cs:services:eventclass:avail-ddos

DDoS útok

Stroj byl zdrojem distribuovaného útoku DDoS. Může to znamenat:

Stroj je zkompromitován a je součástí botnetu; je tedy třeba se problému důkladně věnovat, stroj otestovat vhodným antivirovým programem a odstranit v něm následky hackerského útoku.

Pokud byl použit protokol UDP (nejčastěji se zneužitím služeb DNS, NTP, SNMP nebo Memcache), může jít o odražený útok využívající rámců se zfalšovanou zdrojovou adresou. Zde obvykle pomáhá:

  • zavřít nebo vhodně omezit danou službu,
  • stroj umístit za firewall,
  • zkontrolovat správné routování podle dokumentu BCP38

Kontrola otevřeného DNS resolveru: http://www.openresolver.com

Kontrola funkčnosti NTP mode 6: $ ntpq -c rv IP_address

Kontrola funkčnosti NTP mode 7: $ ntpdc -c monlist IP_address

Kontrola funkčnosti SNMP - dotaz na sysName: $ snmpget -v2c -cpublic IP_address 1.3.6.1.2.1.1.5.0

Kontrola protokolu CharGen, viz také Otevřená služba Chargen

Kontrola protokolu NetBIOS, viz také Otevřená služba NetBIOS

Kontrola protokolu QotD, viz také Otevřená služba QotD

Kontrola protokolu SSDP, viz také Otevřená služba SSDP

Last modified:: 28.08.2023 11:40