Cách giảm thiểu các cuộc tấn công DDoS vào trang web của bạn với CloudFlare
CloudFlare là công ty cung cấp mạng phân phối nội dung (CDN) và các dịch vụ DNS phân tán bằng cách hoạt động như một Reverse Proxy cho các trang web. Các dịch vụ miễn phí và trả phí của CloudFlare được dùng để cải thiện tính bảo mật, tốc độ và tính khả dụng của trang web theo nhiều cách khác nhau. Trong hướng dẫn này, ta sẽ chỉ cho bạn cách sử dụng dịch vụ tầng miễn phí của CloudFlare để bảo vệ web server của bạn chống lại các cuộc tấn công DDoS dựa trên HTTP đang diễn ra bằng cách bật “Tôi đang bị tấn công”. Chế độ bảo mật này có thể giảm thiểu các cuộc tấn công DDoS bằng cách hiển thị một trang xen kẽ để xác minh tính hợp lệ của kết nối trước khi chuyển nó đến web server của bạn.Yêu cầu
Hướng dẫn này giả định bạn có những điều sau:
- Một web server
- Miền đã đăng ký trỏ đến web server của bạn
- Quyền truy cập vào console của công ty đăng ký domain đã cấp domain
Bạn cũng phải đăng ký account CloudFlare trước khi tiếp tục. Lưu ý hướng dẫn này sẽ yêu cầu sử dụng server định danh của CloudFlare.
Cấu hình domain của bạn để sử dụng CloudFlare
Trước khi sử dụng bất kỳ tính năng nào của CloudFlare, bạn phải cấu hình domain của bạn để sử dụng DNS của CloudFlare.
Nếu bạn chưa làm như vậy, hãy đăng nhập vào CloudFlare.
Thêm trang web và quét bản ghi DNS
Sau khi đăng nhập, bạn sẽ được đưa đến trang Bắt đầu với CloudFlare . Tại đây, bạn phải thêm trang web của bạn vào CloudFlare:
Nhập domain mà bạn muốn sử dụng CloudFlare và nhấp vào nút Bắt đầu quét . Bạn sẽ được đưa đến một trang giống như sau:
Quá trình này mất khoảng một phút. Khi hoàn tất, hãy nhấp vào nút Tiếp tục .
Trang tiếp theo hiển thị kết quả quét bản ghi DNS. Đảm bảo rằng tất cả các bản ghi DNS hiện có của bạn đều có mặt, vì đây là những bản ghi mà CloudFlare sẽ sử dụng để giải quyết các yêu cầu tới domain của bạn. Trong ví dụ của ta , ta đã sử dụng cockroach.nyc
làm domain :
Lưu ý , đối với các bản ghi A và CNAME trỏ đến (các) web server của bạn, cột Trạng thái phải có cloud màu cam với mũi tên đi qua đó. Điều này cho thấy rằng lưu lượng truy cập sẽ đi qua Reverse Proxy của CloudFlare trước khi đến (các) server của bạn.
Tiếp theo, chọn gói CloudFlare của bạn. Trong hướng dẫn này, ta sẽ chọn tùy chọn gói Miễn phí . Nếu bạn muốn thanh toán cho một gói khác vì bạn muốn có thêm các tính năng CloudFlare, vui lòng làm như vậy:
Thay đổi server tên của bạn
Trang tiếp theo sẽ hiển thị một bảng các server định danh hiện tại trong domain của bạn và những gì chúng sẽ được đổi thành. Hai trong số chúng sẽ được đổi thành server định danh CloudFlare và các mục còn lại sẽ bị xóa. Dưới đây là một ví dụ về trang có thể trông như thế nào nếu domain của bạn đang sử dụng server tên DigitalOcean:
Để thay đổi server domain của bạn, hãy đăng nhập vào console của công ty đăng ký domain và áp dụng các thay đổi DNS mà CloudFlare đã trình bày. Ví dụ: nếu bạn đã mua domain của bạn thông qua một công ty đăng ký như GoDaddy hoặc NameCheap, bạn cần đăng nhập vào console của công ty đăng ký thích hợp và áp dụng các thay đổi tại đó.
Quá trình này khác nhau tùy thuộc vào công ty đăng ký domain cụ thể của bạn. Nếu bạn không thể tìm ra cách thực hiện điều này, nó tương tự như quy trình được mô tả trong Cách trỏ đến server tên DigitalOcean từ các công ty đăng ký domain thông thường ngoại trừ bạn sẽ sử dụng server tên CloudFlare thay vì DigitalOcean.
Trong trường hợp ví dụ, domain đang sử dụng server định danh của DigitalOcean và ta cần cập nhật domain đó để sử dụng DNS của CloudFlare. Miền đã được đăng ký thông qua NameCheap nên đó là nơi ta nên cập nhật server định danh.
Khi bạn thay đổi xong server định danh, hãy nhấp vào nút Tiếp tục . Có thể mất đến 24 giờ để chuyển đổi server định danh nhưng thường chỉ mất vài phút.
Chờ server tên cập nhật
Bởi vì việc cập nhật server định danh mất một khoảng thời gian không thể đoán trước, có khả năng bạn sẽ thấy trang này tiếp theo:
Trạng thái Đang chờ xử lý nghĩa là CloudFlare đang đợi các server định danh cập nhật lên các server định danh (ví dụ: olga.ns.cloudflare.com
và rob.ns.cloudflare.com
). Nếu bạn đã thay đổi server domain của bạn , tất cả những gì bạn phải làm là đợi và kiểm tra lại sau để biết trạng thái Hoạt động . Nếu bạn nhấp vào nút Kiểm tra lại server tên hoặc chuyển đến trang tổng quan CloudFlare, nó sẽ kiểm tra xem server định danh đã cập nhật chưa.
