私のマシンが DRDoS 攻撃の増幅器として特定されました。私のマシンがどのように使用されたかを追跡し、使用されたソフトウェアを削除するにはどうすればよいでしょうか?
マシンのシステム ログを確認しようとしましたが、何も見つかりません。マシンのポート 17 udp でアクティブなサービスがあり、攻撃に参加しているとのことでしたが、現在、netstat を使用してもそれを見つけることができません。
答え1
DDoSが終わった場合、ポート17で待機していたものは、C&Cサーバーがシャットダウンするように指示したため、もう実行されていない可能性があります。また、PCが送信udp/17 上のトラフィックではなく、udp/17 上の別の QOTD サーバーへのリクエストを作成していました。
増幅されたトラフィックを送信している場合、udp/17 は従来の QOTD (Quote of the Day) であり、最新のサーバーで実行する必要はありません。QOTD は DNS 増幅に使用され、偽造された UDP 要求に対して最大 512 バイトを送信します。
これを防ぐには、明示的に通過していないサービスからの受信リクエストを許可しないファイアウォールを設置することです。
ただし、単にマシンがマルウェアに感染していて、増幅器として使用されているのではなく、増幅を要求していただけである可能性があります (たとえば、増幅を行った別のマシンに偽の UDP パケットを送信していたなど)。
独自のエッジネットワークを運用している場合は、BCP38(または上流の ISP に実装を要請してください)。これは基本的に、「自分のネットワーク宛てではない、または自分のネットワークから来ていないトラフィックをネットワークに出入りさせないでください」という意味です。すべてのエッジ ネットワークと ISP がこれを実装すれば、UDP 増幅攻撃は一夜にして消えるでしょう。これが本質的に意味するのは、コンピュータが UDP 要求を偽造し始めると、エッジ デバイスは「この UDP 要求は 宛てです203.0.113.77が、私が知っているのはネットワーク だけです198.51.100.0/24。したがって、このトラフィックはジャンクであり、自分のネットワークから出させる前に破棄する必要があります」と言うということです。(BCP38 はクライアント ネットワーク用であり、トランジット ネットワーク用ではありません。明らかに、ISP がこれをすべてのネットワークに実装すれば、インターネットは停止するでしょう)
さらに重要なのは、マシンがこのマルウェアに感染している場合は、マシン全体を削除して再起動する必要があることです。