Tác giả: Bùi Mạnh Đức 
0 
24 
Copy Link
Bookmark
Tấn công từ chối dịch vụ (DoS) và từ chối dịch vụ phân tán (DDoS là gì) đã trở thành một trong những mối đe dọa an ninh mạng nghiêm trọng nhất hiện nay. Các cuộc tấn công này không chỉ nhắm vào các tập đoàn lớn mà còn ảnh hưởng trực tiếp đến các doanh nghiệp vừa và nhỏ, gây gián đoạn dịch vụ, thiệt hại tài chính và làm suy giảm uy tín thương hiệu. Khi máy chủ web của bạn ngừng hoạt động, khách hàng không thể truy cập, giao dịch không thể thực hiện và hoạt động kinh doanh gần như tê liệt. Do đó, việc bảo vệ máy chủ Apache là gì, một trong những web server phổ biến nhất thế giới, trên nền tảng CentOS là gì 7 ổn định là nhiệm vụ cực kỳ quan trọng. Bài viết này sẽ cung cấp một hướng dẫn toàn diện, từ việc nhận biết dấu hiệu tấn công đến cách cấu hình chi tiết các công cụ mạnh mẽ như mod_evasive, Firewall là gì và Fail2ban để xây dựng một hàng rào phòng thủ vững chắc, giúp bạn chủ động chống lại các cuộc tấn công DDoS.
Tìm hiểu về DOS và DDOS cũng như môi trường Apache trên CentOS 7
Giới thiệu tấn công DOS và DDOS là gì?
Bạn đã bao giờ tự hỏi sự khác biệt thực sự giữa tấn công DoS và DDoS là gì chưa? Về cơ bản, cả hai đều có chung một mục tiêu: làm cho một dịch vụ trực tuyến (như website của bạn) không thể truy cập được đối với người dùng hợp lệ. Tấn công Từ chối dịch vụ (Denial of Service – DoS) thực hiện điều này bằng cách sử dụng một máy tính duy nhất để làm ngập lụt máy chủ mục tiêu với một lượng lớn yêu cầu, khiến máy chủ bị quá tải và không thể xử lý các yêu cầu từ người dùng thật.
Tấn công Từ chối dịch vụ phân tán (Distributed Denial of Service – DDoS) là một hình thức tinh vi và nguy hiểm hơn. Thay vì sử dụng một máy, kẻ tấn công huy động một mạng lưới gồm hàng ngàn, thậm chí hàng triệu máy tính bị nhiễm mã độc (gọi là botnet) để đồng loạt gửi yêu cầu đến mục tiêu. Sức mạnh của cuộc tấn công DDoS lớn hơn rất nhiều, khiến việc ngăn chặn trở nên vô cùng khó khăn vì không thể dễ dàng chặn một địa chỉ IP duy nhất. Các hình thức tấn công phổ biến bao gồm SYN Flood, UDP Flood và HTTP Flood, mỗi loại khai thác một điểm yếu khác nhau của hệ thống.
Tổng quan về máy chủ Apache và hệ điều hành CentOS 7
Máy chủ Apache, hay Apache HTTP Server, là một trong những phần mềm web server mã nguồn mở phổ biến và lâu đời nhất trên thế giới. Vai trò chính của Apache là nhận các yêu cầu từ trình duyệt của người dùng (HTTP requests) và trả về nội dung trang web tương ứng, chẳng hạn như văn bản, hình ảnh, hoặc dữ liệu. Nhờ tính linh hoạt, cấu trúc module mạnh mẽ và cộng đồng hỗ trợ rộng lớn, Apache đã trở thành xương sống cho hàng triệu website, từ các blog cá nhân đến các hệ thống doanh nghiệp phức tạp.
Để Apache hoạt động ổn định, nó cần một hệ điều hành máy chủ đáng tin cậy, và CentOS 7 chính là một lựa chọn hàng đầu. CentOS (Community ENTerprise Operating System) là một bản phân phối Linux miễn phí, được xây dựng dựa trên mã nguồn của Red Hat Enterprise Linux (RHEL). Điều này mang lại cho CentOS 7 sự ổn định, bảo mật và hiệu suất cấp doanh nghiệp mà không tốn chi phí bản quyền. Chính vì sự kết hợp giữa tính tin cậy của CentOS 7 và sự phổ biến của Apache, việc bảo vệ bộ đôi này khỏi các cuộc tấn công mạng là gì như DDoS là ưu tiên hàng đầu của mọi quản trị viên hệ thống.
