Как проверить, является ли моя машина усилителем DRDoS?

Если DDoS закончился, то все, что прослушивалось на порту 17, возможно, больше не работает, поскольку C&C сервер мог приказать ему выключиться. Также возможно, что ваш компьютер не был отправка трафик на udp / 17, а скорее он создавал запросы к другому серверу QOTD на udp / 17.

Если вы были тем, кто отправлял усиленный трафик, udp / 17 - это традиционный QOTD (Цитата дня), который действительно не работает на любом современном сервере. QOTD можно использовать для усиления DNS, отправляя до 512 байт для поддельного запроса UDP.

Способ защиты от этого - наличие брандмауэра, который не разрешает входящие запросы от служб, которые вы явно не пробиваете.

Однако может оказаться, что ваша машина просто заражена вредоносным ПО и не используется в качестве усилителя, а скорее вы запрашивали усиление (например, вы отправляли поддельные UDP-пакеты на другую машину, которая выполняла усиление).

Если у вас есть собственная пограничная сеть, реализуйте BCP38 (или попросите своего провайдера верхнего уровня внедрить его). По сути, это говорит: «Не позволяйте трафику входить или выходить из вашей сети, который не предназначен для вашей сети или не поступает из нее». Если бы каждая граничная сеть и интернет-провайдер реализовали это, атаки с усилением UDP исчезли бы в мгновение ока. По сути, это означает, что когда ваш компьютер начал подделывать запросы UDP, ваше пограничное устройство скажет: «О, этот запрос UDP предназначен для 203.0.113.77 но я знаю только о сети 198.51.100.0/24, поэтому этот трафик является нежелательным, и я должен отбросить его, прежде чем позволить ему покинуть мою сеть. (BCP38 предназначен для клиентских сетей, а не для транзитных сетей. Очевидно, что если бы интернет-провайдеры реализовали это во всех своих сетях, Интернет бы остановился)

Что еще более важно, если ваша машина заражена этим вредоносным ПО, вам нужно уничтожить всю машину и начать заново.