Port Mapper反射DDoS攻击预警

栏目: 编程工具 · 发布时间: 6年前

内容简介:报告编号: B6-2018-091401报告来源: 360CERT

Port Mapper反射DDoS攻击预警

报告编号: B6-2018-091401

报告来源: 360CERT

报告作者: 360CERT

更新日期: 2018-09-14

0x00 事件背景

2018-09-14 360CERT 经过一系列流量监控发现存在 111端口大量异常流量

Port Mapper反射DDoS攻击预警

360 CERT通过分析发现该端口是 linux 下 port mapper (rpc.portmap、 just portmap 、 rpcbind)这三个常见应用所使用的端口,port mapper的主要功能是把RPC程映射为开放在Internet上的端口号,攻击者可利用Portmapper或RPC Portmapper,从受害者Portmapper服务器发送大量响应,使受害者带宽饱和导致网站和基于Web的服务无法访问。

0x01 影响范围

360的监控数据显示 111端口流量在今天上午8:45分达到峰值。总计发送数据包1859,325个 数据包

111端口流量排名前10的ip地址如下

Port Mapper反射DDoS攻击预警

0x02 修复建议

rpcbind 是debain下nfs-client默认安装的依赖包,如果你不需要nfs相关服务,则它们是 不必要的。rpcbind在以前以被证明存在潜在的安全风险。

根据发行版可以使用如下命令关闭rpcbind服务

stop the service: 
#systemctl stop rpcbind.service
disable the service:
#systemctl disable rpcbind.service

或使用netstat -anp | grep 111 进行端口查看对应的进程pid后通过kill -9 PID进行 进程清理

0x03 时间线

2018-09-14 360CERT通过netlab平台监控发现存在大量111端口异常流量

2018-09-14 360CERT发布预警通告

0x04 参考链接

  1. netlab网络监控数据

声明:本文来自360CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

这就是OKR

这就是OKR

【美】约翰·杜尔(John Doerr) / 曹仰锋、王永贵 / 中信出版社 / 2018-12 / 68.00元

这本书是传奇风险投资人约翰·杜尔的作品,揭示了OKR这一目标设定系统如何促使英特尔、谷歌等科技巨头实现爆炸性增长,以及怎样促进所有组织的蓬勃发展。 20世纪70年代,在英特尔担任工程师时,杜尔首次接触到OKR。之后,作为一个风险投资人,杜尔不遗余力地将这一管理智慧,分享给50多家公司和机构,包括谷歌、亚马逊、领英、脸书、比尔及梅琳达·盖茨基金会,甚至摇滚歌手波诺的公益项目。在杜尔的帮助下,任......一起来看看 《这就是OKR》 这本书的介绍吧!

URL 编码/解码
URL 编码/解码

URL 编码/解码

html转js在线工具
html转js在线工具

html转js在线工具

HEX HSV 转换工具
HEX HSV 转换工具

HEX HSV 互换工具