Cara Memeriksa Serangan DDoS di Server Linux
Artikel ini akan menunjukkan kepada Anda cara memeriksa server Linux Anda dari serangan DDoS dan menawarkan tip respons cepat.
Apa Itu Serangan DDoS?
DDoS adalah serangan di mana aktor jahat menghabiskan semua sumber daya server yang tersedia dengan membanjiri jaringan dengan permintaan. Berbeda dengan serangan DoS ( D enial of S ervice) standar , DDoS :
- Menggunakan beberapa perangkat terdistribusi , biasanya dimiliki oleh orang yang tanpa disadari peralatannya telah diretas.
- Menargetkan beberapa perangkat dan protokol jaringan , bukan hanya titik akhir jaringan.
Di bawah ini adalah tiga jenis utama serangan DDoS.
- Lapisan aplikasi DDoS (Serangan lapisan 7). Berfokus pada perangkat lunak yang mendukung server, seperti server web Apache dan Nginx . Jenis DDoS ini adalah yang paling umum.
- Protokol DDoS . Menargetkan OS dan firewall pada perangkat jaringan penting.
- DDoS volumetrik . Menghasilkan lalu lintas dalam jumlah besar untuk menghabiskan bandwidth dan throughput server yang tersedia .
Bagaimana Cara Memeriksa Serangan DDoS di Server Linux?
Aktor jahat menggunakan jalur jaringan standar untuk melakukan serangan DDoS. Oleh karena itu, mendeteksi serangan dengan memantau lalu lintas jaringan Anda untuk mencari koneksi yang tidak biasa seringkali sederhana. Bagian berikut mencantumkan cara paling sederhana untuk memeriksa apakah server Anda mengalami serangan DDoS.
Periksa Beban Server
Periksa beban rata-rata server dengan uptimeperintah:
Tiga nilai yang ditampilkan di bawah load averagemewakili beban rata-rata masing-masing selama satu menit , lima menit , dan lima belas menit .
Nomor referensi praktis untuk beban server yang dapat diterima adalah jumlah thread yang tersedia di server. Muatan yang sama atau lebih besar dari jumlah thread mungkin menunjukkan aktivitas tinggi yang mencurigakan.
Masukkan perintah berikut untuk memeriksa jumlah thread yang tersedia di server Anda:
Dalam contoh ini, server memiliki 2thread yang tersedia. Beban rata-rata yang lebih tinggi 2menunjukkan beban server yang luar biasa tinggi.
Periksa Beban Jaringan
Jika server Anda lambat namun tetap dapat diakses melalui koneksi langsung (misalnya melalui IPMI ), gunakan salah satu alat di bawah ini untuk memeriksa beban jaringan Anda.
Catatan : Untuk menginstal salah satu utilitas di bawah ini, gunakan sistem manajemen paket distribusi Anda. Misalnya, gunakan APT pada sistem berbasis Debian:
sial
bmon adalah monitor bandwidth dan penduga laju yang dirancang agar mudah digunakan dan menyediakan visualisasi data sederhana dalam lingkungan berbasis teks.
Untuk memulai bmon, ketik:
Navigasikan ke antarmuka yang ingin Anda periksa dengan tombol panah atas atau bawah pada keyboard Anda.
bmon menyajikan informasi real-time dalam berbagai kategori. Jelajahi kategori dengan menekan tombol panah kiri atau kanan .
tidak memuat
Utilitas nload membantu memantau lalu lintas jaringan dan penggunaan bandwidth secara real-time. Mulai nload dengan mengetik:
Tekan tombol panah kiri atau kanan untuk menavigasi ke antarmuka yang ingin Anda pantau. Utilitas ini menampilkan rincian lalu lintas jaringan masuk dan keluar untuk antarmuka yang dipilih.
vnStat
Seperti nload, vnStat adalah utilitas pemantauan lalu lintas. Manfaat vnStat adalah ia menyimpan log lalu lintas jaringan per jam, harian, dan bulanan untuk antarmuka tertentu.
Akses vnStat dengan mengetik:
Utilitas ini mencantumkan semua antarmuka yang tersedia secara default.
iftop
Utilitas iftop menampilkan daftar koneksi jaringan dan informasi jaringan terkait dalam format yang mudah digunakan. Secara default, daftar ini disusun berdasarkan penggunaan bandwidth.
Mulai iftop dengan perintah berikut:
ifstat
Perintah ini ifstatmenampilkan statistik antarmuka jaringan. Secara default, ini menampilkan data lalu lintas jaringan masuk dan keluar untuk setiap antarmuka aktif. Akses ifstatdengan mengetik:
Periksa Alamat IP Apa yang Terhubung ke Server
Mencantumkan alamat IP perangkat yang saat ini terhubung ke server Anda dapat membantu Anda mengidentifikasi potensi ancaman. Perintah netstat adalah utilitas yang memberikan gambaran aktivitas jaringan, termasuk informasi tentang koneksi.
Perintah di bawah ini menggunakan netstatopsi -n, -t, dan -uuntuk membuat output yang berisi alamat numerik koneksi TCP dan UDP . Outputnya kemudian diformat menggunakan perintah awk , cut , dan sort .
Output akhir menampilkan jumlah koneksi aktif untuk setiap alamat IP yang terhubung .
Pada server yang sibuk, daftarnya mungkin sangat panjang dan sulit dibaca. Anda dapat memfilter output untuk menampilkan semua koneksi di subnet yang sama dalam satu baris. Contoh berikut menggabungkan alamat IP dalam subnet mask yang sama .255.255.0.0
Outputnya sekarang hanya menampilkan satu baris. Angka 3sebelumnya 10.240.0.0menunjukkan tiga koneksi berasal dari alamat IP tersebut.
Bagaimana Cara Mengurangi Serangan DDoS di Server Linux?
Setelah Anda mengonfirmasi bahwa serangan DDoS terjadi di server, beberapa tindakan cepat dapat mengurangi kerusakan tersebut.
Catatan : Server yang tidak terlindungi dengan cepat menjadi korban serangan DDoS. Server khusus dengan perlindungan DDoS disiapkan untuk terus bekerja tanpa gangguan ketersediaan.
Gunakan routeperintah untuk memblokir alamat IP penyerang.
Catatan : routePerintah ini merupakan bagian dari net-toolspaket. Untuk menginstalnya di Ubuntu, ketik:
Alternatifnya, gunakan firewall iptables :
1. Blokir akses ke alamat IP dengan mengetik:
2. Mulai ulang layanan dengan:
3. Simpan aturan baru:
4. Mulai ulang layanan web Anda. Misalnya, jika Anda menjalankan server web Apache, ketik:
Sistem sekarang dikonfigurasi untuk menolak lalu lintas dari alamat IP yang mencurigakan.
Kesimpulan
Artikel ini memperkenalkan Anda pada serangan DDoS dan memberikan metode untuk mengidentifikasinya. Selain itu, artikel ini juga menunjukkan beberapa tip respons cepat untuk membantu Anda melawan serangan DDoS yang sedang berlangsung.
0 comments:
Post a Comment