Se o DDoS terminar, o que quer que esteja escutando na Porta 17 pode não estar mais sendo executado, já que o servidor C & C pode ter dito para desligar. Também pode ser possível que o seu PC não estivesse enviando o tráfego no udp / 17, mas sim que estivesse criando solicitações para um servidor QOTD diferente no udp / 17.
Se você fosse o único que enviava tráfego amplificado, o udp / 17 é tradicionalmente QOTD (Citação do Dia), que realmente não tem nenhum negócio em execução em qualquer servidor moderno. O QOTD pode ser usado para amplificação de DNS, enviando até 512 bytes para uma solicitação UDP falsificada.
A maneira de se defender contra isso é ter um firewall que não permita solicitações de entrada de serviços que você não explora explicitamente
No entanto, pode ser que a sua máquina esteja infectada com malware e não esteja sendo usada como amplificador, mas você estava solicitando a amplificação (por exemplo, você estava enviando pacotes UDP falsos para outra máquina que fazia a amplificação). / p> Se você estiver executando sua própria rede de borda, implemente BCP38 (ou peça ao seu provedor de serviços de Internet para implementá-lo). Essencialmente, diz "Não deixe nenhum tráfego dentro ou fora de sua rede que não seja designado ou não tenha vindo de sua rede". Se toda rede de borda e ISP implementassem isso, os ataques de amplificação UDP desapareceriam da noite para o dia. O que isso significa essencialmente é que quando seu computador começou a forjar solicitações UDP, seu dispositivo de borda diria "Ah, essa solicitação UDP é designada por 203.0.113.77
mas eu só sei da rede 198.51.100.0/24
, então esse tráfego é lixo e eu deveria descartá-lo antes de deixá-lo sair da minha rede (BCP38 é para redes de clientes, não redes de trânsito. Obviamente, se os ISPs implementassem isso em todas as suas redes, então a internet seria interrompida)
O mais importante é que, se a sua máquina estiver infectada com este malware, você precisará eliminar a máquina inteira e começar de novo.