Cách DDoS Layer 7 bằng Overload thử sức chịu tải của Website
Dạo gần đây, RatHuuIch có đăng 1 số hướng dẫn về cách tạo Website như NextCloud hay X-ui nhưng đã bao giờ anh em nghĩ tới việc là website của mình có thể dính những cuộc tấn công từ chối dịch vụ hay là website bị quá tải lượng truy cập chưa? Hôm nay mình sẽ hướng dẫn các bạn cách để thử sức chịu đựng website của mình sử dụng Overload DDoS Layer 7và cách phòng tránh 1 cuộc tấn công từ chối dịch vụ
Tại sao phải thử sức chịu đựng website của bạn?
Mỗi một Website thì sẽ có các host khác nhau. Việc Website của bạn có khả năng chống chịu được đến bao nhiêu phụ thuộc hoàn toàn vào tài nguyên của host của Website. Khả năng Website có thể chịu được ảnh hưởng trực tiếp tới lượng người truy cập vào Website tại 1 thời điểm hay chính xác là liên quan trực tiếp tới số HTTP Request của trang Web
Nếu 1 trang web vượt quá số lượng HTTP request nó thì có thể gây ra gián đoạn trong việc truy cập website của người dùng hay cụ thể là bạn không thể kết nối tới trang Web. Khi đó máy chủ sẽ phản hồi với lỗi những lỗi 5XX. Các lỗi 5XX có thể gặp bao gồm: 500 tới 505.
Đối với những doanh nghiệp hay người dùng đều không muốn gặp vấn đề này và vì vậy việc kiểm tra sức chịu đựng của website của bạn là rất quan trọng. Trong bài viết này, mình sẽ sử dụng 1 tool Dos đơn giản với phương thức Request HTTP. Đối với anh em nào chưa biết Dos / DDos là gì thì có thể xem thêm bài: GoldenEye – Tool test sức chịu đựng website của mình tại đây nhé!
Một số lưu ý trước khi thực hiện
- Tuyệt đối không Dos / DDos RatHuuIch và những Website bạn không thuộc quyền sở hữu hay quản lý. RatHuuIch sẽ không chịu trách nhiệm với các hành vi phá hoại của các bạn.
- Overload là 1 tool nhẹ và chỉ sử dụng phương thức HTTP nên sẽ không gây ngốn tài nguyên máy như GoldenEye nhưng mình khuyến khích sử dụng mạng có đường truyền cao hay kết nối máy tính với Router thông qua dây mạng để đạt được hiệu quả cao nhất.
Nền tảng Tool có thể hoạt động
- Window
- Linux
- Termux
Hướng dẫn sử dụng Overload để thử sức chịu đựng của Website
Chú ý! Chỉ thực hiện Test DDOS trên Website hoặc Server của bạn làm chủ. Mọi hành vi DDOS vào Website của người khác hoặc tổ chức khác đều vi phạm pháp luật.
Cài đặt Overload Trên Window
Bước 1: Các bạn cài đặt Python bản mới nhất tại đây.
Bước 2: Sau khi chạy xong, các bạn Click chuột phải vào MyPC và chọn Properties -> Advanced system settings -> Environment Variables -> Tìm ở mục System variables
phần Path -> click Edit -> Bấm new -> nhập dường dẫn của Python vào.
Hoặc các bạn có thể tich vào phần Add Python to PATH khi đang SetUp
Bước 3: Tải Tool DDoS Overload của 7zx tại đây.
Bước 4: Vào CMD hoặc Powershell, di chuyển vào thư mục vừa download
Bước 5: Ghi lệnh sau để tải PIP cần thiết:
pip install -r requirements.txt
Sử dụng DDOS Layer 7 Overload trên Linux
Lưu ý: các bạn nên cấp quyền Super User cho terminal nhé!
Bước 1: Các bạn cập nhật Linux bằng lệnh sau:
sudo apt update
Bước 2: Tải Python về Linux
sudo apt install python3 python3-pip git -y
Bước 3: Tải Overload từ github về sử dụng lệnh git
git clone https://github.com/7zx/overload
Đối với các bạn chưa có git thì có thể tải sử dụng câu lệnh sau
sudo apt install git-all
Bước 4: Các bạn vào thư mục của Overload bằng cách nhập
cd overload
Bước 5: Ghi lệnh sau để tải PIP cần thiết:
pip3 install -r requirements.txt
Nếu anh em chưa có PIP3 thì sử dụng câu lệnh sau đây để tải về
sudo apt-get update -y && sudo apt-get install python3-pip -y
Cài đặt DDos OverLoad trên Termux
Trước tiên, bạn cần có kiến thức về cài đặt và sử dụng Termux trên Android. Sau đó thực hiện các bước sau:
Bước 1: Các bạn cập nhật Termux bằng lệnh sau:
pkg update
Bước 2: Tải Python về Linux
pkg install python3 python3-pip git -y
Bước 3: Tải Overload từ github về sử dụng lệnh git
git clone https://github.com/7zx/overload
Bước 4: Các bạn vào thư mục của Overload bằng cách nhập
cd overload
Bước 5: Ghi lệnh sau để tải PIP cần thiết:
pip3 install -r requirements.txt
Sử dụng Overload
Cú pháp câu lệnh:python3 overload.py [-h] [--target <URL>] [--method <HTTP>] [--time <time>]
[--threads <threads>]
Trong đó
-h hay –help : hiển thị mục help của overload
–target <URL>: mục tiêu mà bạn muốn nhắm tới
–method <HTTP>: kiểu tấn công
–time <giây>: Thời gian chạy tool
— thread <luồng>: số luồng trên giây <tối đa 200>
Ví dụ
python3 overload.py --target vietnamconghoa.us --method HTTP --time 500 --thread 200
Trong câu lệnh vừa rồi mình sử dụng Max thread xem web mình còn sống không và sau đây là kết quả
Nhờ vậy mà mình biết là website của mình khá là dễ chết. Sau đây là cách để phòng chống các cuộc tấn công từ chối dịch vụ
Các cách để phòng chống DDOS / DOS
Biện pháp kĩ thuật
- Tăng cường khả năng xử lí hệ thống
- Tối ưu hóa thuật toán
- Nâng cấp máy chủ
- Nâng cấp băng thông
- Cài đặt đầy đủ các bản vá lỗi từ server
- Sử dụng tường lửa
Công cụ phòng chống DDOS
- Dùng hệ thống thiết bị, phần mềm hoặc dịch vụ giám sát an toàn mạng
- Dùng thiết bị bảo vệ mạng có dịch vụ chống tấn công DDoS
- Tường lửa cứng hoặc tường lửa mềm
Vậy là RatHuuIch vừa hướng dẫn các bạn cách test khả năng chịu đựng của website bằng tool DDOS Layer 7 overload đồng thời cách phòng chống Dos / Ddos. Các bạn có ý tưởng gì thì hãy đừng ngần ngại mà hãy gửi ngay cho [email protected]
nhé.