8 phút để đọc
Cloudflare là một công ty cung cấp dịch vụ mạng lưới phân phối nội dung (CDN) và hệ thống tên miền phân tán (DNS) bằng cách hoạt động như một proxy ngược cho các trang web.
Các dịch vụ miễn phí và trả phí của Cloudflare có thể được sử dụng để cải thiện bảo mật, tốc độ và tính sẵn sàng của một trang web theo nhiều cách khác nhau.
Trong hướng dẫn này, bạn sẽ tìm hiểu cách sử dụng dịch vụ miễn phí của Cloudflare để bảo vệ máy chủ web của mình khỏi các cuộc tấn công DDoS (tấn công từ chối dịch vụ phân tán) dựa trên HTTP đang diễn ra bằng cách bật mode “I’m Under Attack“. Chế độ bảo mật này có thể giảm thiểu các cuộc tấn công DDoS bằng cách hiển thị một trang chuyển tiếp để xác minh tính hợp lệ của kết nối trước khi chuyển nó đến máy chủ web của bạn.
>> Xem thêm: Các kịch bản về tấn công mạng và phương pháp trong an ninh mạng
Yêu cầu tiên quyết
Để thực hiện hướng dẫn này, bạn cần đáp ứng những điều sau:
- Một máy chủ web.
- Một tên miền đã đăng ký trỏ đến máy chủ web của bạn.
- Quyền truy cập vào bảng điều khiển của nhà đăng ký tên miền đã cấp tên miền đó.
Bạn cũng phải đăng ký một tài khoản Cloudflare trước khi tiếp tục.
Lưu ý: Hướng dẫn này sẽ yêu cầu sử dụng các nameserver của Cloudflare.
Bước 1: Cấu hình tên miền của bạn để sử dụng Cloudflare
Trước khi sử dụng bất kỳ tính năng nào của Cloudflare, bạn phải cấu hình tên miền của mình để sử dụng DNS của Cloudflare.
Nếu bạn chưa làm như vậy, hãy đăng nhập vào Cloudflare.
Thêm một trang web và quét bản ghi DNS
Sau khi đăng nhập, bạn sẽ được đưa đến trang bắt đầu với Cloudflare. Tại đây, bạn phải nhấp vào nút “Add site” ở trên cùng để thêm trang web của mình vào Cloudflare:
Nhập tên miền bạn muốn sử dụng với Cloudflare và nhấp vào nút “Add Site”. Bạn sẽ được đưa đến một trang trông như thế này:
Trong hướng dẫn này, chúng ta sẽ chọn “Free”. Nếu bạn muốn sử dụng các tính năng nâng cao khác của Cloudflare, bạn có thể trả phí để đăng ký gói phù hợp hơn. Sau đó, nhấp vào nút “Continue”.
Trang tiếp theo hiển thị kết quả quét bản ghi DNS cho trang web của bạn. Đảm bảo rằng tất cả các bản ghi DNS hiện có của bạn đều đã được liệt kê đầy đủ, vì đây là những bản ghi mà Cloudflare sẽ sử dụng để phân giải các yêu cầu đến tên miền của bạn. Trong ví dụ của chúng tôi, chúng tôi đã sử dụng flippeddev.com làm tên miền:
Lưu ý rằng, đối với các bản ghi A và CNAME của bạn trỏ đến máy chủ web, cột “Status” phải có một đám mây màu cam với một mũi tên xuyên qua nó. Điều này cho biết lưu lượng truy cập sẽ đi qua proxy ngược của Cloudflare trước khi đến máy chủ của bạn.
Thay đổi Nameserver của bạn
Trang tiếp theo sẽ hiển thị các nameserver cần được xóa và các nameserver của Cloudflare cần được thêm vào. Đây là một ví dụ về giao diện trang đó:
Để thay đổi nameserver của tên miền, hãy đăng nhập vào trang quản trị của nhà đăng ký tên miền của bạn và thực hiện các thay đổi DNS mà Cloudflare đã cung cấp. Ví dụ, nếu bạn mua tên miền của mình thông qua một nhà đăng ký như Google hoặc NameCheap, bạn sẽ cần đăng nhập vào trang quản trị của nhà đăng ký phù hợp và thực hiện các thay đổi ở đó.
Quy trình này khác nhau tùy thuộc vào nhà đăng ký tên miền cụ thể của bạn.
Trong ví dụ này, tên miền đang sử dụng nameserver của DigitalOcean và chúng ta cần cập nhật nó để sử dụng DNS của Cloudflare.
Khi bạn hoàn tất việc thay đổi nameserver, hãy nhấp vào nút “Continue”. Quá trình chuyển đổi nameserver có thể mất tới 24 giờ nhưng thường chỉ mất vài phút.
Chờ Nameserver cập nhật
Vì việc cập nhật nameserver mất một khoảng thời gian không thể đoán trước, có khả năng bạn sẽ thấy trang này tiếp theo:
Trạng thái Pending (Đang chờ xử lý) có nghĩa là Cloudflare đang chờ các nameserver cập nhật thành những tên miền mà nó đã chỉ định (ví dụ: olga.ns.Cloudflare.com và rob.ns.Cloudflare.com). Nếu bạn đã thay đổi nameserver của tên miền, tất cả những gì bạn phải làm là chờ và kiểm tra lại sau để thấy trạng thái Active (Hoạt động). Nếu bạn nhấp vào nút Recheck Nameservers (Kiểm tra lại Nameserver) hoặc điều hướng đến bảng điều khiển Cloudflare, nó sẽ kiểm tra xem các nameserver đã được cập nhật hay chưa.
