====== DDoS útok ======

Stroj byl zdrojem distribuovaného **útoku DDoS**. Může to znamenat:

Stroj je zkompromitován a je součástí botnetu; je tedy třeba se problému 
důkladně věnovat, stroj otestovat vhodným antivirovým programem a 
odstranit v něm následky hackerského útoku.

Pokud byl použit protokol UDP (nejčastěji se zneužitím služeb DNS, NTP, 
SNMP nebo Memcache), může jít o odražený útok využívající rámců se 
zfalšovanou zdrojovou adresou. Zde obvykle pomáhá:

  * zavřít nebo vhodně omezit danou službu,
  * stroj umístit za firewall,
  * zkontrolovat správné routování podle dokumentu [[https://tools.ietf.org/html/bcp38|BCP38]]

Kontrola otevřeného DNS resolveru: http://www.openresolver.com

  * Viz také [[https://csirt.cesnet.cz/cs/services/eventclass/vulnerable-config-domain|Otevřený DNS resolver]]

Kontrola funkčnosti NTP mode 6: $ ntpq -c rv IP_address

Kontrola funkčnosti NTP mode 7: $ ntpdc -c monlist IP_address

  * Viz také [[https://csirt.cesnet.cz/cs/services/eventclass/vulnerable-config-ntp|Otevřená služba NTP]]

Kontrola funkčnosti SNMP - dotaz na sysName: $ snmpget -v2c -cpublic IP_address 1.3.6.1.2.1.1.5.0

  * Viz také [[https://csirt.cesnet.cz/cs/services/eventclass/vulnerable-config-snmp|Otevřená služba SNMP]]

Kontrola protokolu CharGen, viz také [[https://csirt.cesnet.cz/cs/services/eventclass/vulnerable-config-chargen|Otevřená služba Chargen]]

Kontrola protokolu NetBIOS, viz také [[https://csirt.cesnet.cz/cs/services/eventclass/vulnerable-config-netbios|Otevřená služba NetBIOS]]

Kontrola protokolu QotD, viz také [[https://csirt.cesnet.cz/cs/services/eventclass/vulnerable-config-qotd|Otevřená služba QotD]]

Kontrola protokolu SSDP, viz také [[https://csirt.cesnet.cz/cs/services/eventclass|Otevřená služba SSDP]]