Nhận biết các cuộc tấn công DOS/DDOS trên Apache
Dấu hiệu nhận biết máy chủ đang bị tấn công
Làm thế nào để bạn biết máy chủ của mình đang là nạn nhân của một cuộc tấn công DDoS thay vì chỉ là một ngày có lưu lượng truy cập cao bất thường? Việc nhận biết sớm các dấu hiệu là chìa khóa để giảm thiểu thiệt hại. Dấu hiệu rõ ràng nhất là sự gia tăng đột ngột và bất thường của lưu lượng truy cập mạng. Nếu biểu đồ băng thông của bạn thường phẳng lặng nhưng bỗng nhiên dựng đứng như một bức tường, đó là một cảnh báo đỏ.
Đi kèm với đó là hiệu suất máy chủ suy giảm nghiêm trọng. Website của bạn tải rất chậm, thường xuyên báo lỗi “Connection Timed Out” hoặc không thể truy cập được. Khi kiểm tra tài nguyên hệ thống, bạn sẽ thấy CPU và bộ nhớ RAM bị sử dụng ở mức tối đa trong thời gian dài dù không có tác vụ nặng nào đang chạy. Cuối cùng, hãy kiểm tra các file log của Apache (thường là access.log và error.log). Nếu bạn thấy hàng ngàn yêu cầu giống hệt nhau từ một hoặc nhiều địa chỉ IP trong một khoảng thời gian rất ngắn, đó gần như chắc chắn là một cuộc tấn công.
Sử dụng công cụ giám sát để phát hiện tấn công
Khi nghi ngờ có tấn công, việc ngồi yên và hy vọng nó tự kết thúc không phải là một giải pháp. Bạn cần các công cụ để xác nhận và xác định nguồn gốc của vấn đề. Một trong những công cụ dòng lệnh cơ bản nhưng mạnh mẽ nhất trên CentOS 7 là netstat. Bằng cách chạy lệnh netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n, bạn có thể nhanh chóng thống kê số lượng kết nối đến máy chủ từ mỗi địa chỉ IP. Nếu một vài IP có số lượng kết nối cao bất thường, chúng chính là những kẻ tình nghi hàng đầu.
Để phân tích sâu hơn, tcpdump là công cụ cho phép bạn “bắt” và xem xét các gói tin mạng trong thời gian thực. Mặc dù phức tạp hơn, nó cung cấp cái nhìn chi tiết về loại lưu lượng đang tấn công hệ thống của bạn. Tuy nhiên, phương pháp hiệu quả và dễ tiếp cận nhất thường là phân tích log của Apache. Bạn có thể sử dụng các lệnh như grep, awk, và sort để lọc file access.log. Ví dụ, lệnh grep "POST /" /var/log/httpd/access.log | awk '{print $1}' | sort | uniq -c sẽ giúp bạn đếm số lượng yêu cầu POST từ mỗi IP, một phương pháp phổ biến trong các cuộc tấná công HTTP Flood.
Cấu hình Apache và các công cụ chống tấn công hiệu quả
Thiết lập mod_evasive để phòng chống tấn công
Một trong những công cụ hiệu quả nhất để bảo vệ Apache khỏi các cuộc tấn công HTTP là mod_evasive. Đây là một module của Apache được thiết kế để phát hiện và ngăn chặn các yêu cầu độc hại bằng cách theo dõi địa chỉ IP của người dùng. Nếu một IP gửi quá nhiều yêu cầu đến cùng một trang hoặc yêu cầu quá nhiều đối tượng trên trang web trong một khoảng thời gian ngắn, mod_evasive sẽ tạm thời chặn IP đó, trả về lỗi 403 (Forbidden).
Việc cài đặt trên CentOS 7 khá đơn giản. Trước tiên, bạn cần cài đặt kho lưu trữ EPEL, sau đó cài đặt module:
sudo yum install epel-release -y
sudo yum install mod_evasive -y
Sau khi cài đặt, bạn cần cấu hình các tham số trong file /etc/httpd/conf.d/mod_evasive.conf. Các tham số quan trọng bao gồm:
DOSHashTableSize: Kích thước bảng băm để theo dõi IP.DOSPageCount: Ngưỡng số lần yêu cầu cùng một trang trong một khoảng thời gian ngắn. Giá trị đề xuất là 2 hoặc 3.DOSSiteCount: Ngưỡng tổng số yêu cầu đến trang web từ một IP. Giá trị đề xuất là 50.DOSBlockingPeriod: Thời gian (tính bằng giây) mà một IP sẽ bị chặn sau khi vi phạm ngưỡng.DOSEmailNotify: Địa chỉ email để nhận cảnh báo khi có một IP bị chặn.