Cloudflare đã hoạt động
Sau khi các nameserver cập nhật, tên miền của bạn sẽ sử dụng DNS của Cloudflare và bạn sẽ thấy nó có trạng thái “Active”.
Điều này có nghĩa là Cloudflare đang hoạt động như một proxy ngược cho trang web của bạn và bạn có quyền truy cập vào bất kỳ tính năng nào có sẵn cho gói dịch vụ mà bạn đã đăng ký. Nếu bạn đang sử dụng gói miễn phí, như chúng ta trong hướng dẫn này, bạn sẽ có quyền truy cập vào một số tính năng có thể cải thiện bảo mật, tốc độ và tính sẵn sàng của trang web của bạn.
Chúng tôi sẽ không đề cập đến tất cả các tính năng trong hướng dẫn này, vì chúng tôi đang tập trung vào việc giảm thiểu các cuộc tấn công DDoS đang diễn ra, nhưng chúng bao gồm CDN, SSL, lưu trữ nội dung tĩnh (static content caching), một tường lửa (trước khi lưu lượng truy cập đến máy chủ của bạn) và các công cụ phân tích lưu lượng truy cập (traffic analytics tools).
Cũng hãy chú ý đến “Settings Summary”, ngay bên dưới tên miền của bạn sẽ hiển thị mức độ bảo mật hiện tại của trang web (mặc định là trung bình) và một số thông tin khác.
Trước khi tiếp tục, để tận dụng tối đa Cloudflare, bạn sẽ muốn làm theo hướng dẫn này: Các bước đầu tiên được đề xuất cho tất cả người dùng Cloudflare. Điều này rất quan trọng để đảm bảo rằng Cloudflare sẽ cho phép các kết nối hợp lệ từ các dịch vụ mà bạn muốn cho phép, và để nhật ký máy chủ web của bạn sẽ hiển thị địa chỉ IP của khách truy cập ban đầu (thay vì địa chỉ IP của proxy ngược của Cloudflare).
Sau khi bạn đã thiết lập mọi thứ, hãy cùng xem cài đặt “I’m Under Attack” mode trong tường lửa của Cloudflare.
Bước 2 – Bật I’m Under Attack Mode
Mặc định, cài đặt bảo mật tường lửa của Cloudflare được đặt ở mức “Medium”. Mức này cung cấp một số biện pháp bảo vệ chống lại những khách truy cập bị đánh giá là mối đe dọa vừa phải bằng cách hiển thị trang thử thách trước khi cho phép họ truy cập trang web của bạn. Tuy nhiên, nếu trang web của bạn là mục tiêu của một cuộc tấn công DDoS, mức độ này có thể không đủ để giữ cho trang web của bạn hoạt động. Trong trường hợp này, “I’m Under Attack” mode có thể phù hợp với bạn.
Nếu bạn bật chế độ này, bất kỳ khách truy cập nào vào trang web của bạn cũng sẽ được hiển thị một trang chuyển tiếp thực hiện một số kiểm tra trình duyệt và trì hoãn khách truy cập khoảng 5 giây trước khi chuyển họ đến máy chủ của bạn. Trang này sẽ trông giống như thế này:
Nếu vượt qua các bước kiểm tra, khách truy cập sẽ được phép truy cập vào trang web của bạn. Sự kết hợp giữa việc ngăn chặn và trì hoãn khách truy cập độc hại kết nối với trang web thường đủ để giữ cho trang web của bạn hoạt động, ngay cả trong một cuộc tấn công DDoS.
Lưu ý: Khách truy cập trang web phải bật JavaScript và Cookies để vượt qua trang chuyển tiếp. Nếu điều này không thể chấp nhận được, hãy cân nhắc sử dụng cài đặt bảo mật tường lửa “High” thay thế.
Hãy nhớ rằng bạn chỉ nên bật “I’m Under Attack” mode khi trang web của bạn đang bị tấn công DDoS. Trong trường hợp bình thường, chế độ này nên được tắt để không làm trì hoãn người dùng bình thường truy cập trang web của bạn một cách không cần thiết.
Cách bật I’m Under Attack Mode
Nếu bạn muốn bật “I’m Under Attack” mode, cách dễ nhất là truy cập trang Cloudflare Overview (trang mặc định) và bật nó ở thanh bên phải:
Các cài đặt bảo mật sẽ ngay lập tức chuyển sang trạng thái “I’m Under Attack”. Bây giờ, bất kỳ khách truy cập nào vào trang web của bạn cũng sẽ được hiển thị trang chuyển tiếp của Cloudflare đã mô tả ở trên.
Cách tắt “I’m Under Attack” mode
Vì trạng thái “I’m Under Attack” chỉ nên được sử dụng trong các trường hợp khẩn cấp DDoS, bạn nên tắt nó nếu bạn không bị tấn công. Để làm như vậy, hãy truy cập trang Cloudflare Overview và tắt nó đi. Thao tác này sẽ mở ra một cửa sổ như sau:
Sau đó chọn mức độ bảo mật mà bạn muốn chuyển sang. Chế độ mặc định và thường được khuyến nghị là “Medium”. Trang web của bạn sẽ trở lại trạng thái “Active”, và trang bảo vệ DDoS sẽ bị tắt.
Kết luận
Giờ đây, khi trang web của bạn đang sử dụng Cloudflare, bạn đã có thêm một công cụ để dễ dàng bảo vệ nó khỏi các cuộc tấn công DDoS dựa trên HTTP. Cloudflare cũng cung cấp nhiều công cụ khác mà bạn có thể muốn thiết lập, chẳng hạn như chứng chỉ SSL miễn phí. Do đó, bạn nên khám phá các tùy chọn và xem những gì hữu ích cho mình.
