Bị tấn công "TCP SYN Flood Action" có cách nào khắc phục không mọi người?

[tonyviet9x]

Hi Admin,

Mình là thành viên sử dụng BMAX, hiện tại mình có 1 vps bị tấn công "TCP SYN Flood Action" và nhà cung cấp dịch vụ đã khóa vps của mình và yêu cầu tìm cách khắc phục, mà mình lại không có chuyên môn về vấn đề này, vậy admin và mọi người có biết cách phục sự cố tấn công trên cũng như ngăn chặn không ạ?

Thanks all.

[nguyenoanh]

em edit /etc/nginx/conf/ddos1.conf và ddos2.conf, giảm giá trị trong đây xuống và khởi động lại nginx xem ntn ?
Anh để khá cao mà.

[tonyviet9x]

em edit /etc/nginx/conf/ddos1.conf và ddos2.conf, giảm giá trị trong đây xuống và khởi động lại nginx xem ntn ?
Anh để khá cao mà.

Anh ơi, vậy bật CSF Firewall có tác dụng ngăn chặn TCP SYN Food Action không ạ? Và khi giảm giá trị trong 2 files như anh bảo thì có ảnh hưởng gì đến truy cập của website không ạ?

[nguyenoanh]

@tonyviet9x
Có tác dụng chứ em. Nên bật.
Giảm xuống nếu hợp lý (ko thấp quá) truy cập website không ảnh hưởng.

[tonyviet9x]

em edit /etc/nginx/conf/ddos1.conf và ddos2.conf, giảm giá trị trong đây xuống và khởi động lại nginx xem ntn ?
Anh để khá cao mà.

Ở ddos1.conf

Code: Select all

limit_conn_zone $binary_remote_addr zone=conn_limit_per_ip:10m;
limit_req_zone $binary_remote_addr zone=req_limit_per_ip:10m rate=100r/s;

Thì mình giảm xuống bao nhiêu ạ?

Ở ddos2.conf

Code: Select all

limit_conn conn_limit_per_ip 100;
limit_req zone=req_limit_per_ip burst=300 nodelay;

Thì mình giảm xuống bao nhiêu ạ?

Tại em không có chuyên môn về cái này lắm ạ?

Mong anh giải đáp ạ!

[tonyviet9x]

@tonyviet9x
Có tác dụng chứ em. Nên bật.
Giảm xuống nếu hợp lý (ko thấp quá) truy cập website không ảnh hưởng.

Em có reply ở trên rùi ạ, E đang dùng VPS Ram 1gb, ssd 20gb không biết cấu hình này giảm xuống bao nhiêu là hợp lý ạ?

[nguyenoanh]

Em cứ giảm , khởi động lại nginx thấy site load bình thường thì giảm tiếp.
Tùy theo các site khác nhau thì có cách cấu hình khác nhau.
Thấp quá thì site truy cập chậm đi một chút hoặc không load hết ảnh nếu site nh ảnh quá thôi.

[tonyviet9x]

Em cứ giảm , khởi động lại nginx thấy site load bình thường thì giảm tiếp.
Tùy theo các site khác nhau thì có cách cấu hình khác nhau.
Thấp quá thì site truy cập chậm đi một chút hoặc không load hết ảnh nếu site nh ảnh quá thôi.

Anh ơi ví dụ như

ddos1.conf

Code: Select all

limit_conn_zone $binary_remote_addr zone=conn_limit_per_ip:10m;
limit_req_zone $binary_remote_addr zone=req_limit_per_ip:10m rate=100r/s;

Sửa lại như này đúng không anh?

Code: Select all

limit_conn_zone $binary_remote_addr zone=conn_limit_per_ip:8m;
limit_req_zone $binary_remote_addr zone=req_limit_per_ip:8m rate=80r/s;

Còn ddos2.conf

Code: Select all

limit_conn conn_limit_per_ip 100;
limit_req zone=req_limit_per_ip burst=300 nodelay;

Sửa thành

Code: Select all

limit_conn conn_limit_per_ip 80;
limit_req zone=req_limit_per_ip burst=250 nodelay;

Đúng không a?

[nguyenoanh]

Ở ddos1.conf e chỉ giảm rate /s xuống, ở ddos2.conf giảm limit_per_ip và burst xuống. Em đang bị tấn công thì giảm hẳn nó xuống thì mới chống được. Giảm như kia thì để nguyên cho rồi.
Lúc này việc chính là chống tấn công.

[tonyviet9x]

Ở ddos1.conf e chỉ giảm rate /s xuống, ở ddos2.conf giảm limit_per_ip và burst xuống. Em đang bị tấn công thì giảm hẳn nó xuống thì mới chống được. Giảm như kia thì để nguyên cho rồi.
Lúc này việc chính là chống tấn công.

Vâng ạ, e cũng vừa cài CFS, liệu cài xong có chống lại được không anh