Việc tinh chỉnh các giá trị này phù hợp với lưu lượng truy cập bình thường của website là rất quan trọng để tránh chặn nhầm người dùng hợp lệ.
Sử dụng Firewall và giới hạn kết nối
Trong khi mod_evasive hoạt động ở tầng ứng dụng, tường lửa (Firewall là gì) là tuyến phòng thủ đầu tiên ở tầng mạng. Trên CentOS 7, bạn có thể sử dụng firewalld hoặc iptables để thiết lập các quy tắc giới hạn kết nối, giúp giảm bớt gánh nặng cho Apache trước khi các yêu cầu độc hại đến được web server. Một kỹ thuật hiệu quả là giới hạn tốc độ kết nối mới (rate limiting) từ một địa chỉ IP.
Ví dụ, với firewalld, bạn có thể thêm một quy tắc để giới hạn một IP chỉ được tạo tối đa 20 kết nối mới mỗi phút đến cổng 80 (HTTP):
sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="0.0.0.0/0" service name="http" accept limit value="20/m"'
sudo firewall-cmd --reload
Để tăng cường khả năng phòng thủ, bạn nên kết hợp tường lửa với Fail2ban. Fail2ban là một công cụ tự động quét các file log (như log của Apache, SSH) để tìm kiếm các dấu hiệu tấn công. Khi phát hiện một IP có hành vi đáng ngờ (ví dụ: gây ra nhiều lỗi 404, hoặc bị mod_evasive chặn), Fail2ban sẽ tự động cập nhật quy tắc tường lửa để chặn IP đó trong một khoảng thời gian nhất định. Sự kết hợp này tạo ra một hệ thống phòng thủ tự động và phản ứng nhanh, giúp giảm thiểu sự can thiệp thủ công của quản trị viên.
Các vấn đề thường gặp trong quá trình chống DDoS
mod_evasive gây lỗi chặn nhầm người dùng hợp lệ
Một trong những thách thức lớn nhất khi triển khai mod_evasive là hiện tượng “false positive” – chặn nhầm người dùng hợp lệ. Điều này xảy ra khi các tham số cấu hình quá nghiêm ngặt và hành vi của một người dùng bình thường bị nhận diện nhầm là tấn công. Ví dụ, một người dùng có thể nhấp liên tục vào một thư viện ảnh, làm mới trang nhanh chóng, hoặc một công cụ tìm kiếm đang thu thập dữ liệu website của bạn cũng có thể bị chặn.
Nguyên nhân chính là do các giá trị DOSPageCount và DOSSiteCount được đặt quá thấp so với mô hình sử dụng thực tế của website. Để khắc phục, bạn cần phân tích lưu lượng truy cập bình thường của mình và điều chỉnh các thông số này cho phù hợp. Bắt đầu với các giá trị an toàn, cao hơn một chút và theo dõi log của mod_evasive (thường ở /var/log/httpd/mod_evasive.log) để xem có IP nào bị chặn không đáng có. Ngoài ra, mod_evasive cung cấp một tùy chọn DOSWhitelist cho phép bạn thêm các địa chỉ IP đáng tin cậy (ví dụ như IP văn phòng, IP của các bot Google) để chúng không bao giờ bị chặn, đảm bảo các dịch vụ quan trọng không bị gián đoạn.
Firewall giới hạn kết nối ảnh hưởng hiệu suất truy cập
Tương tự như mod_evasive, việc cấu hình tường lửa quá chặt chẽ cũng có thể gây ra những tác dụng phụ không mong muốn. Thiết lập giới hạn tốc độ kết nối (rate limiting) quá thấp có thể làm chậm hoặc thậm chí chặn người dùng hợp lệ, đặc biệt là trên các trang web có tính tương tác cao hoặc trong các sự kiện có lưu lượng truy cập lớn như chương trình khuyến mãi. Ví dụ, nếu bạn giới hạn mỗi IP chỉ được 10 kết nối mỗi phút, những người dùng truy cập từ cùng một mạng công ty hoặc Wi-Fi công cộng có thể dễ dàng đạt đến ngưỡng này và bị chặn.
