Cum să verificați rapid pentru a vedea dacă serverul Linux este supus unui atac DoS de la o singură adresă IP

Written by on in Articles

Linux: Cum să verificați rapid dacă serverul dvs. este supus unui atac DoS de la o singură adresă IP

Dacă aveți servere Linux în centrul dvs. de date sau sunt găzduite pe un server cloud (cum ar fi AWS, Google Cloud sau Azure), nu puteți presupune că, pur și simplu din cauza sistemului de operare pe care l-ați implementat, acestea sunt sigure. Chiar dacă Linux este unul dintre cele mai sigure sisteme de operare de pe piață, nu este perfect. De fapt, a existat o creștere a atacurilor asupra platformei, care va continua să aibă o tendință ascendentă pe măsură ce Linux câștigă și mai multă popularitate.

Ce trebuie să faceți?

Când bănuiți că unul dintre serverele dvs. ar putea fi atacat, trebuie să îl verificați. Dar cum? În acest articol vă voi arăta câteva comenzi care vă pot ajuta să discerneți dacă serverul dvs. este lovit de un atac DoS (denial of service), care provine de la o singură adresă IP și încearcă să paralizeze un site web pentru a-i face serverul inaccesibil. Există și o altă formă a acestui atac, refuzul distribuit al serviciului (DDoS), care provine din mai multe surse.

Să aflăm cum să ne dăm seama dacă serverul dumneavoastră Linux este ținta unui atac DoS.

VEZI: Politica de protecție împotriva furtului de identitate (TechRepublic Premium)

De ce veți avea nevoie

Unele lucruri de care veți avea nevoie pentru acest lucru sunt o instanță de Linux și un utilizator cu privilegii sudo. Voi face o demonstrație pe Ubuntu Server 20.04.

Cum se instalează netstat

Vom folosi instrumentul netstat pentru a afla ce adrese IP sunt în prezent conectate la serverul dumneavoastră. Pentru a instala netstat pe Ubuntu, instalați de fapt net-tools, astfel: 

 sudo apt-get install net-tools -y

Dacă folosiți CentOS sau o instalare bazată pe Red Hat, netstat ar trebui să fie deja instalat.

Cum să verificați încărcarea serverului

Primul lucru pe care îl vom face este să verificăm încărcarea serverului nostru. Comanda pe care o vom folosi pentru acest lucru va returna numărul de procesoare logice (fire de execuție). Pe un server, acest număr ar trebui să fie destul de mic, dar depinde de ceea ce aveți în funcțiune. Ar trebui să vă asigurați că rulați o linie de bază pentru acest număr, atunci când știți că totul este în regulă. Dacă bănuiți că se întâmplă ceva, rulați din nou verificarea firelor și comparați.

Pentru a verifica numărul de procesoare logice, lansați comanda: 

 grep processor /proc/cpuinfo | wc -l

Dacă acest număr este semnificativ mai mare decât linia de bază, este posibil să aveți o problemă.

De exemplu, pe desktop-ul meu Pop!_OS, am 16 fire de execuție, dar pe un server Ubuntu care găzduiește Nextcloud, am doar două. Dacă oricare dintre aceste numere s-ar dubla, aș putea fi supus unui atac DDoS.

Cum să verificați încărcarea rețelei

În continuare dorim să verificăm încărcarea rețelei noastre. Există o serie de instrumente cu care puteți face acest lucru, dar eu aleg nload. Pentru a instala nload, lansați comanda: 

 sudo apt-get install nload -y

În CentOS această comandă ar fi: 

 sudo apt-get install nload -y

În CentOS această comandă ar fi: 

 sudo dnf install nload -y

Pentru a rula instrumentul, pur și simplu emiteți comanda: 

 nload

Ar trebui să vedeți o sarcină de rețea de intrare și de ieșire destul de normală (figura A).

Figura A

ddosa.jpg

Nload arată o sarcină de intrare destul de scăzută pe serverul meu Nextcloud.

Dacă această sarcină este considerabil mai mare decât credeți că ar trebui să fie, este posibil să fiți atacat.

Cum să aflați ce adrese IP sunt conectate la serverul dumneavoastră

Următorul lucru pe care veți dori să-l faceți este să aflați ce adrese IP sunt conectate la serverul dumneavoastră. Pentru aceasta, vom folosi netstat în felul următor: 

 netstat -ntu|awk '{print }'|cut -d: -f1 -s|sort|uniq -c|sort -nk1 -r

La ieșirea comenzii de mai sus se va enumera fiecare adresă IP care este conectată la server și câte instanțe de la fiecare. După cum puteți vedea, am două adrese IP conectate la serverul meu (una de trei ori) (Figura B).

Figura B

ddosb.jpg

Ieșirea lui netstat care arată adresele IP conectate la serverul meu.

Asigurați-vă că vă uitați cu atenție prin această listă. Dacă vedeți o adresă IP cu un număr mare de instanțe (peste 100), probabilitatea este destul de mare ca acea adresă să fie vinovată. Odată ce sunteți sigur de vinovat, puteți interzice adresa IP cu ajutorul comenzii: 

 sudo route add ADDRESS reject

Unde ADRESA este adresa IP a suspectului.

În acest moment, reveniți și reverificați firele, adresele IP conectate și sarcinile de rețea pentru a vedea dacă ați atenuat acel atac DoS. Dacă da, este timpul să raportați adresa IP suspectă și, probabil, să o interziceți cu totul din rețeaua dvs. Data viitoare, vă voi ghida prin procesul de atenuare a unui atac DDoS.

Subscrieți-vă la TechRepublic’s How To Make Tech Work pe YouTube pentru toate cele mai recente sfaturi tehnice pentru profesioniștii din afaceri de la Jack Wallen.

Vezi și

  • Cum să devii un profesionist în domeniul securității cibernetice: A cheat sheet (TechRepublic)

  • Inginerie socială: O foaie de trucuri pentru profesioniștii din domeniul afacerilor (PDF gratuit) (TechRepublic)

  • Politica IT în umbră (TechRepublic Premium)

  • Securitatea online 101: Sfaturi pentru a vă proteja intimitatea de hackeri și spioni (ZDNet)

  • Securitatea cibernetică și războiul cibernetic: Mai multe reportaje care trebuie citite (TechRepublic on Flipboard)

linuxhero2-1.jpg
Imagine:

Lasă un răspuns

Adresa ta de email nu va fi publicată.