Мне недавно сказали управлять нашим сервером обмена, потому что ответственный ушел без должного предупреждения. У меня практически нет опыта в этом отношении, однако несколько месяцев все шло гладко.
Наш хостинг-провайдер только что прислал мне это сообщение:
We observed machines under your control participating in a DDoS attack targeting Google IPs.
The attack was a UDP amplification flood. Your participating machines are listed below, along with the start and stop times in UTC and their approximate bandwidth during that time.
'Server Name'
+-----------------+----------+------------------+------------------+------+
| reflector ip | protocol | first seen (utc) | last seen (utc) | Mbps |
+-----------------+----------+------------------+------------------+------+
| 000.000.000.000 | LDAP | 2017-09-29 07:24 | 2017-09-29 07:32 | 66 |
Note that this attack does not indicate the machines have been compromised by the attacker. Instead, it just indicates they are running a UDP protocol that is vulnerable to abuse. If possible, we recommend disabling unnecessary services to protect your devices from data exposure, and also to conserve bandwidth.
Как мне предотвратить злоупотребление этим протоколом, не влияя на нашу службу обмена?
Я не сетевой инженер и не знаком с серверным хостингом, поэтому понятия не имею, с чего начать, поэтому любая помощь приветствуется.
Отредактируйте, чтобы ответить, почему бы не дублировать:
Этот вопрос направлен на то, чтобы конкретно остановить злоупотребление протоколом, и этот вопрос может применяться, даже если сервер никогда не подвергался компромиссу и не был запущен в производство.
Я бы использовал следующую логику для вашего конкретного случая;
Определите, является ли это управляемым или неуправляемым сервером. Поскольку они просят вас позаботиться об этом, похоже, что это неуправляемый сервер. Если вы можете войти в Windows Server и изменить / установить что-то, то он неуправляемый.
Используйте брандмауэр (брандмауэр Windows), чтобы заблокировать порт 389 (UDP, входящий и исходящий), который необходим для этой атаки. Это действительно должно быть сделано на граничном маршрутизаторе, однако только ваша хостинговая компания может это сделать, и если другим клиентам нужен этот порт, вероятно, они не захотят это делать.
ПО ЖЕЛАНИЮ
Измените все применимые пароли.
Сканировать машину на наличие вредоносных программ.
Хотя для этой атаки не требуется доступ к машине, я бы все равно проверил ее, чтобы убедиться.
Блокировка входящего трафика 389 остановит вашу машину от участия в атаке. Если вы заблокируете исходящий 389, ваша машина не сможет инициировать другую атаку, если она будет скомпрометирована.