Wie Sie schnell überprüfen können, ob Ihr Linux-Server einem DoS-Angriff von einer einzelnen IP-Adresse aus ausgesetzt ist

Erstellt von am in Articles

Linux: So überprüfen Sie schnell, ob Ihr Server einem DoS-Angriff von einer einzelnen IP-Adresse aus ausgesetzt ist

Wenn Sie Linux-Server in Ihrem Rechenzentrum haben oder diese auf einem Cloud-Server (wie AWS, Google Cloud oder Azure) gehostet werden, können Sie nicht davon ausgehen, dass sie allein aufgrund des von Ihnen eingesetzten Betriebssystems sicher sind. Auch wenn Linux eines der sichersten Betriebssysteme auf dem Markt ist, ist es nicht perfekt. Tatsächlich hat die Zahl der Angriffe auf die Plattform zugenommen, und dieser Trend wird sich fortsetzen, da Linux immer beliebter wird.

Was können Sie tun?

Wenn Sie vermuten, dass einer Ihrer Server angegriffen werden könnte, müssen Sie ihn überprüfen. Aber wie? In diesem Beitrag zeige ich Ihnen einige Befehle, mit denen Sie feststellen können, ob Ihr Server von einem Denial-of-Service-Angriff (DoS) betroffen ist, der von einer einzigen IP-Adresse ausgeht und versucht, eine Website lahmzulegen, um ihren Server unzugänglich zu machen. Es gibt eine andere Form dieses Angriffs, den Distributed Denial of Service (DDoS), der von mehreren Quellen ausgeht.

Lassen Sie uns herausfinden, wie Sie feststellen können, ob Ihr Linux-Server das Ziel eines DoS-Angriffs ist.

SEE: Richtlinie zum Schutz vor Identitätsdiebstahl (TechRepublic Premium)

Was Sie brauchen

Die einzigen Dinge, die Sie dafür brauchen, sind eine Linux-Instanz und ein Benutzer mit sudo-Rechten. Ich werde dies mit Ubuntu Server 20.04 demonstrieren.

So installieren Sie netstat

Wir werden das Tool netstat verwenden, um herauszufinden, welche IP-Adressen derzeit mit Ihrem Server verbunden sind. Um netstat unter Ubuntu zu installieren, müssen Sie net-tools installieren, etwa so: 

 sudo apt-get install net-tools -y

Wenn Sie CentOS oder eine Red Hat-basierte Installation verwenden, sollte netstat bereits installiert sein.

So überprüfen Sie die Serverauslastung

Zunächst werden wir die Serverauslastung überprüfen. Der Befehl, den wir dafür verwenden, gibt die Anzahl der logischen Prozessoren (Threads) zurück. Auf einem Server sollte diese Zahl recht niedrig sein, aber das hängt davon ab, was Sie laufen haben. Sie sollten sicherstellen, dass Sie eine Baseline für diese Zahl durchführen, wenn Sie wissen, dass alles in Ordnung ist. Wenn Sie den Verdacht haben, dass etwas nicht in Ordnung ist, führen Sie die Thread-Prüfung erneut durch und vergleichen Sie sie.

Um die Anzahl der logischen Prozessoren zu überprüfen, geben Sie den Befehl: 

 grep processor /proc/cpuinfo | wc -l

Wenn diese Zahl signifikant höher ist als Ihre Basislinie, haben Sie möglicherweise ein Problem.

Zum Beispiel habe ich auf meinem Pop!_OS-Desktop 16 Threads, aber auf einem Ubuntu-Server, der Nextcloud hostet, habe ich nur zwei. Wenn sich eine dieser Zahlen verdoppeln würde, könnte ich einem DDoS-Angriff ausgesetzt sein.

So überprüfen Sie Ihre Netzwerkauslastung

Als Nächstes wollen wir unsere Netzwerkauslastung überprüfen. Es gibt eine Reihe von Tools, mit denen Sie dies tun können, aber ich habe mich für nload entschieden. Um nload zu installieren, geben Sie den Befehl: 

 sudo apt-get install nload -y

Unter CentOS lautet der Befehl: 

 sudo dnf install nload -y

Um das Tool auszuführen, geben Sie einfach den Befehl: 

 nload

Sie sollten eine ziemlich normale ein- und ausgehende Netzwerklast sehen (Abbildung A).

Abbildung A

ddosa.jpg

Nload zeigt eine ziemlich niedrige eingehende Last auf meinem Nextcloud-Server an.

Wenn diese Last erheblich höher ist, als Sie glauben, dass sie sein sollte, könnten Sie angegriffen werden.

So finden Sie heraus, welche IP-Adressen mit Ihrem Server verbunden sind

Als nächstes müssen Sie herausfinden, welche IP-Adressen mit Ihrem Server verbunden sind. Dazu verwenden wir netstat wie folgt: 

 netstat -ntu|awk '{print }'|cut -d: -f1 -s|sort|uniq -c|sort -nk1 -r

Die Ausgabe des obigen Befehls listet jede IP-Adresse auf, die mit dem Server verbunden ist, und wie viele Instanzen von jeder. Wie Sie sehen können, habe ich zwei IP-Adressen, die mit meinem Server verbunden sind (eine davon dreimal) (Abbildung B).

Abbildung B

ddosb.jpg

Die Ausgabe von netstat zeigt die IP-Adressen, die mit meinem Server verbunden sind.

Sehen Sie sich diese Auflistung sorgfältig an. Wenn Sie eine IP-Adresse mit einer großen Anzahl von Instanzen (über 100) sehen, ist die Wahrscheinlichkeit ziemlich hoch, dass diese Adresse der Übeltäter ist. Wenn Sie sicher sind, dass es sich um den Übeltäter handelt, können Sie die IP-Adresse mit dem folgenden Befehl sperren: 

 sudo route add ADDRESS reject

Wobei ADRESSE die IP-Adresse des Verdächtigen ist.

Zu diesem Zeitpunkt sollten Sie Ihre Threads, die angeschlossenen IP-Adressen und die Netzwerklast erneut überprüfen, um festzustellen, ob Sie den DoS-Angriff abgewehrt haben. Wenn ja, ist es an der Zeit, die verdächtige IP-Adresse zu melden und sie wahrscheinlich ganz aus Ihrem Netzwerk zu verbannen. Beim nächsten Mal werde ich Sie durch den Prozess der Entschärfung eines DDoS-Angriffs führen.

Abonnieren Sie TechRepublic’s How To Make Tech Work auf YouTube für die neuesten technischen Ratschläge für Geschäftsleute von Jack Wallen.

Siehe auch

  • Wie man ein Profi für Cybersicherheit wird: Ein Spickzettel (TechRepublic)

  • Social Engineering: Ein Spickzettel für Geschäftsleute (kostenloses PDF) (TechRepublic)

  • Schatten-IT-Politik (TechRepublic Premium)

  • Online-Sicherheit 101: Tipps zum Schutz Ihrer Privatsphäre vor Hackern und Spionen (ZDNet)

  • Cybersecurity und Cyberwar: Mehr lesenswerte Berichte (TechRepublic auf Flipboard)

linuxhero2-1.jpg
Bild:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.