Jack Wallen le muestra una manera fácil de determinar si su servidor Linux está bajo un ataque DDoS y cómo detenerlo rápidamente.
Lo que necesitarás
Lo único que necesitará para esto es una instancia de Linux y un usuario con privilegios de sudo. Estaré demostrando en Ubuntu Server 20.04.
Cómo instalar netstat
Usaremos la herramienta netstat para averiguar qué direcciones IP están conectadas actualmente a su servidor. Para instalar netstat en Ubuntu, en realidad instala net-tools, así:
sudo apt-get install net-tools -y
Si está utilizando CentOS o una instalación basada en Red Hat, netstat ya debería estar instalado.
Cómo comprobar la carga de su servidor
Lo primero que vamos a hacer es comprobar la carga de nuestro servidor. El comando que usaremos para esto devolverá el número de procesadores lógicos (subprocesos).
En un servidor, este número debería ser bastante bajo, pero depende de lo que tenga en ejecución. Debe asegurarse de ejecutar una línea de base para este número, cuando sepa que todo está bien.
Si sospecha que algo está sucediendo, vuelva a ejecutar la verificación del hilo y compárelo.
Para verificar el número de procesadores lógicos, emita el comando:
grep processor /proc/cpuinfo | wc -l
Si ese número es significativamente más alto que su línea de base, es posible que tenga un problema.
Por ejemplo, en mi escritorio Pop! _OS, tengo 16 subprocesos, pero en un servidor Ubuntu que aloja Nextcloud, solo tengo dos. Si cualquiera de esos números se duplicara, podría estar bajo un ataque DDoS.
Cómo verificar la carga de su red
A continuación, queremos comprobar la carga de nuestra red. Hay varias herramientas con las que puedes hacer esto, pero yo elijo nload. Para instalar nload, emita el comando:
sudo apt-get install nload -y
En CentOS, ese comando sería:
sudo dnf install nload -y
Para ejecutar la herramienta, simplemente emita el comando:
nload
Debería ver una carga de red entrante y saliente bastante normal (Figura A).
Figura A
Nload muestra una carga entrante bastante baja en mi servidor Nextcloud.
Si esa carga es considerablemente más alta de lo que cree que debería ser, podría estar bajo ataque.
Cómo averiguar qué direcciones IP están conectadas a su servidor
Lo siguiente que querrá hacer es averiguar qué direcciones IP están conectadas a su servidor. Para esto, usaremos netstat así:
netstat -ntu|awk '{print $5}'|cut -d: -f1 -s|sort|uniq -c|sort -nk1 -r
La salida del comando anterior enumerará cada dirección IP que está conectada al servidor y cuántas instancias de cada una. Como puede ver, tengo dos direcciones IP que se conectan a mi servidor (una tres veces) (Figura B).
Figura B
La salida de netstat que muestra las direcciones IP conectadas a mi servidor.
Asegúrese de leer detenidamente esta lista. Si ve una dirección IP con una gran cantidad de instancias (más de 100), la probabilidad de que la dirección sea la culpable es bastante alta. Una vez que esté seguro del culpable, puede prohibir la dirección IP con el comando:
sudo route add ADDRESS reject
Donde DIRECCIÓN es la dirección IP del sospechoso.
En este punto, regrese y vuelva a verificar sus hilos, direcciones IP conectadas y cargas de red para ver si ha mitigado ese ataque DoS. Si es así, es hora de informar la dirección IP sospechosa y probablemente prohibirla por completo en su red. La próxima vez, lo guiaré a través del proceso de mitigación de un ataque DDoS.