Config CSF và các thông số cơ bản hạn chế DDoS

Tác giả: 30/04/2023

Chào các bạn, hôm nay Nhân Hòa sẽ cùng các bạn tìm hiểu thêm về CSF về hạn chế DDoS, đây là phần mình sẽ trình bày về các tham số  trong CSF để chặn các IP gây hại.Hai phần trình bày trước các bạn có thể xem tại link dưới

Cấu hình Firewall CSF giảm thiệt hại DDOS – Nhan Hoa Knowledgebase

Config Cluster CSF – Nhan Hoa Knowledgebase

CSF (ConfigServer Security & Firewall) là một tường lửa và bộ lọc gói tin mạnh mẽ được sử dụng để bảo vệ máy chủ của bạn khỏi các cuộc tấn công DDoS. Để cấu hình CSF để chống DDoS, bạn có thể thực hiện các bước sau:

I – Giới hạn về thời gian chặn

  1. Mở tệp tin csf.conf bằng lệnh sau:
nano /etc/csf/csf.conf
  1. Tìm kiếm và thay đổi giá trị của các cài đặt sau như sau:
LF_NETBLOCK = "1"
LF_NETBLOCK_INTERVAL = "3600"
LF_NETBLOCK_COUNT = "100"
LF_PERMBLOCK = "1"
LF_PERMBLOCK_INTERVAL = "86400"
LF_PERMBLOCK_COUNT = "10"
PS_INTERVAL = "10"
PS_LIMIT = "30"
DENY_IP_LIMIT = "200"
CC_ALLOW_FILTER = "VN"

Giải thích:

  • LF_NETBLOCK: Cài đặt này bật tính năng chặn địa chỉ IP tấn công DDoS.
  • LF_NETBLOCK_INTERVAL: Cài đặt này xác định khoảng thời gian giữa các lần chặn một địa chỉ IP tấn công DDoS.
  • LF_NETBLOCK_COUNT: Cài đặt này xác định số lượng lần tối đa mà một địa chỉ IP có thể tấn công trước khi bị chặn.
  • LF_PERMBLOCK: Cài đặt này bật tính năng chặn vĩnh viễn địa chỉ IP tấn công DDoS.
  • LF_PERMBLOCK_INTERVAL: Cài đặt này xác định khoảng thời gian giữa các lần chặn vĩnh viễn một địa chỉ IP tấn công DDoS.
  • LF_PERMBLOCK_COUNT: Cài đặt này xác định số lần tối đa mà một địa chỉ IP có thể tấn công trước khi bị chặn vĩnh viễn.
  • PS_INTERVAL: Cài đặt này xác định khoảng thời gian giữa các lần kiểm tra tình trạng hệ thống.
  • PS_LIMIT: Cài đặt này xác định số lượng yêu cầu tối đa được phép đến máy chủ trong một khoảng thời gian nhất định.
  • DENY_IP_LIMIT: Cài đặt này xác định giới hạn số địa chỉ IP bị chặn, khi giới hạn này đạt ,csf sẽ flush các IP bị chặn đầu tiên.
  • CC_ALLOW_FILTER = “VN”: Cài đặt này chỉ cho phép kết nối theo quốc gia có mã “VN” và DenyALL kết nối quốc tế
  1. Lưu và đóng tệp tin csf.conf.
  2. Khởi động lại CSF để áp dụng các thay đổi bằng lệnh sau:
csf -r

Sau khi thực hiện các bước trên, CSF sẽ chặn các cuộc tấn công DDoS từ các địa chỉ IP tấn công bằng cách chặn tạm thời hoặc chặn vĩnh viễn địa chỉ IP tấn công. Ngoài ra, CSF cũng có tính năng giám sát và báo cáo tình trạng hệ thống, giúp bạn phát hiện và ngăn chặn các cuộc tấn công DDoS sớm hơn.

Tuy nhiên, hãy lưu ý rằng cấu hình CSF để chống DDoS chỉ là một phần của các biện pháp bảo mật toàn diện. Bạn cần đảm bảo rằng tất cả các phần mềm và cấu hình khác trên máy chủ của bạn đều được bảo vệ và cập nhật để đảm bảo an toàn tối đa.

