На ваш сервер поступает нерегулярно большой объем трафика. Настолько сильно, что ваш сервер замедляется, а другие клиенты теряют таймаут, пытаясь получить к нему доступ. Похоже, вы подверглись DDoS-атаке. DDoS, или распределенный отказ в обслуживании, - это особый способ атаки и дестабилизации сервера путем наводнения его трафиком из одного или нескольких источников.
На сервере Linux вы можете идентифицировать множество соединений, переполняющих ваш сервер, с помощью утилиты netstat.
$ netstat -ntu | awk '{print $ 5}' | вырезать -d: -f1 | сортировать | uniq -c | sort -nr | голова -3
Обычно существует два типа DDoS-атак. Первый тип переполняет ваше входящее сетевое соединение, что мешает действительным клиентам, пытающимся подключиться. Другой тип - это когда атаки нацелены на конкретную службу, например, на ваш почтовый сервер, который в конечном итоге либо останавливается из-за увеличения нагрузки на сервер, либо начинает полностью отклонять все входящие запросы. Обычно DDoS-атака осуществляется через бот-сети - большое количество независимых компьютеров и серверов, которые были скомпрометированы и вынуждены работать вместе для наводнения целевых сетей.
Когда вы подвергаетесь такой атаке, сложно - если не невозможно - подключиться к вашему серверу удаленно. Вместо этого используйте резервные соединения, такие как IPMI / KVM. Вы можете проанализировать трафик и его источники с помощью tshark, tcpdump или iftop.
Большинство хостинг-провайдеров обычно просто добавляют зараженные серверы в «черную дыру», где они просто отбрасывают все входящие пакеты, настаивая при этом на добавлении служб защиты от DDoS-атак, таких как CloudFlare, Akamai или что-то подобное. Рекомендуется подготовить эти службы заранее, а также связаться с вашим хостинг-провайдером для обсуждения защиты от DDoS-атак.
Распространенная превентивная тактика - использовать прокси или серверы CDN, чтобы скрыть ваш реальный IP-адрес от общественности. Вы можете настроить свой сервер так, чтобы он принимал запросы на ваш IP-адрес только с других доверенных адресов, при этом остальная часть вашего трафика проходит через прокси. Это служит двойной цели, а также защищает вас от угроз, которые пытаются обойти ваш прокси.
Вы можете использовать такие утилиты, как Uptime, W или PS, чтобы проверить, не является ли целевой процесс только одним процессом.
Проверка файлов журналов - хороший ход, поскольку они часто могут содержать следы серверов, с которых исходят атаки, их подсетей и пользовательских агентов, используемых для выполнения запросов к этим серверам. Тем не менее, важно использовать отдельные утилиты для анализа файлов журналов, такие как Head, Tail, Grep или Less, поскольку открытие всего файла журнала сразу может еще больше задержать вашу уже существующую систему.
Например, если у вас есть веб-сервер на базе Nginx, который получает большое количество запросов со строкой WordPress, отображаемой в пользовательском агенте, вы можете заблокировать все эти запросы с помощью всего одной строки скрипта.
если ($ http_user_agent ~ WordPress) {return 444; }
Вы можете сделать то же самое с помощью iptables, ipset или Fail2ban.
# iptables -A INPUT -p tcp --dport 80 -m string --algo bm --string "WordPress" -j DROP
Для пользователей, менее опытных в использовании таких инструментов, как IPTables, это может быть немного сложно. Если вы используете сервер Nginx, вы можете использовать модуль ngx_http_limit_req_module (удобное имя, я знаю), который позволит вам ограничить количество запросов в секунду, которые ваш сервер будет обрабатывать с определенных IP-адресов.
