Как найти системы с уязвимостью, которые впоследствии могут стать агентом для DDoS?

Question

Как найти системы с уязвимостью, которые впоследствии могут стать агентом для DDoS?

Как определить системы с уязвимостью, какой инструмент сканирования лучше. Система должна быть идентифицирована, чтобы ее можно было использовать в качестве агента для DDoS. В тестовой обстановке я хочу это проверить. Кто-нибудь может помочь?

0

security ddos vulnerability

Источник

31 мар '10 в 07:29

4 ответа

Другие вопросы по тегам security ddos vulnerability

jliendo 01 мар '11 в 04:06 2011-03-01 04:06 · Answer 1 · 2011-03-01 04:06

Не связанная непосредственно с вашим вопросом, но идея, которая может пригодиться где-то в будущем, - это концепция включения сетевого потока в вашей сетевой инфраструктуре.

Как только ваши сетевые устройства начинают сообщать о сетевых потоках сборщику сетевых потоков, вы можете относительно легко определить, какие машины используются в рамках кампании DDoS. Те, которые показывают всплеск количества потоков в секунду, вполне могут быть теми, которые уже скомпрометированы и используются в качестве инструмента DDoS для отключения цели (сетевой поток имеет много других применений в безопасности).

Существует много других методов "организации трафика", которые полезны для обнаружения такого рода поведения в корпоративной сети (и многие другие в среде поставщика услуг).

Например, с помощью организации трафика (маршрутизации) вы могли бы "привлечь" весь трафик, предназначенный для пространства IP-адресов (т. Е. RFC1918/RFC5735), который ваша организация не использует, в устройство, которое обычно называют "провальной ямой". Обычно вы никогда не должны видеть трафик в провале, но если вы это делаете, это может сигнализировать о наличии скомпрометированных машин в вашей инфраструктуре, которые генерируют трафик на IP-адреса, которые недопустимы в вашей организации. Поскольку вы "привлекаете" этот трафик, они заканчиваются в провале. Такое поведение также может быть результатом того, что зараженные машины сканируют вашу организацию в поисках жертв для дальнейшего распространения и т. Д.

Rook 03 апр '10 в 05:27 2010-04-03 05:27 · Answer 2 · 2010-04-03 05:27

Любая система может быть взломана и использоваться для DDoS. Для удаленного сканирования системы на предмет уязвимости к атакам вы можете использовать OpenVAS. Взломанные машины также используются для рассылки спама, многие IP-адреса в черном списке реального времени также являются членами ботнета, которые часто используются для DDoS.