Hogyan ellenőrizheti gyorsan, hogy a Linux szerverét DoS-támadás éri-e egyetlen IP-címről

Written by on in Articles

Linux:

Ha az adatközpontjában Linux-kiszolgálók vannak, vagy azokat felhőkiszolgálón (például AWS, Google Cloud vagy Azure) hosztolja, nem feltételezheti, hogy pusztán a telepített operációs rendszer miatt biztonságosak. Bár a Linux az egyik legbiztonságosabb operációs rendszer a piacon, mégsem tökéletes. Valójában egyre több támadás éri a platformot, és ez a tendencia továbbra is emelkedni fog, ahogy a Linux még nagyobb népszerűségre tesz szert.

Mi a teendő?

Ha azt gyanítja, hogy az egyik szerverét támadás érheti, ellenőriznie kell. De hogyan? Ebben a cikkben mutatok néhány parancsot, amelyek segítségével megállapíthatod, hogy a szerveredet éri-e szolgáltatásmegtagadási (DoS) támadás, amely egyetlen IP-címről érkezik, és megpróbál megbénítani egy webhelyet, hogy elérhetetlenné tegye a szerverét. Van ennek a támadásnak egy másik formája, az elosztott szolgáltatásmegtagadás (DDoS), amely több forrásból érkezik.

Megtudjuk, hogyan állapíthatjuk meg, hogy a Linux szerverünk DoS-támadás célpontja-e.

SEE: Identitáslopás elleni védelmi szabályzat (TechRepublic Premium)

Amire szüksége lesz

Az egyetlen dolog, amire ehhez szüksége lesz, egy Linux példány és egy sudo jogosultságokkal rendelkező felhasználó. A bemutatót Ubuntu Server 20.04-en fogom végezni.

A netstat telepítése

A netstat eszközt fogjuk használni, hogy megtudjuk, milyen IP-címek kapcsolódnak jelenleg a szerverünkhöz. A netstat telepítéséhez Ubuntun tulajdonképpen a net-tools-t telepítjük, így: 

 sudo apt-get install net-tools -y

Ha CentOS-t vagy Red Hat-alapú telepítést használ, a netstatnak már telepítve kell lennie.

Hogyan ellenőrizzük a szerver terhelését

Először is ellenőrizzük a szerverünk terhelését. Az ehhez használt parancs a logikai processzorok (szálak) számát adja vissza. Egy szerveren ennek a számnak meglehetősen alacsonynak kell lennie, de ez attól függ, hogy mi fut nálad. Mindenképpen futtassunk egy alapszintet erre a számra, amikor már tudjuk, hogy minden rendben van. Ha azt gyanítja, hogy valami baj van, futtassa le újra a szálellenőrzést, és hasonlítsa össze.

A logikai processzorok számának ellenőrzéséhez adja ki a parancsot: 

 grep processor /proc/cpuinfo | wc -l

Ha ez a szám jelentősen magasabb, mint az alapérték, akkor lehet, hogy valami probléma van.

A Pop!_OS asztali gépemen például 16 szál van, de a Nextcloudnak otthont adó Ubuntu szerveren csak kettő. Ha bármelyik szám megduplázódna, lehet, hogy DDoS támadás érne.

Hogyan ellenőrizhetjük a hálózati terhelésünket

A következőkben a hálózati terhelésünket szeretnénk ellenőrizni. Számos eszközzel megtehetjük ezt, de én az nload-ot választottam. Az nload telepítéséhez adjuk ki a parancsot: 

 sudo apt-get install nload -y

A CentOS rendszerben ez a parancs a következő lenne: 

 sudo apt-get install nload -y

: 

 sudo dnf install nload -y

Az eszköz futtatásához egyszerűen adja ki a parancsot: 

 nload

Meglehetősen normális bejövő és kimenő hálózati terhelést kell látnia (A ábra).

A ábra

ddosa.jpg

Az Nload meglehetősen alacsony bejövő terhelést mutat a Nextcloud-kiszolgálómon.

Ha ez a terhelés jelentősen magasabb, mint amilyennek Ön szerint lennie kellene, akkor támadás érheti.

Hogyan derítheti ki, hogy milyen IP-címek kapcsolódnak a szerveréhez

A következő dolog, amit meg kell tennie, hogy megtudja, milyen IP-címek kapcsolódnak a szerveréhez. Ehhez a netstatot fogjuk használni a következőképpen: 

 netstat -ntu|awk '{print }'|cut -d: -f1 -s|sort|uniq -c|sort -nk1 -r

A fenti parancs kimenete felsorolja az egyes IP-címeket, amelyek a szerverhez kapcsolódnak, és azt, hogy mindegyikből hány példány van. Mint látható, két IP-cím csatlakozik a szerveremhez (az egyik háromszor) (B ábra).

B ábra

ddosb.jpg

A netstat kimenete, amely a szerveremhez csatlakozó IP-címeket mutatja.

Nézze át figyelmesen ezt a listát. Ha olyan IP-címet lát, amelyen sok példány van (több mint 100), akkor elég nagy a valószínűsége, hogy ez a cím a bűnös. Ha már biztos vagy a bűnösben, akkor az IP-címet a következő paranccsal tilthatod le: 

 sudo route add ADDRESS reject

Ahol ADRESS a gyanúsított IP-címe.

Ezután menjen vissza, és ellenőrizze újra a szálakat, a csatlakoztatott IP-címeket és a hálózati terhelést, hogy megnézze, sikerült-e enyhítenie a DoS-támadást. Ha igen, ideje jelenteni a gyanús IP-címet, és valószínűleg teljesen kitiltani a hálózatból. Legközelebb végigvezetem a DDoS-támadás enyhítésének folyamatán.

Iratkozzon fel a TechRepublic How To Make Tech Work című műsorára a YouTube-on, hogy Jack Wallen legújabb technológiai tanácsokat adjon üzleti szakembereknek.

Lásd még

  • Hogyan váljon kiberbiztonsági profivá: A cheat sheet (TechRepublic)

  • Social engineering: (ingyenes PDF) (TechRepublic)

  • Az informatikai politika árnyékában (TechRepublic Premium)

  • Online biztonság 101: Tippek a magánélet védelméhez a hackerek és kémek ellen (ZDNet)

  • Kiberbiztonság és kiberháború: További kötelező olvasmányok (TechRepublic on Flipboard)

linuxhero2-1.jpg
Kép:

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.