Hoe u snel kunt controleren of uw Linux-server een DoS-aanval van een enkel IP-adres ondergaat

Geschreven door op in Articles

Linux: Hoe u snel kunt controleren of uw server wordt aangevallen vanaf één IP-adres

Als u Linux-servers in uw datacenter hebt of ze worden gehost op een cloudserver (zoals AWS, Google Cloud of Azure), kunt u er niet van uitgaan dat ze veilig zijn, alleen vanwege het besturingssysteem dat u hebt geïmplementeerd. Ook al is Linux een van de veiligste besturingssystemen op de markt, het is niet perfect. In feite is er een toename van aanvallen op het platform, die een stijgende lijn zal blijven vertonen naarmate Linux nog meer aan populariteit wint.

Wat doet u?

Wanneer u vermoedt dat een van uw servers wordt aangevallen, moet u dat controleren. Maar hoe? In dit stuk laat ik je een paar commando’s zien waarmee je kunt zien of je server wordt getroffen door een denial of service (DoS) aanval, die vanaf een enkel IP-adres komt en probeert een website lam te leggen om de server ontoegankelijk te maken. Er is nog een andere vorm van deze aanval, de distributed denial of service (DDoS), die van meerdere bronnen afkomstig is.

Laten we eens kijken hoe u kunt zien of uw Linux-server een doelwit van een DoS-aanval is.

SEE: Identiteitsdiefstal beschermingsbeleid (TechRepublic Premium)

Wat je nodig hebt

Het enige wat je hiervoor nodig hebt is een instantie van Linux en een gebruiker met sudo privileges. Ik zal het demonstreren op Ubuntu Server 20.04.

Hoe installeer je netstat

We gaan netstat gebruiken om te kijken welke IP adressen er op dit moment verbonden zijn met je server. Om netstat op Ubuntu te installeren, installeer je eigenlijk net-tools, zoals dit: 

 sudo apt-get install net-tools -y

Als je CentOS of een Red Hat-gebaseerde installatie gebruikt, zou netstat al geïnstalleerd moeten zijn.

Hoe de belasting van uw server te controleren

Het eerste wat we gaan doen is de belasting van onze server controleren. Het commando dat we hiervoor gebruiken zal het aantal logische processors (threads) weergeven. Op een server zou dit aantal vrij laag moeten zijn, maar het hangt af van wat je hebt draaien. Je moet ervoor zorgen dat je een baseline uitvoert voor dit aantal, wanneer je weet dat alles in orde is. Als je vermoedt dat er iets aan de hand is, voer dan de thread check opnieuw uit en vergelijk het.

Om het aantal logische processoren te controleren, voert u het volgende commando uit: 

 grep processor /proc/cpuinfo | wc -l

Als dat aantal aanzienlijk hoger is dan uw basislijn, hebt u misschien een probleem.

Op mijn Pop!_OS desktop heb ik bijvoorbeeld 16 threads, maar op een Ubuntu Server die Nextcloud host, heb ik er maar twee. Als een van die getallen zou verdubbelen, zou ik onder een DDoS-aanval kunnen komen.

Hoe controleer je je netwerkbelasting

We willen nu onze netwerkbelasting controleren. Er zijn een aantal tools waarmee je dit kunt doen, maar ik kies voor nload. Om nload te installeren, geef je het commando: 

 sudo apt-get install nload -y

Op CentOS zou dat commando zijn: 

 sudo dnf install nload -y

Om de tool uit te voeren, geef je gewoon het commando: 

 nload

U zou een vrij normale inkomende en uitgaande netwerkbelasting moeten zien (Figuur A).

Figuur A

ddosa.jpg

Nload geeft een vrij lage inkomende belasting op mijn Nextcloud-server weer.

Als die belasting aanzienlijk hoger is dan u denkt dat het zou moeten zijn, wordt u mogelijk aangevallen.

Hoe kom ik te weten welke IP-adressen met uw server zijn verbonden

Het volgende dat u wilt doen is te weten komen welke IP-adressen met uw server zijn verbonden. Hiervoor gebruiken we netstat zoals dit: 

 netstat -ntu|awk '{print }'|cut -d: -f1 -s|sort|uniq -c|sort -nk1 -r

De uitvoer van het bovenstaande commando zal een lijst geven van elk IP adres dat is verbonden met de server en hoeveel instanties van elk. Zoals je kan zien, heb ik twee IP adressen die verbinding maken met mijn server (één drie keer) (Figuur B).

Figuur B

ddosb.jpg

De uitvoer van netstat met de IP-adressen die met mijn server zijn verbonden.

Zorg ervoor dat u deze lijst zorgvuldig doorkijkt. Als je een IP-adres ziet met een groot aantal instanties (meer dan 100), is de kans groot dat dat adres de boosdoener is. Als je zeker bent van de boosdoener, kun je het IP adres verbannen met het commando: 

 sudo route add ADDRESS reject

Waarbij ADDRESS het IP adres is van de verdachte.

Ga op dit punt terug en controleer je threads, verbonden IP adressen, en netwerk belasting opnieuw om te zien of je die DoS aanval hebt afgewend. Zo ja, dan is het tijd om het verdachte IP adres te rapporteren en waarschijnlijk helemaal van je netwerk te verbannen. De volgende keer zal ik met je door het proces gaan om een DDoS aanval te onderdrukken.

Teken in op TechRepublic’s How To Make Tech Work op YouTube voor al het laatste technische advies voor zakelijke professionals van Jack Wallen.

Zie ook

  • Hoe word ik een cyberbeveiligingsprofessional? Een spiekbriefje (TechRepublic)

  • Social engineering: Een spiekbriefje voor zakelijke professionals (gratis PDF) (TechRepublic)

  • Schaduwend IT-beleid (TechRepublic Premium)

  • Online beveiliging 101: Tips om uw privacy te beschermen tegen hackers en spionnen (ZDNet)

  • Cybersecurity en cyberoorlog: Meer must-read-dekking (TechRepublic op Flipboard)

linuxhero2-1.jpg
Beeld:

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.