CloudFlare đang hoạt động
Sau khi cập nhật server định danh, domain của bạn sẽ sử dụng DNS của CloudFlare và bạn sẽ thấy nó có trạng thái Hoạt động , như sau:
Điều này nghĩa là CloudFlare đang hoạt động như một Reverse Proxy cho trang web và bạn có quyền truy cập vào bất kỳ tính năng nào có sẵn cho mức giá mà bạn đã đăng ký. Nếu bạn đang sử dụng cấp miễn phí , như ta đang có trong hướng dẫn này, bạn sẽ có quyền truy cập vào một số tính năng có thể cải thiện tính bảo mật, tốc độ và tính khả dụng của trang web . Ta sẽ không trình bày tất cả các tính năng trong hướng dẫn này, vì ta đang tập trung vào việc giảm thiểu các cuộc tấn công DDoS đang diễn ra, nhưng chúng bao gồm CDN, SSL, bộ nhớ đệm nội dung tĩnh, firewall (trước khi lưu lượng truy cập đến server của bạn) và các công cụ phân tích lưu lượng.
Cũng lưu ý Tóm tắt cài đặt , ngay bên dưới domain của bạn sẽ hiển thị mức độ bảo mật hiện tại của trang web (theo mặc định là trung bình) và một số thông tin khác.
Trước khi tiếp tục, để tận dụng tối đa CloudFlare, bạn cần làm theo hướng dẫn này: Các bước đầu tiên được đề xuất cho Tất cả user CloudFlare . Điều này rất quan trọng đảm bảo rằng CloudFlare sẽ cho phép các kết nối hợp lệ từ các dịch vụ mà bạn muốn cho phép và để log web server của bạn sẽ hiển thị địa chỉ IP của khách truy cập ban đầu (thay vì địa chỉ IP Reverse Proxy của CloudFlare).
Khi bạn đã cài đặt xong, hãy xem cài đặt Chế độ tôi đang bị tấn công trong firewall CloudFlare.
Tôi đang ở chế độ tấn công
Theo mặc định, bảo mật firewall của CloudFlare được đặt thành Trung bình . Điều này cung cấp một số biện pháp bảo vệ chống lại những khách truy cập được đánh giá là một mối đe dọa vừa phải bằng cách giới thiệu cho họ một trang thách thức trước khi cho phép họ tiếp tục vào trang web . Tuy nhiên, nếu trang web là mục tiêu của một cuộc tấn công DDoS, điều đó có thể không đủ để giữ cho trang web hoạt động. Trong trường hợp này, Chế độ Tôi đang Bị tấn công có thể phù hợp với bạn.
Nếu bạn bật chế độ này, bất kỳ khách truy cập nào vào trang web sẽ được hiển thị với một trang xen kẽ thực hiện một số kiểm tra trình duyệt và trì hoãn khách truy cập trong repository ảng 5 giây trước khi chuyển họ đến server của bạn. Nó sẽ trông giống như thế này;
Nếu kiểm tra vượt qua, khách truy cập sẽ được phép truy cập vào trang web . Việc kết hợp ngăn chặn và trì hoãn những khách truy cập độc hại kết nối với trang web thường đủ để duy trì và hoạt động, ngay cả khi bị tấn công DDoS.
Lưu ý: Khách truy cập vào trang web phải bật JavaScript và Cookie để chuyển trang xen kẽ. Nếu điều này không thể chấp nhận được, hãy xem xét sử dụng cài đặt bảo mật firewall “Cao”.
Lưu ý bạn chỉ muốn bật Chế độ tôi đang bị tấn công khi trang web là nạn nhân của một cuộc tấn công DDoS. Nếu không, nên tắt nó đi để nó không làm chậm trễ user bình thường truy cập vào trang web mà không có lý do.
Cách kích hoạt chế độ tôi đang bị tấn công
Nếu bạn muốn bật Chế độ tôi đang bị tấn công , cách dễ nhất là truy cập trang Tổng quan về CloudFlare (trang mặc định) và chọn nó từ menu Tác vụ nhanh :
Cài đặt bảo mật sẽ ngay lập tức chuyển sang trạng thái Tôi đang bị tấn công . Bây giờ, bất kỳ khách truy cập nào vào trang web sẽ được hiển thị với trang xen kẽ CloudFlare đã được mô tả ở trên.
Cách tắt chế độ tôi đang bị tấn công
Vì Chế độ Tôi đang Bị tấn công chỉ nên được sử dụng trong các trường hợp khẩn cấp DDoS, bạn nên vô hiệu hóa nó nếu bạn không bị tấn công. Để làm như vậy, hãy truy cập trang Tổng quan về CloudFlare và nhấp vào nút Tắt :
Sau đó, chọn cấp độ bảo mật mà bạn muốn chuyển sang. Chế độ mặc định và thường được khuyến khích là Trung bình :
Trang web sẽ trở lại trạng thái Hoạt động và trang bảo vệ DDoS sẽ bị vô hiệu hóa.
Kết luận
Bây giờ trang web đang sử dụng CloudFlare, bạn có một công cụ khác để dễ dàng bảo vệ nó khỏi các cuộc tấn công DDoS dựa trên HTTP. Ngoài ra còn có nhiều công cụ khác mà CloudFlare cung cấp mà bạn có thể quan tâm khi cài đặt , như certificate SSL miễn phí. Do đó, bạn nên khám phá các tùy chọn và xem những gì hữu ích cho bạn.
Chúc may mắn!
Các tin liên quan