Jak szybko sprawdzić, czy Twój serwer Linux jest narażony na atak DoS z jednego adresu IP

Written by on in Articles

Linux: Jak szybko sprawdzić, czy Twój serwer jest narażony na atak DoS z pojedynczego adresu IP

Jeśli masz serwery Linux w swoim centrum danych lub są one hostowane na serwerze w chmurze (takim jak AWS, Google Cloud lub Azure), nie możesz zakładać, że po prostu ze względu na system operacyjny, który wdrożyłeś, są one bezpieczne. Mimo że Linux jest jednym z najbezpieczniejszych systemów operacyjnych na rynku, nie jest idealny. W rzeczywistości, nastąpił wzrost liczby ataków na tę platformę, który będzie nadal wzrastał wraz z rosnącą popularnością Linuksa.

Co robisz?

Kiedy podejrzewasz, że jeden z twoich serwerów może być atakowany, musisz go sprawdzić. Ale jak? W tym kawałku pokażę ci kilka poleceń, które pomogą ci rozeznać się, czy twój serwer jest atakowany przez odmowę usługi (DoS), która pochodzi z jednego adresu IP i próbuje sparaliżować stronę internetową, aby uczynić jej serwer niedostępnym. Istnieje inna forma tego ataku, rozproszona odmowa usługi (DDoS), która pochodzi z wielu źródeł.

Dowiedzmy się, jak stwierdzić, czy twój serwer Linux jest celem ataku DoS.

Zobacz: Polityka ochrony przed kradzieżą tożsamości (TechRepublic Premium)

Czego będziesz potrzebował

Jedyne, czego będziesz potrzebował, to instancja systemu Linux i użytkownik z uprawnieniami sudo. Ja będę demonstrował na Ubuntu Server 20.04.

Jak zainstalować netstat

Będziemy używać narzędzia netstat, aby dowiedzieć się, jakie adresy IP są obecnie podłączone do twojego serwera. Aby zainstalować netstat na Ubuntu, należy zainstalować net-tools, tak jak poniżej: 

 sudo apt-get install net-tools -y

Jeśli używasz systemu CentOS lub instalacji opartej na Red Hat, netstat powinien być już zainstalowany.

Jak sprawdzić obciążenie serwera

Pierwszą rzeczą, jaką zamierzamy zrobić, jest sprawdzenie obciążenia naszego serwera. Polecenie, którego użyjemy do tego celu, zwróci nam liczbę logicznych procesorów (wątków). Na serwerze, liczba ta powinna być dość niska, ale zależy to od tego, co masz uruchomione. Powinieneś upewnić się, że uruchomiłeś linię bazową dla tej liczby, kiedy wiesz, że wszystko jest w porządku. Jeśli podejrzewasz, że coś się dzieje, uruchom ponownie sprawdzanie wątków i porównaj je.

Aby sprawdzić liczbę procesorów logicznych, wydaj polecenie: 

 grep processor /proc/cpuinfo | wc -l

Jeśli ta liczba jest znacznie wyższa niż twoja wartość bazowa, możesz mieć problem.

Na przykład, na moim pulpicie Pop!_OS mam 16 wątków, ale na serwerze Ubuntu hostującym Nextcloud mam tylko dwa. Jeśli któraś z tych liczb by się podwoiła, mógłbym zostać zaatakowany przez DDoS.

Jak sprawdzić obciążenie sieci

Następnie chcemy sprawdzić nasze obciążenie sieci. Istnieje wiele narzędzi, za pomocą których możesz to zrobić, ale ja wybrałem nload. Aby zainstalować nload, wydaj polecenie: 

 sudo apt-get install nload -y

W systemie CentOS polecenie to brzmiałoby: 

 sudo dnf install nload -y

Aby uruchomić narzędzie, wystarczy wydać polecenie: 

 nload

Powinieneś zobaczyć całkiem normalne obciążenie sieci przychodzącej i wychodzącej (rysunek A).

Figura A

ddosa.jpg

Nload pokazuje dość niskie obciążenie przychodzące na moim serwerze Nextcloud.

Jeśli to obciążenie jest znacznie wyższe niż uważasz, że powinno być, możesz być atakowany.

Jak dowiedzieć się, jakie adresy IP są podłączone do Twojego serwera

Następną rzeczą, którą będziesz chciał zrobić, to dowiedzieć się, jakie adresy IP są podłączone do Twojego serwera. W tym celu użyjemy netstat w następujący sposób: 

 netstat -ntu|awk '{print }'|cut -d: -f1 -s|sort|uniq -c|sort -nk1 -r

Wynikiem powyższego polecenia będzie lista każdego adresu IP, który jest podłączony do serwera i ile instancji z każdego z nich. Jak widać, mam dwa adresy IP łączące się z moim serwerem (jeden trzy razy) (Rysunek B).

Rysunek B

ddosb.jpg

Wyniki programu netstat pokazujące adresy IP podłączone do mojego serwera.

Pamiętaj, aby uważnie przejrzeć tę listę. Jeśli widzisz adres IP z dużą liczbą instancji (ponad 100), istnieje duże prawdopodobieństwo, że to właśnie ten adres jest winowajcą. Kiedy jesteś pewien, że to on jest winowajcą, możesz zbanować adres IP za pomocą polecenia: 

 sudo route add ADDRESS reject

Gdzie ADDRESS jest adresem IP podejrzanego.

W tym momencie wróć i sprawdź ponownie swoje wątki, podłączone adresy IP i obciążenia sieci, aby sprawdzić, czy udało się ograniczyć atak DoS. Jeśli tak, nadszedł czas na zgłoszenie podejrzanego adresu IP i prawdopodobnie całkowite zablokowanie go w sieci. Następnym razem przeprowadzę Cię przez proces łagodzenia ataku DDoS.

Subskrybuj kanał TechRepublic „How To Make Tech Work” w serwisie YouTube, aby uzyskać najnowsze porady techniczne dla profesjonalistów biznesowych od Jacka Wallena.

Zobacz także

  • Jak zostać profesjonalistą w dziedzinie cyberbezpieczeństwa: A cheat sheet (TechRepublic)

  • Social engineering: A cheat sheet for business professionals (free PDF) (TechRepublic)

  • Polityka IT w cieniu (TechRepublic Premium)

  • Online security 101: Tips for protecting your privacy from hackers and spies (ZDNet)

  • Cybersecurity and cyberwar: More must-read coverage (TechRepublic on Flipboard)

linuxhero2-1.jpg
Image:

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.