Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
| Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze Následující verze Obě strany příští revize | ||
|
cs:services:eventclass:avail-ddos [17.07.2018 11:15] ph@cesnet.cz |
cs:services:eventclass:avail-ddos [24.11.2021 17:02] Pavel Kácha |
||
|---|---|---|---|
| Řádek 1: | Řádek 1: | ||
| ====== DDoS útok ====== | ====== DDoS útok ====== | ||
| - | Stroj byl zdrojem útoků **DDoS**. To nejspíše znamená, že stroj je zkompromitován a součástí botnetu. V případě UDP protokolů (hlavně NTP, DNS, SNMP, Memcache) může jít o odražený útok, chybou tedy může být příliš otevřená služba na stroji či nedostatečně nastavené [[https://tools.ietf.org/html/bcp38|BCP-38]]. | + | Stroj byl zdrojem distribuovaného **útoku DDoS**. Může to znamenat: |
| + | Stroj je zkompromitován a je součástí botnetu; je tedy třeba se problému | ||
| + | důkladně věnovat, stroj otestovat vhodným antivirovým programem a | ||
| + | odstranit v něm následky hackerského útoku. | ||
| + | |||
| + | Pokud byl použit protokol UDP (nejčastěji se zneužitím služeb DNS, NTP, | ||
| + | SNMP nebo Memcache), může jít o odražený útok využívající rámců se | ||
| + | zfalšovanou zdrojovou adresou. Zde obvykle pomáhá: | ||
| + | |||
| + | * zavřít nebo vhodně omezit danou službu, | ||
| + | * stroj umístit za firewall, | ||
| + | * zkontrolovat správné routování podle dokumentu [[https://tools.ietf.org/html/bcp38|BCP38]] | ||
| + | |||
| + | Kontrola otevřeného DNS resolveru: http://www.openresolver.com | ||
| + | |||
| + | * Viz také [[https://csirt.cesnet.cz/cs/services/eventclass/avail-ddos|Otevřený DNS resolver]] | ||
| + | |||
| + | Kontrola funkčnosti NTP mode 6: $ ntpq -c rv IP_address | ||
| + | |||
| + | Kontrola funkčnosti NTP mode 7: $ ntpdc -c monlist IP_address | ||
| + | |||
| + | * Viz také [[https://csirt.cesnet.cz/cs/services/eventclass/vulnerable-config-ntp|Otevřená služba NTP]] | ||
| + | |||
| + | Kontrola funkčnosti SNMP - dotaz na sysName: $ snmpget -v2c -cpublic IP_address 1.3.6.1.2.1.1.5.0 | ||
| + | |||
| + | * Viz také [[https://csirt.cesnet.cz/cs/services/eventclass/vulnerable-config-snmp|Otevřená služba SNMP]] | ||
| + | |||
| + | Kontrola protokolu CharGen | ||
| + | |||
| + | * Viz také [[https://csirt.cesnet.cz/cs/services/eventclass/vulnerable-config-chargen|Otevřená služba Chargen]] | ||
| + | |||
| + | Kontrola protokolu NetBIOS | ||
| + | |||
| + | * Viz také [[https://csirt.cesnet.cz/cs/services/eventclass/vulnerable-config-netbios|Otevřená služba NetBIOS]] | ||
| + | |||
| + | Kontrola protokolu QotD | ||
| + | |||
| + | * Viz také [[https://csirt.cesnet.cz/cs/services/eventclass/vulnerable-config-qotd|Otevřená služba QotD]] | ||
| + | |||
| + | Kontrola protokolu SSDP | ||
| + | |||
| + | * Viz také [[https://csirt.cesnet.cz/cs/services/eventclass|Otevřená služba SSDP]] | ||
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
Tel: +420 234 680 222
Fax: +420 224 320 269
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
Fax: +420 224 313 211
support@cesnet.cz