Mi máquina ha sido identificada como amplificadora de ataques DRDoS. ¿Cómo puedo rastrear cómo se utilizó mi máquina para hacer esto y eliminar el software utilizado?
Intenté comprobar el registro del sistema de la máquina pero no encuentro nada. Dijeron que había un servicio en mi máquina activo en el puerto 17 udp, participando en el ataque, pero no puedo encontrarlo, actualmente, usando netstat.
Respuesta1
Si el DDoS finaliza, es posible que lo que estaba escuchando en el puerto 17 ya no se esté ejecutando, ya que es posible que el servidor C&C le haya ordenado que se apague. También es posible que su PC no estuvieraenviandotráfico en udp/17 sino que estaba creando solicitudes a un servidor QOTD diferente en udp/17.
Si usted fuera el que enviara tráfico amplificado, udp/17 es tradicionalmente QOTD (Cita del día) que realmente no tiene por qué ejecutarse en ningún servidor moderno. QOTD se puede utilizar para la amplificación de DNS, enviando hasta 512 bytes para una solicitud UDP falsificada.
La forma de defenderse de esto es tener un firewall que no permita solicitudes entrantes de servicios que no atraviese explícitamente.
Sin embargo, puede ser simplemente que su máquina esté infectada con malware y no esté siendo utilizada como amplificador, sino que usted esté solicitando la amplificación (por ejemplo, esté enviando paquetes UDP falsos a otra máquina que realizó la amplificación).
Si está ejecutando su propia red perimetral, implementeBCP38(o solicite a su ISP ascendente que lo implemente). Básicamente, esto dice "No permita que ningún tráfico entre o salga de su red que no esté designado o no haya provenido de su red". Si todas las redes perimetrales y los ISP implementaran esto, los ataques de amplificación UDP desaparecerían de la noche a la mañana. Lo que esto significa esencialmente es que cuando su computadora comenzó a falsificar solicitudes UDP, su dispositivo perimetral diría "Oh, esta solicitud UDP está designada para 203.0.113.77
pero solo conozco la red 198.51.100.0/24
, por lo tanto, este tráfico es basura y debo descartarlo antes de dejarlo salir". mi red (BCP38 es para redes de clientes, no para redes de tránsito. Obviamente, si los ISP implementaran esto en todas sus redes, Internet se paralizaría).
Sin embargo, lo más importante es que si su máquina está infectada con este malware, deberá bombardear toda la máquina y comenzar de nuevo.