Как проверить, является ли мой компьютер усилителем DRDoS?

Как проверить, является ли мой компьютер усилителем DRDoS?

Моя машина была идентифицирована как усилитель для атаки DRDoS. Как я могу отследить, как моя машина использовалась для этого, и удалить используемое программное обеспечение?

Я пытался проверить системный журнал машины, но ничего не нашел. Они сказали, что на моей машине была активная служба на порту 17 udp, принимающая участие в атаке, но я не могу ее найти, используя netstat.

решение1

Если DDoS закончился, то все, что слушало порт 17, может быть уже не запущено, так как сервер C&C мог сказать ему выключиться. Также может быть возможно, что ваш ПК не былотправкатрафик на udp/17, а вместо этого создавались запросы к другому серверу QOTD на udp/17.

Если вы отправляете усиленный трафик, udp/17 традиционно является QOTD (цитата дня), которая на самом деле не имеет никакого отношения к работе на любом современном сервере. QOTD может использоваться для усиления DNS, отправляя до 512 байт для поддельного запроса UDP.

Защититься от этого можно, используя брандмауэр, который не пропускает входящие запросы от служб, через которые вы явно не проходите.

Однако может оказаться, что ваш компьютер просто заражен вредоносным ПО и не используется в качестве усилителя, а вы запрашивали усиление (например, отправляли поддельные UDP-пакеты на другой компьютер, который выполнял усиление).

Если вы используете собственную пограничную сеть, реализуйтеБКП38(или подайте прошение вашему вышестоящему интернет-провайдеру о его внедрении). По сути, это говорит: «Не позволяйте входить или выходить из вашей сети трафику, который не предназначен для вашей сети или не исходит из нее». Если бы каждая пограничная сеть и интернет-провайдер внедрили это, атаки усиления UDP исчезли бы в одночасье. По сути, это означает, что когда ваш компьютер начал подделывать запросы UDP, ваше пограничное устройство сказало бы: «О, этот запрос UDP предназначен для сети , 203.0.113.77но я знаю только эту сеть 198.51.100.0/24, поэтому этот трафик — мусор, и я должен отбросить его, прежде чем он покинет мою сеть». (BCP38 предназначен для клиентских сетей, а не для транзитных сетей. Очевидно, что если бы интернет-провайдеры внедрили это во всех своих сетях, то Интернет бы остановился.)

Но что еще важнее, если ваш компьютер заражен этим вредоносным ПО, вам придется уничтожить его полностью и начать заново.

Связанный контент