如何确定存在漏洞的系统,哪种扫描工具最好。应识别系统,以便将其用作 DDoS 代理。我想在测试平台环境中检查这一点。有人能帮忙吗?
答案1
与您的问题没有直接关系,但在未来某个时候可能会变得有用的想法是在您的网络基础设施中启用 netflow 的概念。
一旦您的网络设备开始向 Netflow 收集器报告网络流量,您就可以相对轻松地检测出哪些机器正在被用作 DDoS 活动的一部分。那些每秒流量激增的机器很可能是那些已经被入侵并被用作 DDoS 工具来禁用目标的机器(Netflow 在安全方面有许多其他用途)。
还有许多其他“流量工程”技术可用于检测企业网络中(以及服务提供商环境中的许多其他网络)的此类行为。
例如,通过流量工程(路由),您可以将发往贵组织未使用的 IP 地址空间(即 RFC1918/RFC5735)的所有流量“吸引”到通常称为“sinkhole”的设备中。通常,您不应该在 sinkhole 中看到流量,但如果看到了,则可能表明您的基础设施中存在受感染的机器,这些机器正在向组织内无效的 IP 地址生成流量。由于您正在“吸引”这些流量,因此它们最终会到达 sinkhole。这种行为也可能是受感染的机器扫描您的组织以寻找受害者进行进一步传播的结果,等等。