Recherche d’une attaque DDoS à partir de l’interface de ligne de commande
Cet article aborde le problème de la vérification des attaques par déni de service distribué (DDoS) à partir de l’interface de ligne de commande (CLI) de votre serveur.
Produits et versions concernés
- Adobe Commerce, toutes versions
- Magento Open Source, toutes versions
Problème
Votre site Web est lent et vous n’avez pas accès à d’autres outils d’application d’analyse, autres que votre interface de ligne de commande, pour vérifier la présence d’une attaque DDoS potentielle. Les symptômes d’une attaque DDoS peuvent varier considérablement en fonction de votre configuration réseau, des logiciels utilisés, etc.
Cependant, il est recommandé d’utiliser des produits logiciels d’analyse spécialement conçus pour vous aider à identifier les attaques DDoS.
Cause
Il existe plusieurs causes possibles à la lenteur d’un site web, notamment un serveur aux performances lentes, une utilisation élevée de CPU ou une configuration incorrecte des scripts, du code ou du matériel bon marché. Parfois, cela peut être dû à une attaque DDoS. Deux des outils de base dont vous disposez pour détecter une attaque DDoS sont vos journaux Adobe Commerce et votre interface de ligne de commande.
Encore une fois, il est important de noter que l’utilisation de logiciels spécialement conçus pour identifier les attaques DDoS serait très utile dans votre enquête.
Étapes de la solution
-
Vérifiez vos journaux Adobe Commerce pour voir si autre chose qu’une attaque DDoS se produit. Pour plus d’informations, reportez-vous aux articles suivants de notre documentation destinée aux développeurs :
-
Commencez à utiliser l’interface de ligne de commande pour vérifier toutes vos connexions Internet actuelles à l’aide de la commande
netstat:netstat -na. Toutes les connexions actives établies au serveur s’affichent. Vous remarquerez peut-être qu’il y a trop de connexions provenant de la même adresse IP. -
Pour limiter davantage les résultats de vos connexions établies à ceux qui se connectent uniquement sur le port 80 (le port http de votre site web), afin que vous puissiez trier et reconnaître un trop grand nombre de connexions à partir d’une adresse IP ou d’un groupe d’adresses IP, utilisez la commande suivante :
netstat -an | grep :80 | sort. Vous pouvez répéter la même commande pour https sur le port 443 :netstat -an | grep :443 | sort. Une autre option consiste à étendre la commande d’origine aux deux ports 80 et 443:netstat -an | egrep ":80|:443" | sort. -
Pour voir si plusieurs
SYNC_RECactives se produisent sur le serveur, utilisez la commande :netstat -n -p|grep SYN_REC | wc -lCe nombre est généralement inférieur à 5, mais il peut être beaucoup plus élevé pour une attaque DDoS, bien que pour certains serveurs, un nombre plus élevé puisse être une condition normale. -
Pour répertorier toutes les adresses IP qui envoient
SYNC_RECstatuts, utilisez la commande :netstat -n -p | grep SYN_REC | sort -u. -
Pour répertorier toutes les adresses IP uniques qui envoient des statuts de
SYNC_REC, utilisez la commande :netstat -n -p | grep SYN_REC | awk ‘{print $5}’ | awk -F: ‘{print $1}’. -
Vous pouvez également utiliser la commande
netstatpour compter et calculer le nombre de connexions que chaque adresse IP établit avec votre serveur :netstat -ntu | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -n. -
Pour répertorier le nombre de connexions de protocole UDP ou TCP connectées à votre serveur, utilisez la commande :
netstat -anp |grep ‘tcp|udp’ | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -n. -
Pour vérifier les connexions établies, au lieu de toutes les connexions, et afficher le nombre de connexions pour chaque adresse IP, utilisez la commande :
netstat -ntu | grep ESTAB | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -nr. -
Pour afficher les nombres de connexions répertoriés par adresse IP au port 80, utilisez la commande :
netstat -plan|grep :80|awk {‘print $5’}|cut -d: -f 1|sort|uniq -c|sort -nk 1.
Assurez-vous d’avoir quelqu’un pour analyser correctement les données que vous trouvez pour déterminer si vous avez en fait une attaque DDoS. L’utilisation des commandes netstat de l’interface de ligne de commande de votre serveur dans les étapes ci-dessus vous aidera à analyser si vous subissez une attaque DDoS, mais l’utilisation de produits d’analyse logicielle spécialement conçus pour vous aider à identifier les attaques DDoS, ainsi que l’analyse appropriée, sont vos meilleurs outils pour identifier les menaces DDoS.
Si vous constatez que vous faites l’objet d’une attaque DDoS, les mesures que vous pouvez prendre dépendent de votre configuration réseau et de la façon dont l’attaque DDoS se produit, mais le conseil général est de contacter votre FAI, d’obtenir une nouvelle adresse IP pour votre serveur, et / ou de consulter des professionnels de l’informatique qualifiés dans le traitement des problèmes DDoS pour analyser et conseiller sur votre situation particulière.