كيفية التحقق إذا كان سرفرك تحت هجوم DDoS؟

0

هناك العديد من الوسائل لتنفيذ هجمات DDoS ، بدءًا من فيضان HTTP إلى اتصالات Slowloris العالقة. على الرغم من اختلافها على نطاق واسع في أساليبها ، [كلها] تحتاج إلى اتصالات بخادمك ؛ والكثير منهم. والخبر السار هو أنه يمكن اكتشاف معظم الهجمات باستخدام بعض الأوامر البسيطة ، والتي لا تشير فقط إلى حدوث DDoS ولكنها توفر أيضًا المعلومات التي يمكنك استخدامها للمساعدة في تخفيف هذه الهجمات.

بعد معرفة الايبي المهاجم يمكنك حظره من جدار الحماية الطريقة هنا

تهدف هجمات “رفض الخدمة الموزعة” ، في معظمها ، إلى هدف واحد – ألا وهو الوصول إلى خادمك. لقد صُممت الهجمات لتزيد من مواردك ، وتستهلك جميع الاتصالات / النطاق الترددي / الإنتاجية المتاحة ، وتوقف عمل الخادم بشكل عام. للقيام بذلك بسهولة ، تعتبر فيضانات الاتصال من الأمور الأساسية. توفير خادم به اتصالات أكثر مما يمكنه التعامل معه (حتى الخوادم القلبية لا تستطيع معالجة عدد الاتصالات التي يمكن أن تقدمها DDoS) ، ويبدأ حدوث بعض أو كل ما سبق. ولكن نظرًا لأنها اتصالات مباشرة ، فلديك القدرة على رؤية هذه الاتصالات.

الأول هو إلقاء نظرة على الحمل في الخادم الخاص بك. شيء بسيط مثل الجهوزية أو الأوامر العليا يمنحك فكرة جيدة عن تحميل الخادم. ما هو الحمل المقبول؟ يعتمد ذلك على موارد وحدة المعالجة المركزية الخاصة بك (مؤشرات الترابط المتوفرة) ولكن القاعدة الشائعة هي نقطة واحدة لكل مؤشر ترابط

يمكنك العثور على ذلك باستخدام الأمر grep processor / proc / cpuinfo | wc -l الذي سيعود عدد المعالجات المنطقية ، أو المواضيع. أثناء DDoS ، قد ترى الحمل مزدوجًا أو ثلاثيًا أو أكثر ، فوق الحمل الأقصى الذي يجب أن يكون لديك.

grep processor /proc/cpuinfo | wc -l
 uptime

تمامًا كما هو الحال عند القيادة ، سيكون محرك الأقراص من A إلى B بطيئًا إذا كان هناك الكثير من الحركة. على عكس ما سبق ، في بعض الأحيان سيرد خادمك جيدًا عبر اتصال خلفي مثل IPMI ، ولكن يكون بطيئًا عند الاتصال عبر واجهة عامة. ستحتاج إلى التحقق من حركة مرور الشبكة الخاصة بك ، ويمكنك ذلك باستخدام إحدى الأدوات المتعددة. تتضمن هذه القائمة nload ، bmon ، iftop ، vnstat ، ifstat … يعتمد ذلك على نظام التشغيل الخاص بك ولكن يمكن تثبيتها جميعًا عبر مدير الحزم (apt ، yum ، إلخ.)

نظرًا لأن معظم هذه الهجمات تحتاج إلى اتصالات بخادمك ، فيمكنك التحقق من عدد وعناوين بروتوكول الإنترنت IP المتصلة بالخادم الخاص بك. Netstat هو أمر يمكن أن يوفر كل أنواع التفاصيل. نحن مهتمون فقط بـ IPs ، وعدد IPs ، وربما الشبكات الفرعية التي ينتمون إليها. دعونا نلقي نظرة على كيفية رؤية هذه.

المزيد من المشاركات

سيُظهر الأمر الأول قائمة تنازلية لماهية عناوين IP المتصلة وعدد الاتصالات لكل منها. سترى في أي مكان من 1 إلى حوالي 50 لكل عنوان IP ، وقد يكون هذا شائعًا جدًا لحركة المرور العادية. قد ترى البعض مع 100+ اتصال ، وهذا شيء لتدقيق.

قد ترى عناوين IP معروفة أو واحدًا أو أكثر من عناوين IP الخاصة بالخادم أو حتى IP الخاص بك مع العديد من الاتصالات. يمكن تجاهل هذه في معظم الأحيان ، لأنها موجودة بشكل طبيعي. يجب أن تشعر بالقلق عندما ترى عناوين IP فردية مع مئات أو آلاف الاتصالات ، لأن هذا جيد جدًا يمكن أن يكون علامة على الهجوم

netstat -ntu|awk '{print $5}'|cut -d: -f1 -s|sort|uniq -c|sort -nk1 -r

بعد ذلك ، ماذا تفعل إذا كان لديك العديد من عناوين IP مع اتصال واحد فقط؟ إذا كنت ترى منهم قادمون من نفس الشبكة الفرعية (مشترك هو نفسه / 16 أو / 24)؟ قد يكون من الصعب رؤية كل هذه الروابط الفردية ومعرفة ما إذا كان هناك هجوم. يمكنك استخدام الأمرين التاليين لسرد الشبكات الفرعية التي تحتوي على عناوين IP المتصلة ، وعدد عناوين IP الموجودة في هذه الشبكة الفرعية.

البحث عن عناوين IP من شبكة فرعية / 16 (xxx.xxx.0.0):

netstat -ntu|awk '{print $5}'|cut -d: -f1 -s |cut -f1,2 -d'.'|sed 's/$/.0.0/'|sort|uniq -c|sort -nk1 -r

البحث عن عناوين IP من شبكة فرعية / 24 (xxx.xxx.xxx.0):

netstat -ntu|awk '{print $5}'|cut -d: -f1 -s |cut -f1,2,3 -d'.'|sed 's/$/.0/'|sort|uniq -c|sort -nk1 -r

هذه ليست سوى عدد قليل من الأدوات المتاحة للتحقق من الهجمات المحتملة. وعلى الرغم من وجود أدوات أكثر تقدماً لاستخدامها ، إلا أنها يمكن أن توفر نتائج سريعة وسهلة الوصول لمعرفة ما إذا كنت قد تواجه هجومًا على DDoS. المعلومات التي يقدمونها مفيدة حتى عندما لا تتعرض للهجوم ، ويمكن أن يساعدك التعرف عليها ونتائجها على تعزيز “مجموعة أدوات المسؤول” الخاصة بك.

المصدر: https://www.hivelocity.net/kb/how-to-check-if-your-linux-server-is-under-ddos-attack/

اترك رد

لن يتم نشر عنوان بريدك الإلكتروني.