II – Csf giảm thiệt hại ddos ping of death

Để sử dụng CSF để chống DDoS và Ping of Death, bạn cần cấu hình một số tùy chọn trong tệp tin csf.conf. Bạn có thể mở tệp tin này bằng lệnh sau:

nano /etc/csf/csf.conf

Sau đó, bạn có thể thêm các cài đặt sau vào tệp tin csf.conf để chống DDoS và Ping of Death:

  1. Tắt ICMP Redirects và có hiệu lực ngay lập tức:
ICMP_IN = "0"
  1. Tắt các gói ICMP bị lặp lại:
ICMP_IN = "0"
  1. Tắt chức năng IP Spoofing:
IPV6_SPI = "1"
  1. Giới hạn số lượng kết nối từ một địa chỉ IP đến máy chủ của bạn:
CT_LIMIT = "100"
  1. Tắt chức năng SYN Cookie:
TCP_SYNCOOKIES = "0"
  1. Tắt chức năng TCP Timestamps:
TCP_TIMESTAMP = "0"
  1. Tắt chức năng TCP SACK:
TCP_SACK = "0"

Sau khi thực hiện các cài đặt trên, bạn có thể lưu và đóng tệp tin csf.conf. Sau đó, bạn có thể khởi động lại CSF bằng lệnh sau để áp dụng các thay đổi:

csf -r

Lưu ý rằng cấu hình CSF để chống DDoS và Ping of Death chỉ là một phần của các biện pháp bảo mật toàn diện. Bạn cần đảm bảo rằng tất cả các phần mềm và cấu hình khác trên máy chủ của bạn đều được bảo vệ và cập nhật để đảm bảo an toàn tối đa.

III – Csf giảm thiệt hại synflood

Để cấu hình CSF để chống Syn Flood, bạn có thể thực hiện các bước sau:

  1. Mở tệp tin csf.conf bằng lệnh sau:
nano /etc/csf/csf.conf
  1. Tìm kiếm và thay đổi giá trị của các cài đặt sau như sau:
SYNFLOOD = "1"
SYNFLOOD_RATE = "100/s"
SYNFLOOD_BURST = "150"

Giải thích:

  • SYNFLOOD: Cài đặt này bật hoặc tắt tính năng chống Syn Flood trong CSF.
  • SYNFLOOD_RATE: Cài đặt này xác định số lượng kết nối TCP SYN được phép trong một giây. Nếu một địa chỉ IP tạo ra nhiều hơn số lượng kết nối này trong một giây, nó sẽ bị chặn bởi CSF.
  • SYNFLOOD_BURST: Cài đặt này xác định số lượng kết nối TCP SYN tối đa được phép từ một địa chỉ IP trước khi CSF chặn IP đó.
  1. Lưu và đóng tệp tin csf.conf.
  2. Khởi động lại CSF để áp dụng các thay đổi bằng lệnh sau:
csf -r

Sau khi thực hiện các bước trên, CSF sẽ chặn các cuộc tấn công Syn Flood từ các địa chỉ IP tạo ra quá nhiều kết nối TCP SYN trong một giây. Tuy nhiên, hãy lưu ý rằng cấu hình CSF để chống Syn Flood chỉ là một phần của các biện pháp bảo mật toàn diện. Bạn cần đảm bảo rằng tất cả các phần mềm và cấu hình khác trên máy chủ của bạn đều được bảo vệ và cập nhật để đảm bảo an toàn tối đa.

IV – Csf giảm thiệt hại udpflood
CSF (ConfigServer Security & Firewall) có thể được cấu hình để chống UDP Flood, một loại cuộc tấn công DDoS mà kẻ tấn công gửi nhiều gói tin UDP giả mạo đến máy chủ của bạn để làm cho máy chủ của bạn không thể xử lý các yêu cầu từ người dùng hợp lệ.

