) phần cứng của bạn để dùng trong khi bạn đang ì ạch chống DDoS. Loại này nếu có nhiều tiền thì khỏi nói thêm
+ Cloud: đây là dịch vụ máy chủ “linh động” tức là bạn có thể mua máy chủ( thuê máy chủ ) theo một cấu hình nào đó vd: 4 CPU và 8GB Ram , rồi sau đó muốn tăng thêm 1 GB Ram thì tự cấu hình tăng thêm 1 GB ram , và bạn chỉ trả tiền theo giờ cho loại máy chủ này. Loại này rất tốt cho việc chống DDoS vì lí do có thể tăng tài nguyên máy chủ một cách linh động, vd: khi bị DDoS thì tăng lên 16CPU và 32GB Ram, băng thông tăng lên 10 Terabytes. Cho chúng DDoS mệt nghỉ luôn, khi nào chúng hết DDoS thì lại giảm xuống loại này theo tôi thì nên xài nhất, khoảng vài năm gần đây mới có loại này kể từ khi Amazon khai sinh hình thức này nó đã thay đổi căn bản nhiều thứ về hạ tầng máy chủ.
Dĩ nhiên chi phí của loại này khi tính theo tháng đôi khi bằng với Dedicate Server, nhưng cái lợi là bạn chả bao giờ phải quan tâm tới phần cứng vật lý, vì nhà cung cấp Cloud có uy tín ( nhấn mạnh 10 lần ) sẽ chịu trách nhiệm bảo trì hạ tầng vật lý mà đảm bảo dịch vụ. Nếu bạn bị DDoS, họ cũng nai lưng ra đỡ cho bằng được chứ không phủi trách nhiệm tuy nhiên bạn sẽ phải mua thêm resource mà bạn đã bị DDoS tiêu tốn, cũng hợp lý thôi
– Có cách nào đỡ DDoS một cách proactive ( chủ động ) không ?
Có, hiện có một số chuyên gia có cung cấp dịch vụ DDoS Stress Test. Ở VN cũng có vài người cung cấp. Dịch vụ này dùng để audit khả năng chịu tải của hạ tầng server hiện tại dự phòng cho các loại DDoS thông dụng. Kiểu như là thử vaccin trước nếu thấy chết thì sửa trước khi bị đập thật
ST.
Nếu bạn đang làm quản trị mạng hay quản trị server, bạn thực hiện cách nào để bảo vệ máy chủ, bảo vệ website của khách hàng thoát khỏi DDoS nặng nề. Ý kiến của môt bạn IT : Cài tường lửa, phân quyền, cấu hình file .htaccess, quản trị server giỏi: theo dõi tình trạng hosting, server, cách khắc phục tấn công nhanh.
Ý kiến của bạn thì sao ? Cùng bàn luận tiếp các vấn đề liên quan đến các phòng tránh DDoS trên máy chủ server nhé.