我的機器已被識別為 DRDoS 攻擊的放大器。我如何追蹤我的機器是如何被用來執行此操作並刪除所使用的軟體的?
我嘗試檢查機器的系統日誌,但找不到任何內容。他們說我的機器上有一個服務在連接埠 17 udp 上處於活動狀態,參與了攻擊,但目前我無法使用 netstat 找到該服務。
答案1
如果 DDoS 結束,則偵聽連接埠 17 的任何內容可能不再執行,因為 C&C 伺服器可能已指示其關閉。也有可能您的電腦沒有傳送udp/17 上的流量,而是在 udp/17 上建立對不同 QOTD 伺服器的請求。
如果您是發送放大流量的人,則 udp/17 是傳統的 QOTD(每日報價),它實際上在任何現代伺服器上都沒有任何業務運作。 QOTD 可用於 DNS 放大,為偽造的 UDP 請求發送最多 512 位元組。
防禦這種情況的方法是使用防火牆,不允許來自您未明確穿透的服務的任何入站請求
然而,這可能只是因為您的機器感染了惡意軟體並且沒有被用作放大器,而是您要求放大(例如,您向另一台進行放大的機器發送偽造的 UDP 資料包)。
如果您正在運行自己的邊緣網絡,請實施BCP38(或請上游 ISP 實施)。這實質上是說「不要讓任何未指定或不是來自您的網路的流量進出您的網路」。如果每個邊緣網路和 ISP 都實施這一點,UDP 放大攻擊將在一夜之間消失。這本質上意味著,當你的電腦開始偽造 UDP 請求時,你的邊緣設備會說「哦,這個 UDP 請求是指定的,203.0.113.77但我只知道網絡198.51.100.0/24,因此這個流量是垃圾,我應該在讓它離開之前丟棄它」 (BCP38 適用於客戶端網絡,而不是傳輸網絡。顯然,如果 ISP 在其所有網絡上實施此操作,那麼互聯網將會陷入癱瘓)
更重要的是,如果您的電腦感染了該惡意軟體,您需要對整台電腦進行核攻擊並重新啟動。