我最近被告知要pipe理我们的交换服务器,因为负责人没有得到正当的警告。 我几乎没有这方面的经验,但是一切都运行平稳几个月。
我们的主机提供商给我发了这个消息:
We observed machines under your control participating in a DDoS attack targeting Google IPs. The attack was a UDP amplification flood. Your participating machines are listed below, along with the start and stop times in UTC and their approximate bandwidth during that time. 'Server Name' +-----------------+----------+------------------+------------------+------+ | reflector ip | protocol | first seen (utc) | last seen (utc) | Mbps | +-----------------+----------+------------------+------------------+------+ | 000.000.000.000 | LDAP | 2017-09-29 07:24 | 2017-09-29 07:32 | 66 | Note that this attack does not indicate the machines have been compromised by the attacker. Instead, it just indicates they are running a UDP protocol that is vulnerable to abuse. If possible, we recommend disabling unnecessary services to protect your devices from data exposure, and also to conserve bandwidth. 如何在不影响我们的交换服务的情况下防止此协议被滥用?
我不是networking工程师或熟悉服务器托pipe,所以我不知道从哪里开始,所以任何帮助表示赞赏。
编辑回答为什么不重复:
这个问题的目的是专门停止协议滥用,即使服务器从来没有妥协过,也没有投入生产,这个问题可能适用。
我会根据你的具体情况使用下面的逻辑。
确定它是否是受pipe理的或不受pipe理的服务器。 由于他们要求你照顾它,这听起来像是一个不受pipe理的服务器。 如果您可以login到Windows Server并更改/安装的东西,那么它是不受pipe理的。
使用防火墙(Windows防火墙)产品来阻止此攻击所需的端口389(UDP,入站和出站)。 这应该真的在边缘路由器上完成,但只有您的托pipe公司可以做到这一点,如果其他客户需要这个端口,可能不愿意这样做。
可选的
更改所有适用的密码。
扫描机器的恶意软件。
虽然这种攻击不需要访问机器,但我仍然会检查它是否可以。
阻止入站将阻止您的机器参与攻击。 如果您阻止出站389,那么您的机器在受到攻击时不能发起另一次攻击。