Подобные атаки могут также использовать уязвимости, которые могут возникнуть при неправильной настройке программного обеспечения, например, когда речь идет о таких вещах, как усиление DNS и NTP. В этом случае очень уместно будет переустановить и перенастроить указанное программное обеспечение, убедитесь, что установлены последние исправления, и будьте особенно осторожны во время установки. В некоторых случаях уязвимости возникают, когда программное обеспечение и службы перестают использоваться, но продолжают работать; разрешение посторонних путей доступа к вашей системе. Не забывайте останавливать и удалять неиспользуемое программное обеспечение и службы, что не менее важно для предотвращения и остановки атак.
Ваш сервер выглядит довольно медленным, это может быть связано со многими причинами из-за неправильных конфигураций, сценариев и изворотливого оборудования, но иногда это может быть связано с тем, что кто-то наводняет ваш сервер трафиком, известным как DoS (отказ в обслуживании) или DDoS (распределенный отказ в обслуживании).
Атака отказа в обслуживании (DoS-атака) или распределенная атака типа «отказ в обслуживании» (DDoS-атака) - это попытка сделать машину или сетевой ресурс недоступными для предполагаемых пользователей. Эта атака обычно нацелена на сайты или службы, размещенные на известных веб-серверах, таких как банки, платежные шлюзы кредитных карт и даже корневые серверы имен. DoS-атаки реализуются либо путем принудительной перезагрузки целевого компьютера, либо путем потребления его ресурсов, чтобы он больше не мог предоставлять свои услуги, либо путем создания препятствий для средств связи между пользователями и жертвой, чтобы они больше не могли адекватно общаться.
В этой небольшой статье вы увидите, как проверить, не атакован ли ваш сервер из терминала Linux, с помощью команды netstat.
На странице руководства netstat «netstat - Печать сетевых подключений, таблиц маршрутизации, статистики интерфейсов, маскарадных подключений и многоадресного членства
Некоторые примеры с объяснением
netstat -na |
Это отображает все активные Интернет-соединения с сервером, и включены только установленные соединения.
netstat -an | grep :80 | sort |
Показывать только активные интернет-соединения с сервером на 80-м порту, это порт http, поэтому он может быть полезен, если у вас есть веб-сервер, и отсортируйте результаты. Полезно при обнаружении одного флуда, позволяя распознавать множество соединений, исходящих с одного IP-адреса.
netstat -n -p|grep SYN_REC | wc -l |
Эта команда полезна, чтобы узнать, сколько активных SYNC_REC происходит на сервере. Число должно быть довольно низким, желательно меньше 5. В случае DoS-атак или почтовых бомб число может возрасти до довольно высокого. Однако значение всегда зависит от системы, поэтому высокое значение может быть средним на другом сервере.
netstat -n -p | grep SYN_REC | sort -u |
Перечислите все задействованные IP-адреса, а не просто подсчитайте.
netstat -n -p | grep SYN_REC | awk '{print $5}' | awk -F: '{print $1}' |
Перечислите все уникальные IP-адреса узла, отправляющего статус соединения SYN_REC.
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n |
Используйте команду netstat для расчета и подсчета количества подключений каждого IP-адреса к серверу.
netstat -anp |grep 'tcp|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n |
Перечислить количество подключений, которые IP-адреса подключены к серверу по протоколу TCP или UDP.
netstat -ntu | grep ESTAB | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr |
Отметьте УСТАНОВЛЕННЫЕ соединения вместо всех соединений и отобразите количество соединений для каждого IP-адреса.
netstat -plan|grep :80|awk {'print $5'}|cut -d: -f 1|sort|uniq -c|sort -nk 1 |
Показать и перечислить IP-адрес и его количество подключений, которые подключаются к порту 80 на сервере. Порт 80 используется в основном запросом веб-страницы HTTP.
How to mitigate a DOS attack
После того, как вы нашли IP-адрес, который атакует ваш сервер, вы можете использовать следующие команды, чтобы заблокировать их соединение с вашим сервером:
iptables -A INPUT 1 -s $IPADRESS -j DROP/REJECT |
Источник: