linux ssdp攻击脚本,解决办法一SSDP服务放大分布式拒绝服务（1900端口）关闭系统服务a.doc...

解决办法一SSDP服务放大分布式拒绝服务(1900端口)关闭系统服务a.doc

解决办法

一 SSDP服务放大分布式拒绝服务(1900端口)关闭系统服务

a)在Windows下以管理员身份运行cmd.exe，并执行以下命令：sc config SSDPSRV start= DISABLEDb)在桌面上右击“计算机”，在“服务和应用程序”中点击“服务”，找到“SSDP Discovery”服务，双击后该服务后选择“禁用”选项。

防火墙拦截a)在Windows系统操作如下：在“开始”-“控制面板”-“Windows防火墙”-“高级设置”中，分别在“入站规则”和“出站规则”中加入一条新的规则，新建规则操作如下：点击“新建规则”，选择“端口”和“下一步”，选择“UDP”，并在“特定远程端口中”输入“1900”，点击“下一步”，选择“阻止连接”和“下一步”，选择“域”、“专业(P)”、“公用(U)”和“下一步”，在名称中输入“SSDP Discovery”，并点击“完成”。

b)在Linux系统操作如下：1)打开/etc/sysconfig/iptables文件(操作以CENTOS为例)，在文件中加入如下规则：-A INPUT -p udp -m udp --sport 1900 -j DROP-A INPUT -p udp -m udp --dport 1900 -j DROP-A OUTPUT -p udp -m udp --sport 1900 -j DROP-A OUTPUT -p udp -m udp --dport 1900 -j DROP2)最后重启防火墙#service iptables restart

c)在边界防火墙上拦截目的或者源端口为1900的所有UDP报文。配置示例：Cisco ACLaccess-list 102 deny udp any any eq 1900access-list 102 deny udp any eq 1900 any

二 NTP服务放大分布式拒绝服务(123端口)Linux系统[3，4]【方案1】升级现有ntpd版本Linux系统中的ntpd 4.2.6.x及此前的版本存在“monlist”请求漏洞，该漏洞可以被攻击者利用进行反射放大攻击。而ntpd 4.2.7p26及之后的版本关闭了REQ_MON_GETLIST和REQ_MON_GETLIST_1请求功能。升级到ntpd 4.2.7p26或更高版本可以避免针对该漏洞的攻击。【方案2】禁用或限制状态查询首先查询问题主机的REQ_MON_GETLIST和REQ_MON_GETLIST_1请求是否可用。具体操作方法：ntpq -c rvntpdc -c sysinfontpdc -n -c monlist如果上述功能可用，可尝试通过修改ntp.conf文件解决问题，具体操作建议是在上述配置文件中增加下面的配置：IPV4:?restrict default kod nomodify notrap nopeer noqueryIPv6:?restrict -6 default kod nomodify notrap nopeer noquery/*允许发起时间同步的IP，与本服务器进行时间同步，但是不允许修改ntp服务信息，也不允许查询服务器的状态信息(如monlist)*/另外，还可以配置限制访问命令，如：restrict default noquery /*允许普通的请求者进行时间同步，但是不允许查询ntp服务信息*/对更具体的配置功能的需求，请查阅参考文献[3,4]修改并保存配置文件之后，请重启ntpd服务。

Windows Server系统[3]在ntp.conf配置文件中增加(或修改)“disable monitor”选项，可以关闭现有NTP服务的monlist功能。修改并保存配置文件之后，请重启ntpd服务

为路由器或防火墙配置过滤条件具体配置方案请参考具体的设备产品使用文档或参考文献[5]。

三 Chargen服务放大分布式拒绝服务(19端口)

关闭系统服务Linux系统在/etc/inetd.conf 文件中注释掉'chargen' 服务或者在/etc/xinetd.d/ 目录下将chargen服务对应的文件中的"disable" 属性改为 "yes"。

Window系统Chargen服务属于Windows系统中的SimpTCP服务，一般情况下Windows系统缺省不会安装该服务，如果已经安全该服务，可以通过如下几种方式关闭服务a) 通过控制面板中的Service管理程序

b) 通过修改注册表通