Como verificar rapidamente se o seu servidor Linux está sob um ataque DoS a partir de um único endereço IP

Written by on in Articles

Linux: Como verificar rapidamente se o seu servidor está sob um ataque DoS a partir de um único endereço IP

Se você tem servidores Linux no seu centro de dados ou eles estão sendo hospedados em um servidor em nuvem (como AWS, Google Cloud, ou Azure), você não pode assumir, simplesmente por causa do sistema operacional que você implantou, que eles estão seguros. Embora o Linux seja um dos sistemas operacionais mais seguros do mercado, ele não é perfeito. De facto, tem havido um aumento de ataques à plataforma, que continuará a subir à medida que o Linux ganha ainda mais popularidade.

O que você faz?

Quando você suspeita que um dos seus servidores pode estar sob ataque, você precisa checar isso. Mas como? Nesta peça vou mostrar-lhe alguns comandos que podem ajudá-lo a discernir se o seu servidor está a ser atacado por um ataque de negação de serviço (DoS), que vem de um único endereço IP e tentativas de aleijar um site para tornar o seu servidor inacessível. Há outra forma deste ataque, a negação de serviço distribuída (DDoS), que vem de múltiplas fontes.

Vamos descobrir como dizer se o seu servidor Linux é alvo de um ataque DoS.

VER: Política de proteção contra roubo de identidade (TechRepublic Premium)

O que você vai precisar

As únicas coisas que você vai precisar para isso é uma instância do Linux e um usuário com privilégios sudo. Estarei demonstrando no Ubuntu Server 20.04.

Como instalar netstat

Vamos usar a ferramenta netstat para descobrir quais endereços IP estão atualmente conectados ao seu servidor. Para instalar o netstat no Ubuntu, você realmente instala o net-tools, dessa forma: 

 sudo apt-get install net-tools -y

Se você estiver usando o CentOS ou uma instalação baseada na Red Hat, o netstat já deve estar instalado.

Como verificar a carga do seu servidor

A primeira coisa que vamos fazer é verificar a carga do nosso servidor. O comando que vamos usar para isso vai retornar o número de processadores lógicos (threads). Em um servidor, este número deve ser bastante baixo, mas depende do que você tem rodando. Você deve ter certeza de rodar uma linha de base para este número, quando você souber que tudo está bem. Se você suspeitar que algo está acontecendo, execute a verificação de threads novamente e compare-a.

Para verificar o número de processadores lógicos, emita o comando: 

 grep processor /proc/cpuinfo | wc -l

Se esse número for significativamente maior que a sua linha de base, você pode ter um problema.

Por exemplo, no meu desktop Pop!_OS, tenho 16 threads, mas num servidor Ubuntu hosting Nextcloud, eu só tenho dois. Se algum desses números duplicasse, eu poderia estar sob um ataque DDoS.

Como verificar a sua carga de rede

A seguir queremos verificar a nossa carga de rede. Há uma série de ferramentas com as quais você pode fazer isso, mas eu escolho nload. Para instalar o nload, emita o comando: 

 sudo apt-get install nload -y

No CentOS esse comando seria: 

 sudo dnf install nload -y

Para executar a ferramenta, simplesmente emita o comando: 

 nload

Você deve ver uma carga de rede de entrada e de saída bastante normal (Figura A).

Figure A

ddosa.jpg

Nload está mostrando uma carga de entrada razoavelmente baixa no meu servidor Nextcloud.

Se essa carga for consideravelmente maior do que você acredita que deveria ser, você pode estar sob ataque.

Como descobrir quais endereços IP estão conectados ao seu servidor

A próxima coisa que você vai querer fazer é descobrir quais endereços IP estão conectados ao seu servidor. Para isso, vamos usar o netstat assim: 

 netstat -ntu|awk '{print }'|cut -d: -f1 -s|sort|uniq -c|sort -nk1 -r

A saída do comando acima irá listar cada endereço IP que está conectado ao servidor e quantas instâncias de cada um. Como você pode ver, eu tenho dois endereços IP conectando ao meu servidor (um três vezes) (Figura B).

Figure B

ddosb.jpg

A saída da netstat mostrando os endereços IP conectados ao meu servidor.

Vejam com atenção esta listagem. Se você vir um endereço IP com um grande número de instâncias (mais de 100), a probabilidade é bastante alta de que esse endereço seja o seu culpado. Uma vez que você esteja certo do culpado, você pode banir o endereço IP com o comando: 

 sudo route add ADDRESS reject

Onde ENDEREÇO é o endereço de IP do suspeito.

Neste ponto, volte atrás e verifique novamente os seus threads, endereços IP conectados e cargas de rede para ver se você mitigou esse ataque DoS. Se sim, é hora de reportar o endereço IP suspeito e provavelmente bani-lo da sua rede por completo. Da próxima vez, eu o acompanharei no processo de mitigação de um ataque DDoS.

Subscreva ao TechRepublic’s How To Make Tech Work no YouTube para obter todos os últimos conselhos técnicos para profissionais de negócios do Jack Wallen.

Veja também

  • Como tornar-se um profissional de segurança cibernética: Uma folha de batota (TechRepublic)

  • Engenharia social: Uma folha de fraude para profissionais de negócios (PDF gratuito) (TechRepublic)

  • Sombra de política de TI (TechRepublic Premium)

  • Segurança online 101: Dicas para proteger a sua privacidade contra hackers e espiões (ZDNet)

  • Segurança cibernética e guerra cibernética: Mais cobertura de leitura obrigatória (TechRepublic on Flipboard)

linuxhero2-1.jpg
Imagem:

Deixe uma resposta

O seu endereço de email não será publicado.