我的机器被识别为 DRDoS 攻击的放大器。我如何追踪我的机器是如何被用来做这件事的,并删除所使用的软件?
我尝试检查机器的系统日志,但什么也没发现。他们说我的机器上有一项服务在端口 17 udp 上处于活动状态,参与了攻击,但我目前使用 netstat 找不到它。
答案1
如果 DDoS 已经结束,那么监听端口 17 的程序可能不再运行,因为 C&C 服务器可能已要求其关闭。您的 PC 也可能没有发送udp/17 上的流量,而是向 udp/17 上不同的 QOTD 服务器创建请求。
如果您是发送放大流量的人,udp/17 传统上是 QOTD(每日报价),这在任何现代服务器上都没有任何意义。QOTD 可用于 DNS 放大,为伪造的 UDP 请求发送最多 512 字节。
防范这种情况的方法是建立一个防火墙,不允许任何你没有明确打通的服务的入站请求
然而,这可能只是因为您的机器感染了恶意软件,并且没有被用作放大器,而是您请求放大(例如,您正在向另一台进行放大的机器发送虚假的 UDP 数据包)。
如果您正在运行自己的边缘网络,请实施BCP38(或请求您的上游 ISP 实施它)。这本质上是说“不要让任何未指定或未来自您的网络的流量进出您的网络”。如果每个边缘网络和 ISP 都实施这一点,UDP 放大攻击将在一夜之间消失。这本质上意味着当您的计算机开始伪造 UDP 请求时,您的边缘设备会说“哦,这个 UDP 请求是指定的,203.0.113.77但我只知道网络198.51.100.0/24,因此这种流量是垃圾,我应该在让它离开我的网络之前丢弃它。(BCP38 适用于客户端网络,而不是传输网络。显然,如果 ISP 在其所有网络上实施这一点,那么互联网将陷入停顿)
更重要的是,如果您的机器感染了此恶意软件,您需要清除整个机器并重新启动。