web-dev-qa-db-ja.com

Amazon EC2乱用レポート

私の会社は最近、Amazonから、実行中のEC2インスタンスで発生する悪意のあるアクティビティについて通知するメールを受信しました。

メールには次のように記載されています。GoogleのIPを標的としたDDoS攻撃に参加しているあなたの管理下にあるマシンを観察しました。

攻撃はUDP増幅攻撃でした。この攻撃では、UDPベースのサービスが他のユーザーを攻撃するために悪用され、帯域幅とコンピューティングリソースを浪費しています。

私はAWSに加えてこれらすべてのものにかなり慣れていないので、どこから始めればよいかわかりません。これを緩和するために私がとるべき最初のステップは何ですか?

@ximaeraからコマンドを実行した後

Davids-MacBook-Pro:~ davidpham$ ntpdc -nc monlist *ip*
*ip*: timed out, nothing received
***Request timed out
Davids-MacBook-Pro:~ davidpham$ Dig @ip +edns=0 +ignore com ANY

<<>> Dig 9.10.6 <<>> @ip +edns=0 +ignore com ANY
; (1 server found)
;; global options: +cmd
;; connection timed out; no servers could be reached
Davids-MacBook-Pro:~ davidpham$ 

これは私が受け取った出力でした。何かが足りませんか?

2
David Pham

一般に、UDP増幅に対して脆弱な 長いリスト のサーバーとプロトコルがあります。いくつかのコマンドラインを呼び出して、最も有名な増幅ベクトルのいくつかの存在を確認します ここにある可能性があります 。すべてのコマンドはリモートで呼び出す方がよいでしょう。例えば。サーバーが192.0.2.1の場合、NTP増幅器を確認するには、次のようにします。

ntpdc -nc monlist 192.0.2.1

ラップトップまたは隣接するデータセンターマシンから。

最初にNTPとDNSを確認し、一致しない場合は詳細を確認することをお勧めします。

tcpdump -ni any udpサーバー自体は、間違いなくダイビングに役立ちます。ダンプで予期しないトラフィックを見つけることができた場合は、出力を(またはgrepingで)確認することにより、ダンプで確認されたポートをリッスンしている脆弱なアプリケーションを追跡できます。 ss -lpn


編集。これで、サーバーのIPアドレスを指定したので、自分で確認できました。PORTMAPアンプがアクティブになっていることがわかります。

$ rpcinfo -T udp $ip | wc -l
      17
$

したがって、基本的には、DNSの残りのチェックとNTP 1のチェックを通過する必要があります。

修正は明らかにポートマッパーを無効にする( ここに方法 Debian/Ubuntuで行う)か、少なくともファイアウォール経由でポート111/UDPへのアクセスをブロックします。

1
ximaera