最近有人让我管理我们的 Exchange 服务器,因为负责人没有提前通知就离开了。我在这方面几乎没有经验,不过几个月来一切都运行得很顺利。
我们的托管服务提供商刚刚给我发了这条消息:
We observed machines under your control participating in a DDoS attack targeting Google IPs.
The attack was a UDP amplification flood. Your participating machines are listed below, along with the start and stop times in UTC and their approximate bandwidth during that time.
'Server Name'
+-----------------+----------+------------------+------------------+------+
| reflector ip | protocol | first seen (utc) | last seen (utc) | Mbps |
+-----------------+----------+------------------+------------------+------+
| 000.000.000.000 | LDAP | 2017-09-29 07:24 | 2017-09-29 07:32 | 66 |
Note that this attack does not indicate the machines have been compromised by the attacker. Instead, it just indicates they are running a UDP protocol that is vulnerable to abuse. If possible, we recommend disabling unnecessary services to protect your devices from data exposure, and also to conserve bandwidth.
我该如何在不影响我们的交换服务的情况下防止这种协议滥用?
我不是网络工程师,也不熟悉服务器托管,所以我不知道从哪里开始,所以任何帮助都会受到感谢。
编辑以回答为什么不重复:
这个问题旨在专门阻止协议滥用,即使服务器从未受到过损害或投入生产,这个问题也可能适用。
答案1
针对您的具体情况,我会使用以下逻辑;
确定它是托管服务器还是非托管服务器。由于他们要求您照顾它,因此听起来它是非托管服务器。如果您可以登录 Windows Server 并更改/安装内容,则它是非托管的。
使用防火墙(Windows 防火墙)产品来阻止端口 389(UDP,入站和出站),这是此次攻击所必需的。这实际上应该在边缘路由器上完成,但只有您的托管公司可以这样做,如果其他客户需要该端口,他们可能不愿意这样做。
选修的
更改所有适用的密码。
扫描机器以查找恶意软件。
虽然这次攻击不需要访问机器,但我仍然会检查以确保无误。
阻止 389 入站将阻止您的机器参与攻击。如果您阻止出站 389,则您的机器在受到攻击时无法发起另一次攻击。