Comment vérifier rapidement si votre serveur Linux subit une attaque DoS depuis une seule adresse IP

Written by on in Articles

Linux : Comment vérifier rapidement si votre serveur subit une attaque DoS à partir d’une seule adresse IP

Si vous avez des serveurs Linux dans votre centre de données ou s’ils sont hébergés sur un serveur cloud (comme AWS, Google Cloud ou Azure), vous ne pouvez pas supposer, simplement en raison du système d’exploitation que vous avez déployé, qu’ils sont sécurisés. Même si Linux est l’un des systèmes d’exploitation les plus sûrs du marché, il n’est pas parfait. En fait, on constate une augmentation des attaques sur la plateforme, qui continuera à avoir tendance à augmenter à mesure que Linux gagne encore en popularité.

Que faites-vous ?

Lorsque vous soupçonnez qu’un de vos serveurs pourrait être attaqué, vous devez le vérifier. Mais comment ? Dans cet article, je vais vous montrer quelques commandes qui peuvent vous aider à discerner si votre serveur est frappé par une attaque par déni de service (DoS), qui provient d’une seule adresse IP et tente de paralyser un site Web pour rendre son serveur inaccessible. Il existe une autre forme de cette attaque, le déni de service distribué (DDoS), qui provient de plusieurs sources.

Découvrons comment savoir si votre serveur Linux est la cible d’une attaque DoS.

SAIS : Politique de protection contre le vol d’identité (TechRepublic Premium)

Ce dont vous aurez besoin

Les seules choses dont vous aurez besoin pour cela sont une instance de Linux et un utilisateur avec des privilèges sudo. Je vais faire la démonstration sur le serveur Ubuntu 20.04.

Comment installer netstat

Nous allons utiliser l’outil netstat pour savoir quelles adresses IP sont actuellement connectées à votre serveur. Pour installer netstat sur Ubuntu, vous installez en fait net-tools, comme ceci : 

 sudo apt-get install net-tools -y

Si vous utilisez CentOS ou une installation basée sur Red Hat, netstat devrait déjà être installé.

Comment vérifier la charge de votre serveur

La première chose que nous allons faire est de vérifier la charge de notre serveur. La commande que nous utiliserons pour cela retournera le nombre de processeurs logiques (threads). Sur un serveur, ce nombre devrait être assez faible, mais cela dépend de ce que vous avez en cours d’exécution. Vous devez vous assurer d’exécuter une ligne de base pour ce nombre, lorsque vous savez que tout va bien. Si vous soupçonnez que quelque chose se passe, exécutez à nouveau la vérification des threads et comparez.

Pour vérifier le nombre de processeurs logiques, lancez la commande : 

 grep processor /proc/cpuinfo | wc -l

Si ce nombre est significativement plus élevé que votre ligne de base, vous pourriez avoir un problème.

Par exemple, sur mon bureau Pop!_OS, j’ai 16 threads, mais sur un serveur Ubuntu hébergeant Nextcloud, je n’en ai que deux. Si l’un ou l’autre de ces nombres venait à doubler, je pourrais subir une attaque DDoS.

Comment vérifier votre charge réseau

Nous voulons ensuite vérifier notre charge réseau. Il y a un certain nombre d’outils avec lesquels vous pouvez le faire, mais je choisis nload. Pour installer nload, lancez la commande : 

 sudo apt-get install nload -y

Sur CentOS cette commande serait : 

 sudo dnf install nload -y

Pour exécuter l’outil, il suffit de lancer la commande : 

 nload

Vous devriez voir une charge réseau entrante et sortante assez normale (figure A).

Figure A

ddosa.jpg

Nload montre une charge entrante assez faible sur mon serveur Nextcloud.

Si cette charge est considérablement plus élevée que vous pensez qu’elle devrait être, vous pourriez être attaqué.

Comment trouver les adresses IP connectées à votre serveur

La prochaine chose que vous voudrez faire est de trouver quelles adresses IP sont connectées à votre serveur. Pour cela, nous allons utiliser netstat comme suit : 

 netstat -ntu|awk '{print }'|cut -d: -f1 -s|sort|uniq -c|sort -nk1 -r

La sortie de la commande ci-dessus énumérera chaque adresse IP qui est connectée au serveur et combien d’instances de chacune. Comme vous pouvez le voir, j’ai deux adresses IP qui se connectent à mon serveur (une trois fois) (Figure B).

Figure B

ddosb.jpg

La sortie de netstat montrant les adresses IP connectées à mon serveur.

Assurez-vous de regarder attentivement cette liste. Si vous voyez une adresse IP avec un grand nombre d’instances (plus de 100), la probabilité est assez élevée que cette adresse soit votre coupable. Une fois que vous êtes sûr du coupable, vous pouvez bannir l’adresse IP avec la commande : 

 sudo route add ADDRESS reject

où ADRESSE est l’adresse IP du suspect.

À ce stade, revenez en arrière et revérifiez vos fils, les adresses IP connectées et les charges réseau pour voir si vous avez atténué cette attaque DoS. Si c’est le cas, il est temps de signaler l’adresse IP suspecte et probablement de la bannir complètement de votre réseau. La prochaine fois, je vous guiderai dans le processus d’atténuation d’une attaque DDoS.

Souscrivez à l’émission How To Make Tech Work de TechRepublic sur YouTube pour obtenir tous les derniers conseils technologiques de Jack Wallen à l’intention des professionnels.

Voir aussi

  • Comment devenir un pro de la cybersécurité : Une antisèche (TechRepublic)

  • L’ingénierie sociale : Une antisèche pour les professionnels des affaires (PDF gratuit) (TechRepublic)

  • Politique informatique de l’ombre (TechRepublic Premium)

  • Sécurité en ligne 101 : conseils pour protéger votre vie privée des pirates et des espions (ZDNet)

  • Cybersécurité et cyberguerre : Plus de couverture incontournable (TechRepublic sur Flipboard)

linuxhero2-1.jpg
Image :

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.