Linuxサーバーが単一のIPアドレスからDoS攻撃を受けているかどうかを素早く確認する方法

Written by on in Articles

Linux: サーバーが単一の IP アドレスから DoS 攻撃を受けているかどうかをすばやく確認する方法

Linux サーバーをデータ センターで使用している場合、またはクラウド サーバー (AWS, Google Cloud, Azure など) でホストされている場合、導入しているオペレーティング システムを理由に、安全だと考えることはできないでしょう。 Linuxは市場で最も安全なオペレーティング・システムの1つですが、完璧ではありません。 実際、このプラットフォームに対する攻撃は増加しており、Linuxがさらに普及するにつれて、今後も増加傾向にあると思われます。

あなたはどうしますか?

サーバーの 1 つが攻撃を受けているかもしれないと思ったら、それを確認する必要があります。 しかし、どのようにすればよいのでしょうか。 この記事では、サーバーがサービス拒否 (DoS) 攻撃を受けているかどうかを見分けるのに役立ついくつかのコマンドを紹介します。この攻撃は、単一の IP アドレスから発生し、Web サイトを麻痺させてそのサーバーをアクセス不能にしようとするものです。 この攻撃には、複数の発信元から行われる分散型サービス拒否(DDoS)攻撃という別の形態もあります。

Linux サーバーが DoS 攻撃のターゲットになっているかどうかを見分ける方法を説明します。

SEE: Identity theft protection policy (TechRepublic Premium)

What you’re need

このために必要なものは、Linuxのインスタンスとsudo権限を持つユーザーだけです。 Ubuntu Server 20.04でデモを行う予定です。

netstatのインストール方法

これからnetstatツールを使って、現在どのIPアドレスがサーバーに接続されているかを調べます。 Ubuntuにnetstatをインストールするには、実際には、以下のようにnet-toolsをインストールします。 

 sudo apt-get install net-tools -y

CentOSやRed Hatベースのインストールを使用している場合、netstatはすでにインストールされているはずです。

サーバーの負荷を確認する方法

最初に行うことは、サーバーの負荷を確認することです。 このために使用するコマンドは、論理プロセッサ(スレッド)の数を返します。 サーバーでは、この数値はかなり低いはずですが、何を実行しているかによります。 この数値は、何も問題がないことが分かっているときに、必ずベースラインを実行する必要があります。 何かが起こっていると思われる場合は、スレッドチェックを再度実行し、比較してください。

論理プロセッサの数を確認するには、コマンドを実行します。 

 grep processor /proc/cpuinfo | wc -l

その数値がベースラインよりかなり高い場合は、問題がある可能性があります。

たとえば、私の Pop!_OS デスクトップには 16 スレッドがありますが、Nextcloud をホストする Ubuntu サーバーには 2 スレッドしかありません。 これらの数字のいずれかが倍増した場合、私は DDoS 攻撃を受けるかもしれません。

ネットワークの負荷を確認する方法

次に、ネットワークの負荷を確認したいと思います。 これを行うためのツールはいくつかありますが、私はnloadを選びました。 nloadをインストールするには、次のコマンドを実行します。 

 sudo apt-get install nload -y

CentOSの場合、このコマンドは次のようになります。 

 sudo dnf install nload -y

ツールを実行するには、単にコマンドを発行します。 

 nload

ごく普通のネットワーク負荷が表示されるはずです(図A)。

図 A

ddosa.jpg

Nload は、私の Nextcloud サーバーのかなり低い受信負荷を示しています。

その負荷があなたが信じるよりかなり高い場合は、攻撃を受けている可能性があります。

サーバに接続されているIPアドレスを調べる方法

次に行いたいことは、サーバに接続されているIPアドレスを調べることです。 これには、以下のようにnetstatを使用します。 

 netstat -ntu|awk '{print }'|cut -d: -f1 -s|sort|uniq -c|sort -nk1 -r

上記のコマンドの出力は、サーバーに接続されている各IPアドレスと、それぞれから何個のインスタンスがあるかをリストアップします。 ご覧の通り、私のサーバーには2つのIPアドレスが接続されています(1つは3回)(図B)。

図 B

ddosb.jpg

私のサーバーに接続している IP アドレスを示す netstat の出力

このリストに注意深く目を通すことを確認して下さい。 多数のインスタンス (100 以上) を持つ IP アドレスが見つかった場合、そのアドレスが原因である可能性が非常に高くなります。 そのIPアドレスが犯人であることを確認したら、コマンドでそのIPアドレスを禁止することができます。 

 sudo route add ADDRESS reject

ここで、ADDRESSは容疑者のIPアドレスです。

この時点で、スレッド、接続IPアドレス、およびネットワーク負荷を再確認し、DoS攻撃を軽減できたかどうかを確認します。 もしそうであれば、疑わしいIPアドレスを報告し、おそらくネットワークから完全に禁止する必要があります。 次回は、DDoS 攻撃を軽減するためのプロセスを説明します。

YouTubeでTechRepublicのHow To Make Tech Workを購読すると、Jack Wallenによるビジネスプロ向けの最新技術アドバイスがすべて得られます。

  • How to become a cybersecurity proもご覧ください。 A cheat sheet (TechRepublic)

  • Social engineering: ビジネスプロフェッショナルのためのチートシート(無料PDF)(TechRepublic)

  • 影のITポリシー(TechRepublic Premium)

  • オンラインセキュリティ101:ハッカーとスパイからプライバシーを守るヒント(ZDNet)

  • サイバーセキュリティとサイバーウォー(Cyberwars)。 さらに必読の報道(TechRepublic on Flipboard)

linuxhero2-1.jpg
Image:

コメントを残す

メールアドレスが公開されることはありません。