# cp /etc/csf/csf.conf /etc/csf/csf_conf.bak
Thông số đầu tiên cần nghĩ đến cũng như là thông số hiệu quả nhất để giảm thiểu DDoS đó là giới hạn số lượng connection được phép truy cập trên mỗi IP. Tuy nhiên, ta không nên set thông số này quá thấp, vì một số giao thức như FTP, IMAP, hay thậm chí là HTTP thường tạo khá nhiều connection cho mỗi phiên. Ngoài ra, đa số các hộ gia đình hay doanh nghiệp truy cập internet với một IP chung, nên nếu ta set thông số này quá thấp thì khi mỗi người trong một tập thể truy cập một lần cũng có thể dẫn đến bị chặn.
Để cấu hình thông số này trên csf, ta điều chỉnh như sau:
# Mặc định: CT_LIMIT = “0” # Điều chỉnh: CT_LIMIT = “150”
Như ví dụ trên, ta đang giới hạn mỗi IP chỉ được phép mở 150 connection.
Trong trường hợp server đang bị tấn công DDoS, ta nên tắt tính năng gửi mail cảnh báo vì khi đó server sẽ gửi rất nhiều mail cảnh báo, điều này có thể tăng load trên server:
# Mặc định: CT_EMAIL_ALERT = “1” # Điều chỉnh: CT_EMAIL_ALERT = “0”
Ta có thể liệt kê các port cần thực hiện limit, thay vì limit tất cả các port như mặc định:
# Mặc định: CT_PORTS = “ ” # Điều chỉnh: CT_PORTS = “80,443”
Đầu tiên, ta cần kiểm tra số gói SYN đang có bằng lệnh sau:
# netstat -nap | grep SYN -c
Lưu ý: Nếu lệnh trên cho ra kết quả là có gói SYN thì cũng chưa chắc chắn rằng server đang bị SYN flood, đó chỉ có thể là server đang trong trạng thái load cao và traffic đầu vào cao. Chỉ khi nào số gói SYN lớn (vài trăm) thì khả năng lúc đó server mới bị DDoS.
Để bật tính năng SYN flood protection, ta điều chỉnh như sau:
# Mặc định SYNFLOOD = “0” # Điều chỉnh SYNFLOOD = “1”
Ngoài ra, còn 02 thông số khác cần lưu ý tới:
# csf -r
Lưu ý:
Nguồn: vinahost
Tips: Tham gia Channel Telegram KDATA để không bỏ sót khuyến mãi hot nào