如果你的数据中心里有Linux服务器,或者你使用的其他云服务商的机器,你不能仅仅因为你部署的操作系统就认为它们是安全的。虽说Linux是市场上最安全的操作系统之一,但也不是百分百完美。事实上,该平台上的攻击事件一直在上升,随着Linux的进一步普及,这种攻击将继续呈上升趋势。
当你怀疑你的一台服务器可能受到攻击时,你需要对它进行检查。今天我将向您介绍几个命令,它们可以帮助你辨别你的服务器是否正受到来自单个IP地址的分布式拒绝服务(DDoS)的攻击。
让我们来看看如何判断你的Linux服务器是不是被攻击的目标。
首先,你需要一个Linux实例,并且具有sudo权限的帐号。我将在Ubuntu服务器20.04上进行演示。
如何安装netstat
我们将使用netstat工具来找出当前连接到服务器的IP地址。要在Ubuntu上安装netstat,你需要安装net-tools,如下命令。
sudo apt-get install net-tools -y
如果你使用的是CentOS或基于Red Hat的安装,netstat应该已经安装好了。
如何检查你的服务器负载
我们要做的第一件事是检查我们的服务器负载。我们将使用的命令将返回逻辑处理器(线程)的数量。在服务器上,这个数字应该是相当低的,但这取决于你有什么运行。当你知道一切正常的时候,你应该确保为这个数字运行一个基线。如果你怀疑有什么事情发生,再次运行线程检查并进行比较。
要检查逻辑处理器的数量,请发出命令。
grep processor /proc/cpuinfo | wc -l
如果这个数字明显高于你的基线,可能有问题。
例如,在我的Pop!_OS桌面上,我有16个线程,但在托管云服务商的Ubuntu服务器上, 只有两个。如果这些数字中的任何一个翻倍,可能就正在受到DDoS攻击。
如何检查你的网络负载
接下来我们要检查我们的网络负载。有很多工具可以做到这一点,但我选择nload。要安装nload,请发布命令。
sudo apt-get install nload -y.
在CentOS上,这个命令是
sudo dnf install nload -y
要运行该工具,只需发出命令。
nload
你应该可以看到一个相当正常的进出网络负载(图A)。
如果该负载比你认为应该的负载高得多,你可能受到了攻击。
如何找出连接到你的服务器的IP地址?
接下来你要做的是找出连接到你的服务器的IP地址。为此,我们将使用netstat。
netstat -ntu|awk \'{print $5}\'|cut -d: -f1 -s|sort|uniq -c|sort -nk1 -r
上面命令的输出将列出每个连接到服务器的IP地址,以及每个IP地址的连接多少个实例。
一定要仔细查看这个列表,找到异常的IP地址,然后可以用命令禁止这个IP地址。
sudo route add ADDRESS reject
其中ADDRESS是异常的IP地址。
此时,返回并重新检查线程,连接的IP地址和网络负载,以查看是否减轻了DDoS攻击。如果是这样,该是时候报告可疑的IP地址,并完全禁止其访问自己的网络。