Überprüfen auf DDoS-Angriffe über CLI
In diesem Artikel wird die Frage behandelt, wie versucht werden kann, über die Befehlszeilenschnittstelle (CLI) Ihres Servers nach DDoS-Angriffen (Distributed Denial of Service) zu suchen.
Betroffene Produkte und Versionen
- Adobe Commerce, alle Versionen
- Magento Open Source, alle Versionen
Problem
Ihre Website ist langsam, und Sie haben außer Ihrer CLI keinen Zugriff auf andere Analyse-Anwendungs-Tools, um nach einem potenziellen DDoS-Angriff zu suchen. Die Symptome eines DDoS-Angriffs können je nach Netzwerkkonfiguration, verwendeter Software usw. stark variieren.
Es wird jedoch empfohlen, Analysesoftware-Produkte zu verwenden, die speziell entwickelt wurden, um DDoS-Angriffe zu identifizieren.
Ursache
Es gibt mehrere mögliche Ursachen für eine langsame Website, einschließlich eines Servers mit langsamer Leistung, hoher CPU-Nutzung oder Fehlkonfiguration in Skripten, Code oder billiger Hardware. Manchmal kann es aufgrund eines DDoS-Angriffs sein. Zwei der grundlegenden Tools, die Sie auf einen DDoS-Angriff überprüfen müssen, sind Ihre Adobe Commerce-Protokolle und Ihre CLI.
Auch hier ist es wichtig zu beachten, dass die Verwendung von Software, die speziell entwickelt wurde, um DDoS-Angriffe zu erkennen, bei Ihrer Untersuchung sehr nützlich wäre.
Lösungsschritte
-
Überprüfen Sie in den Adobe Commerce-Protokollen, ob neben einem DDoS-Angriff noch etwas Anderes auftritt. Weitere Informationen finden Sie in den folgenden Artikeln in unserer Entwicklerdokumentation:
-
Verwenden Sie die CLI, um alle aktuellen Internetverbindungen mithilfe des
netstat
Befehls zu überprüfen:netstat -na
. Hier werden alle aktiven bestehenden Verbindungen zum Server angezeigt. Hier können Sie möglicherweise feststellen, dass zu viele Verbindungen von derselben IP-Adresse stammen. -
Verwenden Sie diesen Befehl, um Ihre Ergebnisse für bestehende Verbindungen weiter einzugrenzen auf diejenigen, die eine Verbindung über Port 80 (den HTTP-Port für Ihre Website) herstellen, sodass Sie zu viele Verbindungen von einer IP-Adresse oder einer Gruppe von IP-Adressen sortieren und erkennen können:
netstat -an | grep :80 | sort
. Sie können denselben Befehl für https auf Port 443:netstat -an | grep :443 | sort
wiederholen. Eine weitere Möglichkeit besteht darin, den ursprünglichen Befehl auf beide Ports 80 und 443:netstat -an | egrep ":80|:443" | sort
auszudehnen. -
Mit dem folgenden Befehl können Sie überprüfen, ob viele aktive
SYNC_REC
auf dem Server auftreten:netstat -n -p|grep SYN_REC | wc -l
Dies ist in der Regel weniger als 5, aber es könnte für einen DDoS-Angriff viel höher sein, obwohl für einige Server eine höhere Anzahl eine normale Bedingung sein könnte. -
Um alle IP-Adressen aufzulisten, die
SYNC_REC
Status senden, verwenden Sie den Befehlnetstat -n -p | grep SYN_REC | sort -u
. -
Um alle eindeutigen IP-Adressen, die
SYNC_REC
senden, weiter aufzulisten, verwenden Sie den Befehlnetstat -n -p | grep SYN_REC | awk ‘{print $5}’ | awk -F: ‘{print $1}’
. -
Sie können auch den Befehl
netstat
verwenden, um die Anzahl der Verbindungen zu zählen und zu berechnen, die jede IP-Adresse mit Ihrem Server herstellt:netstat -ntu | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -n
. -
Um die Anzahl der mit Ihrem Server verbundenen UDP- oder TCP-Protokollverbindungen aufzulisten, verwenden Sie den Befehl
netstat -anp |grep ‘tcp|udp’ | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -n
. -
Verwenden Sie zum Überprüfen bestehender Verbindungen (anstelle nur aller Verbindungen) und zum Anzeigen der Verbindungsanzahl für jede IP-Adresse den Befehl
netstat -ntu | grep ESTAB | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -nr
. -
Verwenden Sie den folgenden Befehl, um die nach IP-Adresse und Port 80 aufgelisteten Verbindungszahlen anzuzeigen:
netstat -plan|grep :80|awk {‘print $5’}|cut -d: -f 1|sort|uniq -c|sort -nk 1
.
Stellen Sie sicher, dass Sie jemanden haben, der die gefundenen Daten richtig analysiert, um festzustellen, ob Sie tatsächlich einen DDoS-Angriff haben. Die Verwendung der netstat
-Befehle von Ihrer Server-CLI in den oben genannten Schritten hilft Ihnen bei der Analyse, ob Sie einen DDoS-Angriff erleben. Verwenden Sie jedoch Softwareanalyseprodukte, die speziell entwickelt wurden, um DDoS-Angriffe zu identifizieren, zusammen mit einer ordnungsgemäßen Analyse, sind Ihre besten Tools, um DDoS-Bedrohungen zu identifizieren.
Wenn Sie feststellen, dass Sie unter DDoS-Angriffen stehen, hängen die Schritte, die Sie ausführen können, von Ihrer Netzwerkkonfiguration und dem Vorkommen des DDoS-Angriffs ab. Allgemein empfehlen wir Ihnen jedoch, Ihren ISP zu kontaktieren, eine neue IP-Adresse für Ihren Server zu erhalten und/oder sich an IT-Experten zu wenden, die im Umgang mit DDoS-Problemen erfahren, um Ihre spezielle Situation zu analysieren und zu beraten.