Como verificar se a minha máquina é um amplificador para DRDoS?

1

Minha máquina foi identificada como amplificador para o ataque DRDoS. Como posso rastrear como minha máquina foi usada para fazer isso e remover o software usado?

Eu tentei verificar o log do sistema da máquina, mas não consigo encontrar nada. Eles disseram que havia um serviço na minha máquina ativo na porta 17 udp, participando do ataque, mas não consigo encontrar isso, atualmente, usando o netstat.

    
por Sasha Grievus 21.03.2018 / 12:07

1 resposta

2

Se o DDoS terminar, o que quer que esteja escutando na Porta 17 pode não estar mais sendo executado, já que o servidor C & C pode ter dito para desligar. Também pode ser possível que o seu PC não estivesse enviando o tráfego no udp / 17, mas sim que estivesse criando solicitações para um servidor QOTD diferente no udp / 17.

Se você fosse o único que enviava tráfego amplificado, o udp / 17 é tradicionalmente QOTD (Citação do Dia), que realmente não tem nenhum negócio em execução em qualquer servidor moderno. O QOTD pode ser usado para amplificação de DNS, enviando até 512 bytes para uma solicitação UDP falsificada.

A maneira de se defender contra isso é ter um firewall que não permita solicitações de entrada de serviços que você não explora explicitamente

No entanto, pode ser que a sua máquina esteja infectada com malware e não esteja sendo usada como amplificador, mas você estava solicitando a amplificação (por exemplo, você estava enviando pacotes UDP falsos para outra máquina que fazia a amplificação). / p>

Se você estiver executando sua própria rede de borda, implemente BCP38 (ou peça ao seu provedor de serviços de Internet para implementá-lo). Essencialmente, diz "Não deixe nenhum tráfego dentro ou fora de sua rede que não seja designado ou não tenha vindo de sua rede". Se toda rede de borda e ISP implementassem isso, os ataques de amplificação UDP desapareceriam da noite para o dia. O que isso significa essencialmente é que quando seu computador começou a forjar solicitações UDP, seu dispositivo de borda diria "Ah, essa solicitação UDP é designada por 203.0.113.77 mas eu só sei da rede 198.51.100.0/24 , então esse tráfego é lixo e eu deveria descartá-lo antes de deixá-lo sair da minha rede (BCP38 é para redes de clientes, não redes de trânsito. Obviamente, se os ISPs implementassem isso em todas as suas redes, então a internet seria interrompida)

O mais importante é que, se a sua máquina estiver infectada com este malware, você precisará eliminar a máquina inteira e começar de novo.

    
por 21.03.2018 / 12:41

Tags