btzgrp
  • エンタープライズストレージ向けオープンソースソリューション5選 - TechRepublic
Headlines

Linuxサーバーが単一のIPアドレスからDoS攻撃を受けているかどうかを素早く確認する方法 - TechRepublic

05 mins
Linuxサーバーが単一のIPアドレスからDoS攻撃を受けているかどうかを素早く確認する方法 - TechRepublic

データセンターにLinuxサーバーを設置している場合、あるいはクラウドサーバー(AWS、Google Cloud、Azureなど)でホストされている場合、導入しているオペレーティングシステムが安全だからといって、必ずしも安全であるとは限らない。Linuxは市場で最も安全なオペレーティングシステムの一つではあるが、完璧ではない。実際、このプラットフォームに対する攻撃は増加傾向にあり、Linuxの人気が高まるにつれて、この傾向は今後も続くだろう。

職業はなんですか?

サーバーの1つが攻撃を受けている疑いがある場合は、確認する必要があります。しかし、どのように確認すればよいのでしょうか?この記事では、サーバーがサービス拒否(DoS)攻撃を受けているかどうかを判断するのに役立つコマンドをいくつか紹介します。DoS攻撃は、単一のIPアドレスからウェブサイトを機能停止させ、サーバーにアクセスできない状態にする攻撃です。この攻撃には、複数のソースから攻撃される分散型サービス拒否(DDoS)という別の形態もあります。

Linux サーバーが DoS 攻撃の標的になっているかどうかを確認する方法を見てみましょう。

参照:個人情報盗難保護ポリシー(TechRepublic Premium)

必要なもの

必要なのはLinuxインスタンスとsudo権限を持つユーザーだけです。Ubuntu Server 20.04でデモを行います。

netstatのインストール方法

netstatツールを使用して、現在サーバーに接続されているIPアドレスを確認します。Ubuntuにnetstatをインストールするには、net-toolsを以下のようにインストールします。

sudo apt-get install net-tools -y

CentOS または Red Hat ベースのインストールを使用している場合は、netstat はすでにインストールされているはずです。

サーバーの負荷を確認する方法

まず最初に、サーバーの負荷を確認します。このために使用するコマンドは、論理プロセッサ(スレッド)の数を返します。サーバー上では、この数値はかなり低いはずですが、実行している内容によって異なります。すべてが正常であることが確認できたら、この数値のベースラインを必ず実行してください。何か問題が発生していると思われる場合は、スレッドチェックを再度実行して比較してください。

論理プロセッサの数を確認するには、次のコマンドを発行します。

grep processor /proc/cpuinfo | wc -l

その数値がベースラインよりも大幅に高い場合は、問題がある可能性があります。

例えば、私のPop!_OSデスクトップではスレッドが16個ありますが、NextcloudをホストしているUbuntu Serverではスレッドが2個しかありません。どちらかのスレッド数が倍になると、DDoS攻撃を受ける可能性があります。

ネットワーク負荷を確認する方法

次に、ネットワーク負荷を確認します。これにはいくつかのツールがありますが、ここではnloadを使用します。nloadをインストールするには、以下のコマンドを実行します。

sudo apt-get install nload -y

CentOS ではそのコマンドは次のようになります。

sudo dnf install nload -y

ツールを実行するには、次のコマンドを発行するだけです。

nload

受信および送信ネットワーク負荷はほぼ正常であることがわかります (図 A )。

図A

Nload は、Nextcloud サーバー上の着信負荷がかなり低いことを示しています。

その負荷が想定よりもかなり高い場合、攻撃を受けている可能性があります。

サーバーに接続されているIPアドレスを確認する方法

次に、サーバーに接続されているIPアドレスを確認します。netstatコマンドを以下のように使用します。

netstat -ntu|awk '{print $5}'|cut -d: -f1 -s|sort|uniq -c|sort -nk1 -r

上記のコマンドの出力には、サーバーに接続している各IPアドレスと、それぞれのインスタンス数が一覧表示されます。ご覧のとおり、2つのIPアドレスがサーバーに接続しています(1つは3回接続)。(図B)。

図B

サーバーに接続されている IP アドレスを示す netstat の出力。

このリストをよく確認してください。インスタンス数が多い(100を超える)IPアドレスを見つけた場合、そのアドレスが原因である可能性が非常に高くなります。原因が特定できたら、次のコマンドでそのIPアドレスを禁止できます。

sudo route add ADDRESS reject

ここで、ADDRESS は容疑者の IP アドレスです。

この時点で、スレッド、接続されたIPアドレス、ネットワーク負荷を再確認し、DoS攻撃が軽減されたかどうかを確認してください。軽減された場合は、疑わしいIPアドレスを報告し、ネットワークから完全にアクセスを禁止する必要があります。次回は、DDoS攻撃を軽減するプロセスについて説明します。

Jack Wallen によるビジネス プロフェッショナル向けの最新のテクノロジー アドバイスをすべて知るには、YouTube で TechRepublic の How To Make Tech Work を購読してください。


画像: ジャック・ウォーレン
Tagged:

Related News