我的机器已被识别为 DRDoS 攻击的放大器。我如何追踪我的机器是如何用于执行此操作的并删除使用的软件?
我试图检查机器的系统日志,但我找不到任何东西。他们说我的机器上有一个服务在端口 17 udp 上处于活动状态,参与了攻击,但我目前使用 netstat 找不到该服务。
AskOverflow.Dev
我的机器已被识别为 DRDoS 攻击的放大器。我如何追踪我的机器是如何用于执行此操作的并删除使用的软件?
我试图检查机器的系统日志,但我找不到任何东西。他们说我的机器上有一个服务在端口 17 udp 上处于活动状态,参与了攻击,但我目前使用 netstat 找不到该服务。
如果 DDoS 结束了,那么在端口 17 上监听的任何东西都可能不再运行,因为 C&C 服务器可能已经告诉它关闭。您的 PC 也可能没有在 udp/17 上发送流量,而是在 udp/17 上向不同的 QOTD 服务器创建请求。
如果您是发送放大流量的人,那么 udp/17 是传统的 QOTD(每日报价),它实际上在任何现代服务器上都没有业务运行。QOTD 可用于 DNS 放大,为伪造的 UDP 请求发送最多 512 个字节。
防止这种情况的方法是有一个防火墙,它不允许来自您没有明确穿透的服务的任何入站请求
但是,可能只是您的机器感染了恶意软件并且没有被用作放大器,而是您请求放大(例如,您向另一台进行放大的机器发送虚假的 UDP 数据包)。
如果您正在运行自己的边缘网络,请实施BCP38(或请求您的上游 ISP 实施)。这实质上是说“不要让任何未指定用于或未来自您的网络的流量进出您的网络”。如果每个边缘网络和 ISP 都实现了这一点,UDP 放大攻击将在一夜之间消失。这实质上意味着当您的计算机开始伪造 UDP 请求时,您的边缘设备会说“哦,这个 UDP 请求被指定用于
203.0.113.77但我只知道网络198.51.100.0/24,因此这个流量是垃圾,我应该在让它离开之前丢弃它我的网络。(BCP38 用于客户端网络,而不是传输网络。显然,如果 ISP 在其所有网络上实施此功能,那么互联网将陷入停顿)更重要的是,如果您的机器感染了这种恶意软件,您需要对整个机器进行核攻击并重新启动。