Sådan tjekker du hurtigt, om din Linux-server er udsat for et DoS-angreb fra en enkelt IP-adresse

Written by on in Articles

Linux: Sådan tjekker du hurtigt, om din server er udsat for et DoS-angreb fra en enkelt IP-adresse

Hvis du har Linux-servere i dit datacenter, eller hvis de hostes på en cloudserver (f.eks. AWS, Google Cloud eller Azure), kan du ikke antage, at de er sikre, blot på grund af det operativsystem, du har implementeret. Selv om Linux er et af de mest sikre styresystemer på markedet, er det ikke perfekt. Faktisk har der været en stigning i antallet af angreb på platformen, som vil fortsætte med at stige i takt med, at Linux bliver endnu mere populær.

Hvad skal du gøre?

Når du har mistanke om, at en af dine servere kan være under angreb, skal du tjekke den. Men hvordan? I dette stykke vil jeg vise dig et par kommandoer, der kan hjælpe dig med at skelne, om din server bliver ramt af et denial of service-angreb (DoS), som kommer fra en enkelt IP-adresse og forsøger at lamme et websted for at gøre dets server utilgængelig. Der findes en anden form for dette angreb, distributed denial of service (DDoS), som kommer fra flere kilder.

Lad os finde ud af, hvordan du kan se, om din Linux-server er et mål for et DoS-angreb.

Se: Politik til beskyttelse mod identitetstyveri (TechRepublic Premium)

Det skal du bruge

Det eneste, du skal bruge til dette, er en instans af Linux og en bruger med sudo privilegier. Jeg vil demonstrere på Ubuntu Server 20.04.

Sådan installerer du netstat

Vi skal bruge netstat-værktøjet til at finde ud af, hvilke IP-adresser der i øjeblikket er forbundet til din server. For at installere netstat på Ubuntu skal du faktisk installere net-tools, sådan her: 

 sudo apt-get install net-tools -y

Hvis du bruger CentOS eller en Red Hat-baseret installation, bør netstat allerede være installeret.

Sådan tjekker du din serverbelastning

Den første ting vi skal gøre er at tjekke vores serverbelastning. Kommandoen vi skal bruge til dette vil returnere antallet af logiske processorer (tråde). På en server bør dette tal være ret lavt, men det afhænger af, hvad du har kørende. Du bør sørge for at køre en baseline for dette tal, når du ved, at alt er i orden. Hvis du har mistanke om, at der er noget galt, skal du køre trådtjekket igen og sammenligne det.

For at kontrollere antallet af logiske processorer skal du sende kommandoen: 

 grep processor /proc/cpuinfo | wc -l

Hvis dette tal er betydeligt højere end din baseline, har du måske et problem.

For eksempel har jeg på min Pop!_OS-skrivebord 16 tråde, men på en Ubuntu-server, der hoster Nextcloud, har jeg kun to tråde. Hvis et af disse to tal blev fordoblet, kunne jeg være udsat for et DDoS-angreb.

Sådan kontrollerer du din netværksbelastning

Dernæst ønsker vi at kontrollere vores netværksbelastning. Der er en række værktøjer, du kan gøre dette med, men jeg vælger nload. For at installere nload skal du sende kommandoen: 

 sudo apt-get install nload -y

På CentOS ville denne kommando være: 

 sudo apt-get install nload -y

På CentOS ville denne kommando være: 

 sudo dnf install nload -y

For at køre værktøjet skal du blot udstede følgende kommando: 

 sudo dnf install nload -y

For at køre værktøjet skal du blot udstede følgende kommando 

 nload

Du bør se en ret normal indgående og udgående netværksbelastning (Figur A).

Figur A

ddosa.jpg

Nload viser en ret lav indgående belastning på min Nextcloud-server.

Hvis denne belastning er betydeligt højere, end du mener, den bør være, er du måske under angreb.

Sådan finder du ud af, hvilke IP-adresser der er forbundet til din server

Det næste, du skal gøre, er at finde ud af, hvilke IP-adresser der er forbundet til din server. Til dette skal vi bruge netstat på følgende måde: 

 netstat -ntu|awk '{print }'|cut -d: -f1 -s|sort|uniq -c|sort -nk1 -r

Opdatet af ovenstående kommando vil vise hver enkelt IP-adresse, der er forbundet til serveren, og hvor mange instanser fra hver. Som du kan se, har jeg to IP-adresser, der er forbundet til min server (en tre gange) (Figur B).

Figur B

ddosb.jpg

Opdatet af netstat, der viser de IP-adresser, der er forbundet til min server.

Sørg for at kigge denne liste grundigt igennem. Hvis du ser en IP-adresse med et stort antal forekomster (over 100), er der stor sandsynlighed for, at det er denne adresse, der er din skyldige. Når du er sikker på den skyldige, kan du forbyde IP-adressen med kommandoen: 

 sudo route add ADDRESS reject

Hvor ADDRESS er IP-adressen på den mistænkte.

På dette tidspunkt skal du gå tilbage og kontrollere dine tråde, tilsluttede IP-adresser og netværksbelastninger igen for at se, om du har afværget dette DoS-angreb. Hvis det er tilfældet, er det tid til at rapportere den mistænkte IP-adresse og sandsynligvis forbyde den helt og holdent fra dit netværk. Næste gang går jeg dig igennem processen med at afhjælpe et DDoS-angreb.

Abonner på TechRepublics How To Make Tech Work på YouTube for at få alle de seneste tekniske råd til erhvervsfolk fra Jack Wallen.

Se også

  • Sådan bliver du en cybersikkerhedsprofil: A cheat sheet (TechRepublic)

  • Social engineering: Et snydeark til erhvervsfolk (gratis PDF) (TechRepublic)

  • Skygge IT-politik (TechRepublic Premium)

  • Online-sikkerhed 101: Tips til at beskytte dit privatliv mod hackere og spioner (ZDNet)

  • Cybersikkerhed og cyberkrig: Mere must-read-dækning (TechRepublic på Flipboard)

linuxhero2-1.jpg
Billede:

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.