我是否参与了最近对Dyn的DNS服务进行的DDoS攻击？

#1 楼

如果您不主动监视网络流量，则要事后知道可能会有些困难。但是，您现在可以做一些事情来确定您是否有成为参与者的风险并减轻将来的参与。

在许多地方已经提到，如果您的WAN路由器/网桥/电缆调制解调器/防火墙已打开uPnP，您肯定已打开本地网络的风险。您应该关闭此功能。

对于各种设备，如果您保留了默认的管理员密码设置，那么您将自己保持打开状态。更改此设置。

确保设备上的固件是最新的，并希望在不久的将来会有进一步的更新。

如果您的设备没有需要在Internet上进行通信以“打电话回家”，然后阻止他们进行此类操作；不要为他们提供默认路由，添加防火墙规则等。

对于大多数帐户而言，CCTV（例如网络摄像头）是受感染和利用的主要设备。如果您拥有这样的设备，并且可以在此处找到已知的违法者列表（https://krebsonsecurity.com/2016/10/who-makes-the-iot-things-under-attack/），则可以考虑采取一些措施行动。

#2 楼

识别这可能有些困难，但是可能。



识别网络中的设备

这听起来很琐碎，但您可能惊讶地发现一些将您连接到路由器后甚至会忘记的恶意设备。检查路由器日志，连接的设备，甚至在本地网络上进行nmap扫描，找到所有活动的设备。


识别管理接口

识别所有这些设备的管理界面。由于我们专注于IoT设备，因此请对包括电视，冰箱，IP cam等设备进行此步骤。


验证是否限制对管理界面的访问。

您可能正在使用Web应用程序管理IP摄像机，但它可能也具有接受SSH或Telnet连接的接口。标识这些端口和服务，并确保不能远程访问它们。换句话说，请确保未启用IP转发或绕过NAT的方法。

如果设备启用了IPv6，则防火墙限制或身份验证挑战必须限制它们被远程接管。


请确保所有外部可访问的接口上均禁用弱密码，默认用户帐户和已知后门。

IP凸轮对于此类问题是臭名昭著的。

简而言之，没有一种甜美的方法来确定您是否属于影响互联网一部分的小组成员，但是仍然有阻止这种情况再次发生的方法。

#3 楼

恶意软件的源代码是公开的，因此您可以阅读它，并尝试使用与恶意软件相同的漏洞来手动破坏设备。如果您成功了，那么您的设备很可能以前就已经参与了攻击。

当然不是万无一失的（恶意软件可能是由足够聪明的人设计的，可以在他控制了漏洞之后塞住漏洞）设备），但值得一试。

#4 楼

答案很可能是否：

上星期五您没有参加大规模的DDoS攻击。
被用作僵尸网络一部分的受感染设备大多非常陈旧且没有安全性。措施，例如您附近的加油站上的那些相机（这些相机可能是10到15年前购买的）。

阅读本文，它解释了我所说的内容，但效果更好： https://www.wired.com/2016/10/internet-outage-webcam-dvr-botnet/

文章中的一些内容：


负责周五混乱的僵尸网络摄像头军队由工业安全摄像机，您在医生办公室或加油站中发现的那种以及与它们相连的记录设备组成。也？按照技术标准，它们大多数都是古老的。







“大多数都是在2004年开发的，”安全公司Flashpoint的研究开发人员Zach说
Wikholm，他一直在跟踪攻击的根本原因