Tạo cổng chứng thực cho website hạn chế DDoS tạm thời với .htaccess và .htpasswd

Trong môi trường online, DDoS là điều không thể tránh khỏi .

DDoS là loại tấn công bằng từ chối dịch vụ DoS (Denial of Service) , có thể mô tả DDoS như hành động ngăn cản những người dùng hợp pháp bằng khả năng truy cập và sử dụng vào một dịch vụ nào đó. Nó làm tràn ngập mạng, mất kết nối với dịch vụ… mà mục đích cuối cùng là máy chủ (Server) không thể đáp ứng được các yêu cầu sử dụng dịch vụ từ các máy trạm (Client).

DoS có thể làm ngưng hoạt động của một máy tính, một mạng nội bộ, thậm chí cả một hệ thống mạng rất lớn. Về bản chất thực sự của DoS, kẻ tấn công sẽ chiếm dụng một lượng lớn tài nguyên mạng như băng thông, bộ nhớ… và làm mất khả năng xử lý các yêu cầu dịch vụ từ các client khác. 

DDoS rất đa dạng và nguy hiểm không thể chống đỡ triệt để. Bài viết dưới đây sẽ hướng dẫn mọi người phòng chống DDoS một cách hiệu quả, giảm thiểu tác động mạnh mẽ từ các đợt tấn công DDoS.

1. Tạo cổng chứng thực

Tạo cổng chứng thực cho website hạn chế DDoS tạm thời với .htaccess và .htpasswd

 

Bước 1 : Tạo file .htpasswd

Tại thư mục chứ sourcecode website, thông thường là public_html, ta tạo file với tên .htpasswd và  nội dung

user:password

Lưu ý:       user: đặt tùy ý

  pasword: đặt tùy ý nhưng giá trị đưa vào phải được băm MD5 hoặc hình thức băm khác. Để tránh phiền toái cho khách hàng, có thể để trống.

Đơn giản hơn, ta có thể generate giá trị của .httpasswd tại link sau : http://www.htaccesstools.com/htpasswd-generator/

Bước 2: Tạo file .htaccess

Cùng một thư mục, ta tạo file .httaccess hoặc nếu đã tạo từ trước, ta thêm vào nội dung như bên dưới :

AuthType Basic
AuthName "Ta ghi chú thích tại đây"
AuthUserFile ghi rõ đường dẫn load file .htpasswd tại đây,  ví dụ:  /home/abc/domains/abc.com/public_html/.htpasswd
Require valid-user

Đơn giản hơn, ta có thể generate tự động code chèn vào .htaccess tại link sau: http://www.htaccesstools.com/htaccess-authentication/ . Tại link này, ta điền chú thích và đường dẫn load file .htpasswd

Sau đó, truy cập website để kiểm tra kết quả. Với hình thức cổng chức thực, người dùng chỉ cần làm theo hướng dẫn được chú thích trên cổng 1 lần và không phải làm lần 2( ngoại trừ đổi trình duyệt hoặc clear cache), vì thế sẽ không gây nhiều phiền toái và hỗ trợ hữu ích với tình trạng DDoS.

2. Tạo file antiddos với htaccess.

Bước 1: Tạo file .htaccess

Tại thư mục bị DDoS( thường thư mục chứa sourcecode là public_html) ta tạo file .htaccess hoặc nếu đã tạo từ trước, ta thêm vào nội dung bên dưới: 

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?tendomain.com [NC]
RewriteRule !antiddos.phtml http://tendomain.com/antiddos.phtml?%{REQUEST_URI} [QSA]

Bước 2: Tại cùng thư mục với .htaccess, tạo file antiddos.phtml với nội dung:

<?
$text=$HTTP_SERVER_VARS['QUERY_STRING'];
$text = preg_replace("#php\&#si",'php?',$text);
echo('<center><a href=http://tendomain.com'.$text.'>[Click vao day]</a><br>de vao dien dan.</center>');
?>

 

Sau đó tiến hành truy cập để kiểm tra thành quả.

Posted by: Đặng Văn Kiên - Sat, Jan 30, 2016 at 2:39 PM. This article has been viewed 1197 times.
Online URL: https://doc.vinastar.net/article.php?id=1

Powered by PHPKB Knowledge Base Software