Come controllare rapidamente per vedere se il tuo server Linux è sotto un attacco DoS da un singolo indirizzo IP

Written by on in Articles

Linux: Come controllare rapidamente per vedere se il vostro server è sotto un attacco DoS da un singolo indirizzo IP

Se avete server Linux nel vostro data center o sono ospitati su un server cloud (come AWS, Google Cloud, o Azure), non si può assumere, semplicemente a causa del sistema operativo che avete implementato, che siano sicuri. Anche se Linux è uno dei sistemi operativi più sicuri sul mercato, non è perfetto. Infatti, c’è stato un aumento degli attacchi alla piattaforma, che continuerà ad aumentare man mano che Linux guadagnerà ancora più popolarità.

Che cosa fai?

Quando sospettate che uno dei vostri server possa essere sotto attacco, dovete controllarlo. Ma come? In questo pezzo vi mostrerò alcuni comandi che possono aiutarvi a discernere se il vostro server è stato colpito da un attacco denial of service (DoS), che proviene da un singolo indirizzo IP e tenta di paralizzare un sito web per rendere il suo server inaccessibile. C’è un’altra forma di questo attacco, il distributed denial of service (DDoS), che proviene da più fonti.

Scopriamo come capire se il vostro server Linux è un obiettivo di un attacco DoS.

SEE: Politica di protezione contro il furto d’identità (TechRepublic Premium)

Di cosa avrete bisogno

Le uniche cose di cui avrete bisogno per questo sono un’istanza di Linux e un utente con privilegi sudo. Farò una dimostrazione su Ubuntu Server 20.04.

Come installare netstat

Useremo lo strumento netstat per scoprire quali indirizzi IP sono attualmente connessi al tuo server. Per installare netstat su Ubuntu, in realtà si installa net-tools, così: 

 sudo apt-get install net-tools -y

Se state usando CentOS o un’installazione basata su Red Hat, netstat dovrebbe essere già installato.

Come controllare il carico del server

La prima cosa che faremo è controllare il carico del nostro server. Il comando che useremo per questo restituirà il numero di processori logici (thread). Su un server, questo numero dovrebbe essere abbastanza basso, ma dipende da cosa avete in esecuzione. Dovreste assicurarvi di eseguire una linea di base per questo numero, quando sapete che tutto è a posto. Se sospettate che stia succedendo qualcosa, eseguite di nuovo il controllo dei thread e confrontatelo.

Per controllare il numero di processori logici, esegui il comando: 

 grep processor /proc/cpuinfo | wc -l

Se questo numero è significativamente più alto della tua linea di base, potresti avere un problema.

Per esempio, sul mio desktop Pop!_OS, ho 16 thread, ma su un server Ubuntu che ospita Nextcloud, ne ho solo due. Se uno di questi numeri dovesse raddoppiare, potrei essere sotto un attacco DDoS.

Come controllare il carico di rete

Vogliamo poi controllare il nostro carico di rete. Ci sono un certo numero di strumenti con cui puoi farlo, ma io scelgo nload. Per installare nload, esegui il comando: 

 sudo apt-get install nload -y

Su CentOS il comando sarebbe: 

 sudo dnf install nload -y

Per eseguire lo strumento, è sufficiente eseguire il comando: 

 nload

Si dovrebbe vedere un carico di rete in entrata e in uscita abbastanza normale (Figura A).

Figura A

ddosa.jpg

Nload mostra un carico in entrata abbastanza basso sul mio server Nextcloud.

Se questo carico è considerevolmente più alto di quanto crediate, potreste essere sotto attacco.

Come scoprire quali indirizzi IP sono connessi al tuo server

La prossima cosa che vorrai fare è scoprire quali indirizzi IP sono connessi al tuo server. Per questo, useremo netstat in questo modo: 

 netstat -ntu|awk '{print }'|cut -d: -f1 -s|sort|uniq -c|sort -nk1 -r

L’output del comando di cui sopra elencherà ogni indirizzo IP che è connesso al server e quante istanze da ciascuno. Come potete vedere, ho due indirizzi IP che si collegano al mio server (uno tre volte) (Figura B).

Figura B

ddosb.jpg

L’output di netstat che mostra gli indirizzi IP connessi al mio server. Se vedete un indirizzo IP con un gran numero di istanze (più di 100), la probabilità che quell’indirizzo sia il vostro colpevole è piuttosto alta. Una volta che siete sicuri del colpevole, potete bandire l’indirizzo IP con il comando 

 sudo route add ADDRESS reject

dove ADDRESS è l’indirizzo IP del sospetto.

A questo punto, tornate indietro e ricontrollate i vostri thread, gli indirizzi IP collegati e i carichi di rete per vedere se avete mitigato l’attacco DoS. Se è così, è il momento di segnalare l’indirizzo IP sospetto e probabilmente bandirlo del tutto dalla vostra rete. La prossima volta, vi guiderò attraverso il processo di mitigazione di un attacco DDoS.

Abbonati a How To Make Tech Work di TechRepublic su YouTube per tutti gli ultimi consigli tecnici di Jack Wallen per i professionisti del business.

Vedi anche

  • Come diventare un professionista della cybersecurity: A cheat sheet (TechRepublic)

  • Ingegneria sociale: A cheat sheet for business professionals (free PDF) (TechRepublic)

  • Shadow IT policy (TechRepublic Premium)

  • Online security 101: Tips for protecting your privacy from hackers and spies (ZDNet)

  • Cybersecurity and cyberwar: Più copertura da leggere (TechRepublic su Flipboard)

linuxhero2-1.jpg
Immagine:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.