Miten voit nopeasti tarkistaa, onko Linux-palvelimesi DoS-hyökkäyksen kohteena yhdestä IP-osoitteesta

Written by on in Articles

Linux:

Jos datakeskuksessasi on Linux-palvelimia tai niitä isännöidään pilvipalvelimella (kuten AWS:ssä, Google Cloudissa tai Azuressa), et voi olettaa, että ne ovat turvallisia pelkän käyttöön ottamasi käyttöjärjestelmän vuoksi. Vaikka Linux on yksi markkinoiden turvallisimmista käyttöjärjestelmistä, se ei ole täydellinen. Itse asiassa alustaan kohdistuvat hyökkäykset ovat lisääntyneet, ja suuntaus on edelleen nouseva, kun Linuxin suosio kasvaa entisestään.

Mitä sinä teet?

Kun epäilet, että jokin palvelimistasi saattaa olla hyökkäyksen kohteena, sinun on tarkistettava se. Mutta miten? Tässä jutussa näytän sinulle muutaman komennon, joiden avulla voit erottaa, onko palvelintasi vastaan hyökätty palvelunestohyökkäys (DoS), joka tulee yhdestä IP-osoitteesta ja pyrkii lamauttamaan verkkosivuston ja tekemään sen palvelimen saavuttamattomissa olevaksi. Tämän hyökkäyksen toinen muoto on hajautettu palvelunestohyökkäys (DDoS), joka tulee useista lähteistä.

Katsotaanpa, miten voit kertoa, onko Linux-palvelimesi DoS-hyökkäyksen kohteena.

KATSO: Identiteettivarkauksien suojauskäytäntö (TechRepublic Premium)

Mitä tarvitset

Ainut mitä tarvitset tähän on Linux-instanssi ja käyttäjä, jolla on sudo-oikeudet. Esittelen tämän Ubuntu Server 20.04:llä.

Netstatin asentaminen

Käytämme netstat-työkalua selvittääksemme, mitkä IP-osoitteet ovat tällä hetkellä yhteydessä palvelimeesi. Asentaaksesi netstatin Ubuntuun, asennat itse asiassa net-toolsin näin: 

 sudo apt-get install net-tools -y

Jos käytät CentOS:ää tai Red Hat-pohjaista asennusta, netstat pitäisi olla jo asennettuna.

Palvelimen kuormituksen tarkistaminen

Ensin tarkistamme palvelimen kuormituksen. Komento, jota käytämme tähän, palauttaa loogisten prosessoreiden (säikeiden) määrän. Palvelimella tämän luvun pitäisi olla melko alhainen, mutta se riippuu siitä, mitä sinulla on käynnissä. Varmista, että suoritat tämän luvun perustason, kun tiedät, että kaikki on kunnossa. Jos epäilet, että jotain on tekeillä, suorita säikeiden tarkistus uudelleen ja vertaa sitä.

Loogisten prosessoreiden määrän tarkistamiseksi anna komento: 

 grep processor /proc/cpuinfo | wc -l

Jos tämä luku on huomattavasti suurempi kuin perustasosi, sinulla saattaa olla ongelma.

Minulla on esimerkiksi Pop!_OS-työpöydälläni 16 säiettä, mutta Nextcloudia isännöivällä Ubuntu-palvelimella vain kaksi. Jos jompikumpi näistä luvuista tuplaantuisi, saattaisin joutua DDoS-hyökkäyksen kohteeksi.

Verkon kuormituksen tarkistaminen

Seuraavaksi haluamme tarkistaa verkon kuormituksen. On olemassa useita työkaluja, joilla voit tehdä tämän, mutta minä valitsen nloadin. Asenna nload komennolla: 

 sudo apt-get install nload -y

CentOS:ssa tuo komento olisi: 

 sudo dnf install nload -y

Työkalun suorittamiseksi anna yksinkertaisesti komento: 

 nload

Sinun pitäisi nähdä melko normaali saapuva ja lähtevä verkkokuormitus (kuva A).

Kuva A

ddosa.jpg

Nload näyttää Nextcloud-palvelimellani melko pientä saapuvaa kuormitusta.

Jos tuo kuormitus on huomattavasti korkeampi kuin sen mielestäsi pitäisi olla, sinua vastaan saatetaan hyökätä.

Miten saat selville, mitkä IP-osoitteet ovat yhteydessä palvelimeesi

Seuraavaksi haluat selvittää, mitkä IP-osoitteet ovat yhteydessä palvelimeesi. Tätä varten käytämme netstatia seuraavasti: 

 netstat -ntu|awk '{print }'|cut -d: -f1 -s|sort|uniq -c|sort -nk1 -r

Yllä olevan komennon tulosteessa luetellaan jokainen IP-osoite, joka on yhdistetty palvelimeen, ja kuinka monta tapausta kustakin on. Kuten näet, minulla on kaksi IP-osoitetta, jotka ovat yhteydessä palvelimeeni (yksi kolme kertaa) (kuva B).

Kuva B

ddosb.jpg

Netstat-komennon tuloste, josta näet palvelimeeni yhdistetyt IP-osoitteet.

Katso tämä listaus huolellisesti läpi. Jos näet IP-osoitteen, jossa on suuri määrä esiintymiä (yli 100), on melko todennäköistä, että kyseinen osoite on syyllinen. Kun olet varma syyllisestä, voit kieltää IP-osoitteen komennolla: 

 sudo route add ADDRESS reject

Jossa ADDRESS on epäillyn IP-osoite.

Tässä vaiheessa palaa takaisin ja tarkista uudelleen säikeet, liitetyt IP-osoitteet ja verkon kuormitukset nähdäksesi, oletko lieventänyt kyseistä DoS-hyökkäystä. Jos näin on, on aika ilmoittaa epäillystä IP-osoitteesta ja todennäköisesti kieltää se kokonaan verkostasi. Seuraavalla kerralla käyn läpi DDoS-hyökkäyksen lieventämisprosessin.

Tilaa TechRepublicin How To Make Tech Work YouTubessa, josta saat Jack Wallenin uusimmat tekniset neuvot liike-elämän ammattilaisille.

Katso myös

  • How to become a cybersecurity pro: A cheat sheet (TechRepublic)

  • Social engineering: (TechRepublic)

  • Tietoturvapolitiikan varjopuoli (TechRepublic Premium)

  • Online security 101: Vinkkejä yksityisyyden suojaamiseen hakkereilta ja vakoilijoilta (ZDNet)

  • Kytkeytymisturvallisuus ja kybersota: Lisää luettavaa (TechRepublic on Flipboard)

linuxhero2-1.jpg
Kuva:

Vastaa

Sähköpostiosoitettasi ei julkaista.