
Atac denial of service
In lumea virtuala, diagnosis atunci cand administrezi un server de hosting nu de putine ori esti pus in situatii dificile cauzate de atacuri informatice concertate.
Atacul de tip Denial of Service sau DDoS este o actiune colaborata a mai multor computere sau servere de internet infectate cu un anumit tip de virus (aplicatie ce lanseaza la o anumita data si ora atacul). Practic in acel moment serverul tau de hosting este vizitat de catre mii sau sute de mii de computere/servere din intreaga lume, sovaldi consumandu-i resursele acestuia. Serverul nu mai poate servi paginile de internet sau raspunde la pachetele de ping (care debicei sunt mari – 2MB per request) astfel incat procesorul este „sufocat” ne mai putand face fata cererilor asa de mari. Atacurile de acest fel sunt de mai multe feluri: atunci cand se desfasoara predominant pe portul 80 – destinat browsingului sau servirii paginilor web, viagra iar in acest caz se mai numeste si flood, sau prin trimiterea catre server de pachete ping de dimensiuni mari. Acestea sunt doar doua dintre metodele de atac.
Pentru a diagnostica din timp astfel de atacuri si a lua masuri (atunci cand se poate) puteti rula urmatoarele comenzi in consola:
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
Comanda de mai sus iti afiseaza numarul de conexiuni simultane de la fiecare IP ce viziteaza serverul. In general daca observi cateva zeci de astfel de conexiuni de la un singur IP, iar lista afisata contine cateva zeci de astfel de IP-uri atunci este clar ca esti victima unui atac.
sau
netstat -pant 2> /dev/null | grep SYN_ | awk '{print $5;}' | cut -d: -f1 | sort | uniq -c | sort -n | tail -20
Comanda de mai sus iti afiseaza top 20 IP-uri exterioare sortate dupa numarul de conexiuni ce le au cu serverul tau. Cu cat mai multe conexiuni per ip cu atat suspiciunea unui atac creste.
netstat -alpn | grep :80 | awk '{print $4}' |awk -F: '{print $(NF-1)}' |sort | uniq -c | sort -n
Comanda de mai sus iti arata cate conexiuni primeste fiecare IP din serverul tau. Este ideala atunci cand administrati un server de shared hosting cu multe conturi/domenii de internet gazduite, iar fiecare cont de hosting are propriul IP (dedicated ip)
netstat -n|grep xxx.xxx.xxx.xxx
Comanda de mai sus arata numarul de conexiuni al unui anumit IP pe serverul tau dar si porturile vizate. Este foarte utila pentru a diagnostica eventualele scanari de porturi sau tentative de acces pe porturile rezervate SSH.