Como verificar rapidamente se o seu servidor Linux está sob um ataque DoS a partir de um único endereço IP

Jack Wallen mostra uma maneira fácil de determinar se seu servidor Linux está sob um ataque DDoS e como pará-lo rapidamente.

Se você possui servidores Linux em seu data center ou eles estão hospedados em um servidor em nuvem (como AWS, Google Cloud ou Azure), não pode presumir, simplesmente por causa do sistema operacional implantado, que eles sejam seguros. Embora o Linux seja um dos sistemas operacionais mais seguros do mercado, ele não é perfeito. De fato, houve um aumento de ataques na plataforma, que continuará a aumentar à medida que o Linux ganha ainda mais popularidade.

O que você faz?

Quando você suspeitar que um de seus servidores pode estar sob ataque, você precisa verificá-lo. Mas como? Neste artigo, mostrarei alguns comandos que podem ajudá-lo a discernir se o seu servidor está sendo atingido por um ataque de negação de serviço (DoS), que vem de um único endereço IP e tenta paralisar um site para renderizar seu servidor inível. Há outra forma desse ataque, a negação de serviço distribuída (DDoS), que vem de várias fontes.

Vamos descobrir como saber se o seu servidor Linux é alvo de um ataque DoS.

VEJO: Política de proteção contra roubo de identidade (TechRepublic )

O que você precisará

As únicas coisas que você precisa para isso é uma instância do Linux e um usuário com privilégios sudo. Estarei demonstrando no Ubuntu Server 20.04.

como instalar netstat

Vamos usar a ferramenta netstat para descobrir quais endereços IP estão atualmente conectados ao seu servidor. Para instalar o netstat no Ubuntu, você realmente instala o net-tools, assim:

sudo apt-get install net-tools -y

Se você estiver usando CentOS ou uma instalação baseada em Red Hat, o netstat já deve estar instalado.

Como verificar a carga do servidor

A primeira coisa que vamos fazer é verificar a carga do nosso servidor. O comando que usaremos para isso retornará o número de processadores lógicos (threads). Em um servidor, esse número deve ser bastante baixo, mas depende do que você está executando. Você deve certificar-se de executar uma linha de base para esse número, quando souber que está tudo bem. Se você suspeitar que algo está acontecendo, execute a verificação de thread novamente e compare-a.

Para verificar o número de processadores lógicos, emita o comando:

processador grep /proc/uinfo | wc -l

Se esse número for significativamente maior do que sua linha de base, você pode ter um problema.

Por exemplo, no meu desktop Pop!_OS, tenho 16 threads, mas em um servidor Ubuntu que hospeda o Nextcloud, tenho apenas dois. Se qualquer um desses números dobrar, eu poderia estar sob um ataque DDoS.

Como verificar sua carga de rede

Em seguida, queremos verificar nossa carga de rede. Existem várias ferramentas com as quais você pode fazer isso, mas eu escolho nload. Para instalar o nload, emita o comando:

sudo apt-get install nload -y

No CentOS esse comando seria:

sudo dnf install nload -y

Para executar a ferramenta, basta emitir o comando:

carregar

Você deve ver uma carga de rede de entrada e saída bastante normal (Figura A).

Figura A

Se essa carga for consideravelmente maior do que você acredita que deveria ser, você pode estar sob ataque.

Como descobrir quais endereços IP estão conectados ao seu servidor

A próxima coisa que você vai querer fazer é descobrir quais endereços IP estão conectados ao seu servidor. Para isso, usaremos o netstat assim:

netstat -ntu|awk ‘{print $5}’|cut -d: -f1 -s|sort|uniq -c|sort -nk1 -r

A saída do comando acima listará cada endereço IP conectado ao servidor e quantas instâncias de cada um. Como você pode ver, eu tenho dois endereços IP conectando ao meu servidor (um três vezes) (Figura B).

Figura B

Certifique-se de olhar através desta lista com cuidado. Se você vir um endereço IP com um grande número de instâncias (mais de 100), a probabilidade é muito alta de que o endereço seja o culpado. Depois de ter certeza do culpado, você pode banir o endereço IP com o comando:

sudo rota adicionar ADDRESS rejeitar

Onde ADDRESS é o endereço IP do suspeito.

Neste ponto, volte e verifique novamente seus encadeamentos, endereços IP conectados e cargas de rede para ver se você atenuou esse ataque DoS. Em caso afirmativo, é hora de relatar o endereço IP suspeito e provavelmente bani-lo completamente da sua rede. Da próxima vez, vou orientá-lo no processo de mitigação de um ataque DDoS.