【.com速译】如果你的数据中心里有Linux服务器,或者托管在AWS、GoogleCloud、Azure等云服务器上,不要以为它们只是因为你部署的操作系统是安全的。尽管Linux是目前最安全的操作系统之一,但它并不完美。事实上,针对该平台的攻击有所增加,而且随着Linux变得越来越流行,这种攻击还会加剧。你在干什么?如果您怀疑您的其中一台服务器可能已被入侵,则需要对其进行检查。如何检查?我将向您介绍一些命令,这些命令可以帮助您确定您的服务器是否受到来自某个IP地址的分布式拒绝服务(DDoS)攻击。这种攻击是一种使用一个或多个IP地址的协调活动,旨在破坏网站并使其服务器无法访问。看看如何判断您的Linux服务器是否受到攻击。你需要什么?您唯一需要的是一个Linux实例和一个具有sudo权限的用户。我将在UbuntuServer20.04上进行演示。如何安装netstat?我们将使用netstat工具找出当前连接到您的服务器的IP地址。要在Ubuntu上安装netstat,您实际上需要安装net-tools,如下所示:sudoapt-getinstallnet-tools-y如果您使用的是基于CentOS或RedHat的安装,则应该已经安装了netstat。如何查看服务器负载?我们要做的第一件事是检查服务器负载。用于此的命令将返回逻辑处理器(线程)的数量。在服务器上,这个数字应该相当低,但这取决于您运行的负载。你应该确保这个数字有一个基线,以确保一切正常。如果您怀疑有问题,请再次运行线程检查并进行比较。要检查逻辑处理器的数量,请执行以下命令:grepprocessor/proc/cpuinfo|wc-l如果该数量远高于基线值,则可能存在问题。例如,在我的Pop!_OS桌面上我有16个线程,但在托管Nextcloud的Ubuntu服务器上我只有两个线程。如果这些数字中的任何一个翻倍,我可能已经被DDoS攻击了。如何查看网络负载?接下来检查网络负载。您可以使用许多工具来执行此操作,但我选择了nload。要安装nload,请执行以下命令:sudoapt-getinstallnload-y在CentOS上,命令将是:sudodnfinstallnload-y要运行该工具,只需执行以下命令:nload您应该会看到正常的入站和出站网络负载(图A)。图A.Nload显示我的Nextcloud服务器上的入站负载相当低。如果负载明显高于您的预期,您可能会受到攻击。如何找出连接到您的服务器的IP地址?接下来要做的是找出连接到您的服务器的IP地址。为此,我们将像这样使用netstat:netstat-ntu|awk'{print$5}'|cut-d:-f1-s|sort|uniq-c|sort-nk1-r上述命令的输出将列出服务器的每个IP地址和每个IP地址的实例数。如您所见,有两个IP地址连接到我的服务器(图B)。图B.netstat的输出显示连接到我的服务器的IP地址请务必仔细浏览列表。如果您看到某个IP地址的大量实例(超过100个),则该地址很可能是罪魁祸首。确定罪魁祸首后,您可以使用以下命令禁止该IP地址:sudorouteaddADDRESSreject其中ADDRESS是嫌疑人的IP地址。此时,回过头来重新检查线程、连接的IP地址和网络负载,看看是否缓解了DDoS攻击。如果成功缓解,应该报告可疑的IP地址,并可能从您的网络中完全禁止。原标题:如何快速查看你的Linux服务器是否受到来自单个IP地址的DDoS攻击,作者:JackWallen