Việc cân bằng giữa bảo mật và trải nghiệm người dùng là vô cùng quan trọng. Thay vì áp dụng một quy tắc chung, hãy xem xét việc thiết lập các giới hạn khác nhau cho các loại dịch vụ khác nhau. Bạn nên bắt đầu với các giới hạn tương đối “thoáng” và theo dõi chặt chẽ hiệu suất hệ thống cũng như phản hồi từ người dùng. Nếu không có vấn đề gì, bạn có thể từ từ siết chặt các quy tắc. Luôn kiểm tra kỹ lưỡng sau mỗi lần thay đổi cấu hình tường lửa để đảm bảo rằng trang web vẫn hoạt động mượt mà cho phần lớn người dùng.
Những lưu ý quan trọng khi bảo vệ máy chủ trong môi trường sản xuất
Bảo vệ máy chủ khỏi các cuộc tấn công DDoS không phải là một công việc làm một lần rồi quên. Đó là một quá trình liên tục đòi hỏi sự cảnh giác và bảo trì thường xuyên. Điều quan trọng đầu tiên và cơ bản nhất là luôn cập nhật hệ thống. Hãy đảm bảo rằng hệ điều hành CentOS 7, máy chủ Apache, và tất cả các phần mềm liên quan đều được cài đặt các bản vá bảo mật mới nhất. Kẻ tấn công thường xuyên khai thác các lỗ hổng đã được biết đến trên các phần mềm lỗi thời.
Thứ hai, không bao giờ thực hiện thay đổi trên một hệ thống đang hoạt động mà không có kế hoạch dự phòng. Trước khi chỉnh sửa bất kỳ file cấu hình nào, dù là httpd.conf, quy tắc tường lửa, hay cấu hình của fail2ban, hãy luôn tạo một bản sao lưu. Một lỗi nhỏ trong cú pháp cũng có thể khiến dịch vụ của bạn ngừng hoạt động. Sau khi áp dụng cấu hình mới, hãy kiểm tra kỹ lưỡng mọi chức năng của website để đảm bảo không có gì bị gián đoạn và người dùng hợp lệ không bị ảnh hưởng. Cuối cùng, hãy nhớ rằng không có một giải pháp duy nhất nào là hoàn hảo. Một chiến lược phòng thủ hiệu quả nhất là sự kết hợp của nhiều lớp bảo vệ: từ tường lửa mạng, các module ứng dụng như mod_evasive, đến các dịch vụ bảo vệ DDoS trên nền tảng đám mây (Cloud-based DDoS Protection) hoặc Mạng phân phối nội dung (Cloudflare là gì hoặc CDN).
Kết luận
Qua bài viết này, chúng ta đã cùng nhau tìm hiểu một cách chi tiết về việc xây dựng một hệ thống phòng thủ vững chắc chống lại các cuộc tấn công DoS/DDoS cho máy chủ Apache trên nền tảng CentOS 7. Từ việc nhận diện các dấu hiệu sớm của một cuộc tấn công, đến việc triển khai và cấu hình các công cụ mạnh mẽ như mod_evasive, firewalld, và Fail2ban, mỗi bước đều đóng vai trò quan trọng trong việc bảo vệ tài sản số của bạn. Tóm lại, quy trình chính bao gồm: giám sát để phát hiện, cấu hình để ngăn chặn, và tinh chỉnh để cân bằng giữa bảo mật và hiệu suất.
Tầm quan trọng của việc chủ động phòng chống là không thể phủ nhận. Thay vì chờ đợi đến khi thảm họa xảy ra và phải khắc phục hậu quả nặng nề, việc xây dựng các lớp bảo vệ từ sớm sẽ giúp hệ thống của bạn luôn ổn định, duy trì hoạt động kinh doanh liên tục và bảo vệ uy tín thương hiệu. AZWEB khuyến khích bạn áp dụng ngay những kiến thức và phương pháp đã được trình bày. An ninh mạng là một hành trình không ngừng nghỉ, vì vậy hãy tiếp tục học hỏi, cập nhật hệ thống thường xuyên và luôn sẵn sàng đối phó với những mối đe dọa mới. Bằng cách đó, bạn có thể yên tâm rằng máy chủ của mình được bảo vệ một cách tốt nhất.
