====== DDoS útok ====== Stroj byl zdrojem distribuovaného **útoku DDoS**. Může to znamenat: Stroj je zkompromitován a je součástí botnetu; je tedy třeba se problému důkladně věnovat, stroj otestovat vhodným antivirovým programem a odstranit v něm následky hackerského útoku. Pokud byl použit protokol UDP (nejčastěji se zneužitím služeb DNS, NTP, SNMP nebo Memcache), může jít o odražený útok využívající rámců se zfalšovanou zdrojovou adresou. Zde obvykle pomáhá: * zavřít nebo vhodně omezit danou službu, * stroj umístit za firewall, * zkontrolovat správné routování podle dokumentu [[https://tools.ietf.org/html/bcp38|BCP38]] Kontrola otevřeného DNS resolveru: http://www.openresolver.com * Viz také [[https://csirt.cesnet.cz/cs/services/eventclass/vulnerable-config-domain|Otevřený DNS resolver]] Kontrola funkčnosti NTP mode 6: $ ntpq -c rv IP_address Kontrola funkčnosti NTP mode 7: $ ntpdc -c monlist IP_address * Viz také [[https://csirt.cesnet.cz/cs/services/eventclass/vulnerable-config-ntp|Otevřená služba NTP]] Kontrola funkčnosti SNMP - dotaz na sysName: $ snmpget -v2c -cpublic IP_address 1.3.6.1.2.1.1.5.0 * Viz také [[https://csirt.cesnet.cz/cs/services/eventclass/vulnerable-config-snmp|Otevřená služba SNMP]] Kontrola protokolu CharGen, viz také [[https://csirt.cesnet.cz/cs/services/eventclass/vulnerable-config-chargen|Otevřená služba Chargen]] Kontrola protokolu NetBIOS, viz také [[https://csirt.cesnet.cz/cs/services/eventclass/vulnerable-config-netbios|Otevřená služba NetBIOS]] Kontrola protokolu QotD, viz také [[https://csirt.cesnet.cz/cs/services/eventclass/vulnerable-config-qotd|Otevřená služba QotD]] Kontrola protokolu SSDP, viz také [[https://csirt.cesnet.cz/cs/services/eventclass|Otevřená služba SSDP]]