Để cấu hình CSF để chống UDP Flood, bạn có thể thực hiện các bước sau:

  1. Mở tệp tin csf.conf bằng lệnh sau:
nano /etc/csf/csf.conf
  1. Tìm kiếm và thay đổi giá trị của các cài đặt sau như sau:
UDPFLOOD = "1"
UDPFLOOD_LIMIT = "25/s"
UDPFLOOD_BURST = "50"

Giải thích:

  • UDPFLOOD: Cài đặt này bật hoặc tắt tính năng chống UDP Flood trong CSF.
  • UDPFLOOD_LIMIT: Cài đặt này xác định số lượng gói tin UDP được phép trong một giây. Nếu một địa chỉ IP tạo ra nhiều hơn số lượng gói tin này trong một giây, nó sẽ bị chặn bởi CSF.
  • UDPFLOOD_BURST: Cài đặt này xác định số lượng gói tin UDP tối đa được phép từ một địa chỉ IP trước khi CSF chặn IP đó.
  1. Lưu và đóng tệp tin csf.conf.
  2. Khởi động lại CSF để áp dụng các thay đổi bằng lệnh sau:
csf -r

Ngoài các biện pháp cấu hình trên firewall CSF để giảm thiểu thiệt hại DDoS, còn có một số biện pháp khác bạn cũng có thể thực hiện để bảo vệ hệ thống của mình. Dưới đây là một số biện pháp quan trọng khác:

  1. Tăng khả năng chịu tải: Bạn có thể tăng khả năng chịu tải của hệ thống bằng cách sử dụng các máy chủ phân tán hoặc tăng khả năng chịu tải của ứng dụng của bạn. Bằng cách tăng khả năng chịu tải, hệ thống của bạn sẽ có thể xử lý số lượng lớn yêu cầu đồng thời mà không bị quá tải.
  2. Sử dụng DNS tập trung: Bạn có thể sử dụng DNS tập trung để giảm thiểu số lượng yêu cầu đến máy chủ của bạn. Bằng cách sử dụng DNS tập trung, các yêu cầu sẽ được chuyển hướng đến các máy chủ lưu trữ phụ trợ, giúp giảm thiểu tải cho các máy chủ chính.
  3. Sử dụng bảo vệ chống DDoS từ nhà cung cấp dịch vụ: Nếu bạn sử dụng dịch vụ lưu trữ hoặc mạng của một nhà cung cấp, bạn có thể sử dụng các dịch vụ bảo vệ chống DDoS của nhà cung cấp. Các dịch vụ này sẽ giúp giảm thiểu tác động của các cuộc tấn công DDoS đến hệ thống của bạn.
  4. Cập nhật và bảo mật hệ thống: Bạn nên thường xuyên cập nhật và bảo mật hệ thống của mình để đảm bảo rằng nó không có điểm yếu nào có thể được tấn công. Bằng cách cập nhật và bảo mật hệ thống, bạn có thể giảm thiểu nguy cơ của các cuộc tấn công DDoS.
  5. Thực hiện kiểm tra bảo mật thường xuyên: Bạn nên thực hiện kiểm tra bảo mật thường xuyên để đảm bảo rằng hệ thống của mình không có điểm yếu nào có thể được tấn công. Bằng cách thực hiện kiểm tra bảo mật thường xuyên, bạn có thể phát hiện và xử lý các điểm yếu trước khi chúng trở thành mục tiêu của các cuộc tấn công DDoS.

Tóm lại, để bảo vệ hệ thống của mình khỏi các cuộc tấn công DDoS, bạn cần tăng khả năng chịu tải, sử dụng DNS tập trung, sử dụng bảo vệ chống DDoS từ nhà cung cấp dịch vụ, cập nhật và bảo mật hệ thống, và thực hiện kiểm tra bảo mật thường xuyên. Bằng cách thực hiện các biện pháp này, bạn có thể giảm thiểu thiệt hại và đảm bảo an toàn cho hệ thống của mình trong các cuộc tấn công DDoS.

Hẹn gặp lại các bạn ở các bài viết tới tại wiki.nhanhoa.com

Trả lời