Cómo comprobar rápidamente si su servidor Linux está bajo un ataque DDoS desde una única dirección IP


Jack Wallen le muestra una manera fácil de determinar si su servidor Linux está bajo un ataque DDoS y cómo detenerlo rápidamente.

<a href = "https://tr1.cbsistatic.com/hub/i/r/2020/12/01/dafbd578-eee5-42c5-8256-d864d6220a73/resize/770x/48ff6407112f98d36443e8a3c7910428/linuxhero2-1.jpg" destino = "_ blanco" componente de datos = "modalEnlargeImage" título de datos = "

"data-credit =" Imagen: Pixabay "rel =" noopener noreferrer nofollow ">linuxhero2-1.jpg

Imagen: Pixabay

Si tiene servidores Linux en su centro de datos o están alojados en un servidor en la nube (como AWS, Google Cloud o Azure), no puede asumir que, simplemente por el sistema operativo que ha implementado, son seguros. Aunque Linux es uno de los sistemas operativos más seguros del mercado, no es perfecto. De hecho, ha habido un aumento de los ataques a la plataforma, que continuarán con una tendencia ascendente a medida que Linux gane aún más popularidad.

¿Qué haces?

Cuando sospeche que uno de sus servidores podría estar bajo ataque, debe verificarlo. ¿Cómo? Le mostraré algunos comandos que pueden ayudarlo a discernir si su servidor está siendo afectado por una denegación de servicio distribuida (DDoS) proveniente de una sola dirección IP. Este tipo de ataque es un esfuerzo coordinado, utilizando una o más direcciones IP, que intenta paralizar un sitio web para hacer que su servidor sea inaccesible.

Averigüemos cómo saber si su servidor Linux es un objetivo.

VER: Política de protección contra robo de identidad (TechRepublic Premium)

Lo que necesitarás

Lo único que necesitará para esto es una instancia de Linux y un usuario con privilegios de sudo. Estaré demostrando en Ubuntu Server 20.04.

Cómo instalar netstat

Usaremos la herramienta netstat para averiguar qué direcciones IP están conectadas actualmente a su servidor. Para instalar netstat en Ubuntu, en realidad instala net-tools, así:

sudo apt-get install net-tools -y

Si está utilizando CentOS o una instalación basada en Red Hat, netstat ya debería estar instalado.

Cómo comprobar la carga de su servidor

Lo primero que vamos a hacer es comprobar la carga de nuestro servidor. El comando que usaremos para esto devolverá el número de procesadores lógicos (subprocesos). En un servidor, este número debería ser bastante bajo, pero depende de lo que tenga en ejecución. Debe asegurarse de ejecutar una línea de base para este número, cuando sepa que todo está bien. Si sospecha que algo está sucediendo, vuelva a ejecutar la verificación del hilo y compárelo.

Para verificar el número de procesadores lógicos, emita el comando:

grep processor /proc/cpuinfo | wc -l

Si ese número es significativamente más alto que su línea de base, es posible que tenga un problema.

Por ejemplo, en mi escritorio Pop! _OS, tengo 16 subprocesos, pero en un servidor Ubuntu que aloja Nextcloud, solo tengo dos. Si cualquiera de esos números se duplicara, podría estar bajo un ataque DDoS.

Cómo verificar la carga de su red

A continuación, queremos comprobar la carga de nuestra red. Hay varias herramientas con las que puedes hacer esto, pero yo elijo nload. Para instalar nload, emita el comando:

sudo apt-get install nload -y

En CentOS, ese comando sería:

sudo dnf install nload -y

Para ejecutar la herramienta, simplemente emita el comando:

nload

Debería ver una carga de red entrante y saliente bastante normal (Figura A).

Figura A

<a href = "https://tr3.cbsistatic.com/hub/i/r/2021/01/07/1cdcdd02-9ecf-42cf-ab20-aa157333c98a/resize/770x/d6513350982e4aa6957a235bd576c52b/ddosa.jpg" target = " _blank "componente de datos =" modalEnlargeImage "título de datos ="

Nload muestra una carga entrante bastante baja en mi servidor Nextcloud.

"data-credit =" "rel =" noopener noreferrer nofollow ">ddosa.jpg "src =" https://tr3.cbsistatic.com/hub/i/r/2021/01/07/1cdcdd02-9ecf-42cf-ab20-aa157333c98a/resize/770x/d6513350982e4aa6957a235bd576c52b/ddosa.jpg

Nload muestra una carga entrante bastante baja en mi servidor Nextcloud.

Si esa carga es considerablemente más alta de lo que cree que debería ser, podría estar bajo ataque.

Cómo averiguar qué direcciones IP están conectadas a su servidor

Lo siguiente que querrá hacer es averiguar qué direcciones IP están conectadas a su servidor. Para esto, usaremos netstat así:

netstat -ntu|awk 'print $5'|cut -d: -f1 -s|sort|uniq -c|sort -nk1 -r

La salida del comando anterior enumerará cada dirección IP que está conectada al servidor y cuántas instancias de cada una. Como puede ver, tengo dos direcciones IP que se conectan a mi servidor (una tres veces) (Figura B).

Figura B

<a href = "https://tr1.cbsistatic.com/hub/i/r/2021/01/07/79bc3c2b-8f98-4997-aa0a-d17399f3ab18/resize/770x/dc5da557d6903c293546988a510eade1/ddosb.jpg" target = " _blank "componente de datos =" modalEnlargeImage "título de datos ="

La salida de netstat que muestra las direcciones IP conectadas a mi servidor.

"data-credit =" "rel =" noopener noreferrer nofollow ">ddosb.jpg "src =" https://tr1.cbsistatic.com/hub/i/r/2021/01/07/79bc3c2b-8f98-4997-aa0a-d17399f3ab18/resize/770x/dc5da557d6903c293546988a510eade1/ddosb.jpg

La salida de netstat que muestra las direcciones IP conectadas a mi servidor.

Asegúrese de leer detenidamente esta lista. Si ve una dirección IP con una gran cantidad de instancias (más de 100), la probabilidad de que la dirección sea la culpable es bastante alta. Una vez que esté seguro del culpable, puede prohibir la dirección IP con el comando:

sudo route add ADDRESS reject

Donde DIRECCIÓN es la dirección IP del sospechoso.

En este punto, regrese y vuelva a verificar sus hilos, direcciones IP conectadas y cargas de red para ver si ha mitigado ese ataque DDoS. Si es así, es hora de informar la dirección IP sospechosa y probablemente prohibirla por completo en su red.

Suscríbase a Cómo hacer que la tecnología funcione en YouTube de TechRepublic para obtener los últimos consejos tecnológicos para profesionales de negocios de Jack Wallen.

Ver también



Enlace a la noticia original