Jak rychle zjistit, zda je váš server Linux pod útokem DoS z jedné IP adresy

Linux: Pokud máte ve svém datovém centru servery se systémem Linux nebo jsou hostovány na cloudovém serveru (například AWS, Google Cloud nebo Azure), nemůžete předpokládat, že jsou jen kvůli nasazenému operačnímu systému bezpečné. I když je Linux jedním z nejbezpečnějších operačních systémů na trhu, není dokonalý. Ve skutečnosti došlo k nárůstu útoků na tuto platformu, který bude mít i nadále vzestupnou tendenci, protože Linux získává ještě větší popularitu.

Co děláte vy?

Pokud máte podezření, že by některý z vašich serverů mohl být napaden, musíte jej zkontrolovat. Ale jak? V tomto článku vám ukážu několik příkazů, které vám pomohou rozeznat, zda je váš server napaden útokem typu DoS (denial of service), který přichází z jedné IP adresy a pokouší se ochromit webovou stránku, aby byl její server nedostupný. Existuje i jiná forma tohoto útoku, distribuované odepření služby (DDoS), která přichází z více zdrojů.

Podívejte se, jak zjistit, zda je váš linuxový server cílem útoku DoS.

ZDE: Zásady ochrany proti krádeži identity (TechRepublic Premium)

Co budete potřebovat

Jediné, co k tomu budete potřebovat, je instance systému Linux a uživatel s právy sudo. Budu demonstrovat na Ubuntu Server 20.04.

Jak nainstalovat netstat

Pomocí nástroje netstat budeme zjišťovat, jaké IP adresy jsou aktuálně připojeny k vašemu serveru. Chcete-li nainstalovat netstat v Ubuntu, nainstalujete vlastně nástroj net-tools, a to takto:

 sudo apt-get install net-tools -y 

Pokud používáte systém CentOS nebo instalaci založenou na systému Red Hat, měl by být netstat již nainstalován.

Jak zkontrolovat zatížení serveru

Nejprve zkontrolujeme zatížení našeho serveru. Příkaz, který k tomu použijeme, nám vrátí počet logických procesorů (vláken). Na serveru by toto číslo mělo být poměrně nízké, ale záleží na tom, co máte spuštěno. Měli byste se ujistit, že jste pro toto číslo spustili výchozí hodnotu, když víte, že je vše v pořádku. Pokud máte podezření, že se něco děje, spusťte kontrolu vláken znovu a porovnejte ji.

Pro kontrolu počtu logických procesorů zadejte příkaz:

 grep processor /proc/cpuinfo | wc -l 

Pokud je toto číslo výrazně vyšší než základní hodnota, můžete mít problém.

Například na svém desktopu s Pop!_OS mám 16 vláken, ale na serveru Ubuntu hostujícím Nextcloud mám pouze dvě. Pokud by se některé z těchto čísel zdvojnásobilo, mohl bych být pod útokem DDoS.

Jak zkontrolovat zatížení sítě

Dále chceme zkontrolovat zatížení naší sítě. Existuje řada nástrojů, kterými to můžete provést, ale já jsem zvolil nload. Chcete-li nainstalovat nload, zadejte příkaz:

 sudo apt-get install nload -y 

V systému CentOS bude tento příkaz následující:

 sudo dnf install nload -y 

Pro spuštění nástroje stačí zadat příkaz:

 nload 

Měli byste vidět poměrně normální příchozí a odchozí zatížení sítě (obrázek A).

Obrázek A

ddosa.jpg

Nload ukazuje poměrně nízké příchozí zatížení mého serveru Nextcloud.

Pokud je toto zatížení výrazně vyšší, než by podle vás mělo být, můžete být napadeni.

Jak zjistit, jaké IP adresy jsou připojeny k vašemu serveru

Další věc, kterou budete chtít udělat, je zjistit, jaké IP adresy jsou připojeny k vašemu serveru. K tomu použijeme netstat takto:

 netstat -ntu|awk '{print }'|cut -d: -f1 -s|sort|uniq -c|sort -nk1 -r 

Výstup výše uvedeného příkazu vypíše jednotlivé IP adresy, které jsou připojeny k serveru, a kolik instancí z každé z nich. Jak vidíte, k mému serveru se připojují dvě IP adresy (jedna třikrát) (obrázek B).

Obrázek B

ddosb.jpg

Výstup příkazu netstat zobrazující adresy IP připojené k mému serveru.

Nezapomeňte si tento výpis pečlivě prohlédnout. Pokud uvidíte IP adresu s velkým počtem instancí (více než 100), je dost pravděpodobné, že tato adresa je vaším viníkem. Jakmile si budete viníkem jisti, můžete IP adresu zakázat příkazem:

 sudo route add ADDRESS reject 

Kde ADRESA je IP adresa podezřelého.

V tomto okamžiku se vraťte zpět a překontrolujte svá vlákna, připojené IP adresy a zatížení sítě, abyste zjistili, zda jste zmírnili tento DoS útok. Pokud ano, je čas nahlásit podezřelou IP adresu a pravděpodobně ji úplně vykázat ze sítě. Příště vás provedu procesem zmírnění útoku DDoS.

Přihlaste se k odběru pořadu TechRepublic How To Make Tech Work na YouTube, kde najdete všechny nejnovější technické rady pro profesionály z oboru od Jacka Wallena.

Podívejte se také na

  • Jak se stát profesionálem v oblasti kybernetické bezpečnosti: (TechRepublic)

  • Sociální inženýrství: (TechRepublic)

  • Shadow IT policy (TechRepublic Premium)

  • Online security 101: Tipy, jak chránit své soukromí před hackery a špiony (ZDNet)

  • Kybersecurity and cyberwar: (TechRepublic on Flipboard)

linuxhero2-1.jpg
Obrázek:

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.