web-dev-qa-db-ja.com

ホストされているサーバーはLDAPを使用したDDoSに慣れていますが、どうすれば停止できますか?

私は最近、責任者がまともな警告なしに去ったので、Exchangeサーバーを管理するように言われました。私はこの点に関してほとんど経験がありませんが、すべてが数ヶ月間順調に進んでいました。

私たちのホスティングプロバイダーは私にこのメッセージを送った:

We observed machines under your control participating in a DDoS attack targeting Google IPs.

The attack was a UDP amplification flood. Your participating machines are listed below, along with the start and stop times in UTC and their approximate bandwidth during that time.

'Server Name'

+-----------------+----------+------------------+------------------+------+
| reflector ip | protocol | first seen (utc) | last seen (utc) | Mbps |
+-----------------+----------+------------------+------------------+------+
| 000.000.000.000 | LDAP | 2017-09-29 07:24 | 2017-09-29 07:32 | 66 |


Note that this attack does not indicate the machines have been compromised by the attacker. Instead, it just indicates they are running a UDP protocol that is vulnerable to abuse. If possible, we recommend disabling unnecessary services to protect your devices from data exposure, and also to conserve bandwidth.

交換サービスに影響を与えることなく、このプロトコルの乱用を防ぐにはどうすればよいですか?

私はネットワークエンジニアでもサーバーホスティングにも精通していないので、どこから始めればよいのかわからないので、助けていただければ幸いです。

重複しない理由に答えるために編集:

この質問は、プロトコルの悪用を具体的に阻止することを目的としており、サーバーが侵害されたり、本番環境に移行したことがない場合でも、この質問が当てはまる可能性があります。

windows-server-2012-r2exchangeddos
1
Nightwolf

特定のケースでは、次のロジックを使用します。

  1. 管理対象サーバーか非管理対象サーバーかを識別します。彼らはあなたにそれの世話をするように頼んでいるので、それは管理されていないサーバーであるように聞こえます。 Windows Serverにログインして変更/インストールできる場合は、管理されていません。

  2. ファイアウォール(Windowsファイアウォール)製品を使用して、この攻撃に必要なポート389(UDP、インバウンドおよびアウトバウンド)をブロックします。これは実際にはエッジルーターで実行する必要がありますが、これを実行できるのはホスティング会社のみであり、他の顧客がそのポートを必要としている場合は、おそらくそれを実行したくないでしょう。

オプション

  1. 該当するすべてのパスワードを変更します。

  2. マシンをスキャンしてマルウェアを探します。

この攻撃はマシンにアクセスする必要はありませんが、それでも確実にチェックします。

389のインバウンドをブロックすると、マシンが攻撃に参加できなくなります。アウトバウンド389をブロックすると、マシンが侵害された場合、マシンは別の攻撃を開始できなくなります。

1
Brian D.