내 컴퓨터가 DRDoS 공격을 위한 증폭기로 식별되었습니다. 내 컴퓨터가 이 작업을 수행하는 데 어떻게 사용되었는지 추적하고 사용된 소프트웨어를 제거하려면 어떻게 해야 합니까?
기기의 시스템 로그를 확인하려고 했지만 아무것도 찾을 수 없습니다. 그들은 내 컴퓨터에 포트 17 udp에서 공격에 참여하는 서비스가 활성화되어 있다고 말했지만 현재 netstat를 사용하여 찾을 수 없습니다.
답변1
DDoS가 종료되면 포트 17에서 수신 대기 중이던 모든 항목이 더 이상 실행되지 않을 수 있습니다. C&C 서버가 종료하라고 지시했을 수 있기 때문입니다. 귀하의 PC가 아닐 수도 있습니다.배상udp/17의 트래픽이 발생했지만 오히려 udp/17의 다른 QOTD 서버에 대한 요청이 생성되었습니다.
증폭된 트래픽을 보내는 사람이라면 udp/17은 전통적으로 QOTD(오늘의 인용문)이며 실제로는 최신 서버에서 실행되는 비즈니스가 없습니다. QOTD는 DNS 증폭에 사용되어 위조된 UDP 요청에 대해 최대 512바이트를 전송할 수 있습니다.
이를 방어하는 방법은 명시적으로 통과하지 않는 서비스로부터의 인바운드 요청을 허용하지 않는 방화벽을 갖추는 것입니다.
그러나 단순히 귀하의 컴퓨터가 맬웨어에 감염되어 증폭기로 사용되지 않고 증폭을 요청했을 수도 있습니다(예: 증폭을 수행한 다른 컴퓨터에 가짜 UDP 패킷을 보내고 있었음).
자체 에지 네트워크를 실행하는 경우 다음을 구현하세요.BCP38(또는 업스트림 ISP에 구현을 요청합니다). 이는 본질적으로 "귀하의 네트워크에 대해 지정되지 않았거나 귀하의 네트워크에서 나오지 않은 트래픽이 귀하의 네트워크 안팎으로 들어오거나 나가는 것을 허용하지 마십시오"를 의미합니다. 모든 에지 네트워크와 ISP가 이를 구현한다면 UDP 증폭 공격은 하룻밤 사이에 사라질 것입니다. 이것이 본질적으로 의미하는 것은 컴퓨터가 UDP 요청을 위조하기 시작하면 에지 장치가 "아, 이 UDP 요청은 지정되었지만 203.0.113.77네트워크에 대해서만 알고 있으므로 198.51.100.0/24이 트래픽은 정크이므로 떠나기 전에 버려야 합니다"라고 말할 것입니다. (BCP38은 전송 네트워크가 아닌 클라이언트 네트워크용입니다. ISP가 모든 네트워크에서 이것을 구현하면 인터넷이 중단될 것입니다.)
더 중요한 것은 귀하의 컴퓨터가 이 악성 코드에 감염된 경우 전체 컴퓨터를 핵 공격하고 다시 시작해야 한다는 것입니다.