Как определить системы с уязвимостями, какой инструмент сканирования лучше. Система должна быть идентифицирована так, чтобы ее можно было использовать в качестве агента DDoS. Я хочу это проверить на испытательном стенде. Кто-нибудь может помочь?
Не имеет прямого отношения к вашему вопросу, но идея, которая может пригодиться где-нибудь в будущем, - это концепция включения netflow в вашей сетевой инфраструктуре.
Как только ваши сетевые устройства начнут сообщать о сетевых потоках сборщику netflow, вы можете относительно легко определить, какие машины используются в рамках кампании DDoS. Те, которые показывают всплеск количества потоков в секунду, вполне могут быть теми, которые уже скомпрометированы и используются в качестве инструмента DDoS для отключения цели (netflow имеет много других применений в безопасности).
Есть много других методов «управления трафиком», которые полезны для обнаружения такого поведения в корпоративной сети (и многих других в среде поставщика услуг).
Например, с помощью проектирования трафика (маршрутизации) вы можете «привлечь» весь трафик, предназначенный к пространству IP-адресов (т.е. RFC1918 / RFC5735), который ваша организация не использует, в устройство, которое обычно называют «провалом». Обычно вы никогда не должны видеть трафик в воронке, но если вы это сделаете, это может сигнализировать о наличии скомпрометированных машин в вашей инфраструктуре, которые генерируют трафик на IP-адреса, недействительные внутри вашей организации. Поскольку вы «привлекаете» этот трафик, они заканчиваются у провала. Такое поведение также может быть результатом сканирования зараженных машин вашей организации в поисках жертв для дальнейшего распространения и т. Д.
Комбинированное использование nmap и metasploit может помочь вам обнаружить уязвимость и запустить атаку в тестовой среде.
Любая система может быть взломана и использована для DDoS-атак. Для удаленного сканирования системы на предмет уязвимости для атак вы можете использовать OpenVAS. Взломанные машины также используются для рассылки спама, многие IP-адреса Черный список в реальном времени также являются участниками ботнета, которые часто используются для DDoS-атак.