|
對于每個面臨安全威脅的系統(tǒng)���,這里列出了一些簡單易行和快速的安全策略以保護免受這些攻擊�。
本文是由編寫分布式拒絕服務(wù)攻擊工具TFN和TFN2K(這些工具曾被用于攻擊Yahoo等大型網(wǎng)站)的德國著名黑客Mixter(年僅20歲)提供�。
簡單地說,掌握所有可能導(dǎo)致被入侵和被用于實施拒絕服務(wù)攻擊的原因和安全漏洞是非常復(fù)雜的��。詳細地說�,沒有簡單和專門的方法保護不受到這些攻擊,而只能盡可能地應(yīng)用各種安全和保護策略��。對于每個面臨安全威脅的系統(tǒng)�����,這里列出了一些簡單易行和快速的安全策略以保護免受這些攻擊�。
對于面臨拒絕服務(wù)攻擊的目標或潛在目標,應(yīng)該采取的重要措施:
1���、消除FUD心態(tài)
FUD的意思是Fear(恐懼)���、Uncerntainty(猜測)和Doubt(懷疑)�。最近發(fā)生的攻擊可能會使某些人因為害怕成為攻擊目標而整天擔心受怕���。其實必須意識到可能會成為拒絕服務(wù)攻擊目標的公司或主機只是極少數(shù)�,而且多數(shù)是一些著名站點�,如搜索引擎、門戶站點����、大型電子商務(wù)和證券公司、 IRC服務(wù)器和新聞雜志等�。如果不屬于這類站點,大可不必過于擔心成為拒絕服務(wù)攻擊的直接目標�。
2、要求與ISP協(xié)助和合作
獲得你的主要互聯(lián)網(wǎng)服務(wù)供應(yīng)商(ISP)的協(xié)助和合作是非常重要的��。分布式拒絕服務(wù)(DDoS)攻擊主要是耗用帶寬�����,單憑你自己管理網(wǎng)絡(luò)是無法對付這些攻擊的�。與你的ISP協(xié)商����,確保他們同意幫助你實施正確的路由訪問控制策略以保護帶寬和內(nèi)部網(wǎng)絡(luò)��。最理想的情況是當發(fā)生攻擊時你的ISP愿意監(jiān)視或允許你訪問他們的路由器��。
3�����、優(yōu)化路由和網(wǎng)絡(luò)結(jié)構(gòu)
如果你管理的不僅僅是一臺主機���,而是網(wǎng)絡(luò),就需要調(diào)整路由表以將拒絕服務(wù)攻擊的影響減到最小�。為了防止SYN flood攻擊,應(yīng)設(shè)置TCP偵聽功能����。詳細資料請參閱相關(guān)路由器技術(shù)文檔。另外禁止網(wǎng)絡(luò)不需要使用的UDP和ICMP包通過����,尤其是不應(yīng)該允許出站 ICMP“不可到達”消息。
4��、優(yōu)化對外開放訪問的主機
對所有可能成為目標的主機都進行優(yōu)化。禁止所有不必要的服務(wù)��。另外多IP主機也會增加攻擊者的難度��。建議在多臺主機中使用多IP地址技術(shù)�,而這些主機的首頁只會自動轉(zhuǎn)向真正的web服務(wù)器。
5�、正在受到攻擊時,必須立刻應(yīng)用對應(yīng)策略�。
盡可能迅速地阻止攻擊數(shù)據(jù)包是非常重要的,同時如果發(fā)現(xiàn)這些數(shù)據(jù)包來自某些ISP時應(yīng)盡快和他們?nèi)〉寐?lián)系��。千萬不要依賴數(shù)據(jù)包中的源地址���,因為它們在 DoS攻擊中往往都是隨機選擇的�����。是否能迅速準確地確定偽造來源將取決于你的響應(yīng)動作是否迅速��,因為路由器中的記錄可能會在攻擊中止后很快就被清除�。
對于已被或可能被入侵和安裝DDoS代理端程序的主機����,應(yīng)該采取的重要措施:
6���、消除FUN心態(tài)
作為可能被入侵的對象��,沒必要太過緊張��,只需盡快采取合理和有效的措施即可?,F(xiàn)在的拒絕服務(wù)攻擊服務(wù)器都只被安裝到Linux和Solaris系統(tǒng)中。雖然可能會被移植到*BSD*或其它系統(tǒng)中���,但只要這些系統(tǒng)足夠安全�,系統(tǒng)被入侵的可能性不大�。
7、確保主機不被入侵和是安全的
現(xiàn)在互聯(lián)網(wǎng)上有許多舊的和新的漏洞攻擊程序����。以確保你的服務(wù)器版本不受這些漏洞影響。記住�,入侵者總是利用已存在的漏洞進入系統(tǒng)和安裝攻擊程序。系統(tǒng)管理員應(yīng)該經(jīng)常檢查服務(wù)器配置和安全問題���,運行最新升級的軟件版本���,最重要的一點就是只運行必要的服務(wù)��。如果能夠完全按照以上思路�����,系統(tǒng)就可以被認為是足夠安全���,而且不會被入侵控制。
8���、周期性審核系統(tǒng)
必須意識到你要對自己管理的系統(tǒng)負責�����。應(yīng)該充分了解系統(tǒng)和服務(wù)器軟件是如何工作的��,經(jīng)常檢查系統(tǒng)配置和安全策略���。另外還要時刻留意安全站點公布的與自發(fā)管理的操作系統(tǒng)及軟件有關(guān)的最新安全漏洞和問題。
9�����、檢查文件完整性
當確定系統(tǒng)未曾被入侵時���,應(yīng)該盡快這所有二進制程序和其它重要的系統(tǒng)文件產(chǎn)生文件簽名�����,并且周期性地與這些文件比較以確保不被非法修改��。另外�����,強烈推薦將文件檢驗和保存到另一臺主機或可移動介質(zhì)中�。這類文件/目錄完整性檢查的免費工具(如tripwire等)可以在許多FTP站點上下載�����。當然也可以選擇購買商業(yè)軟件包����。
10、發(fā)現(xiàn)正在實施攻擊時�,必須立刻關(guān)閉系統(tǒng)并進行調(diào)查
如果監(jiān)測到(或被通知)網(wǎng)絡(luò)或主機正實施攻擊,應(yīng)該立刻關(guān)閉系統(tǒng)�����,或者至少切斷與網(wǎng)絡(luò)的連接。因為這些攻擊同時也意味著入侵者已幾乎完全控制了該主機�,所以應(yīng)該進行研究分析和重新安裝系統(tǒng)。建議聯(lián)系安全組織����。。必須記往����,將攻擊者遺留在入侵主機中的所有程序和數(shù)據(jù)完整地提供給安全組織或?qū)<沂欠浅V匾驗檫@能幫助追蹤攻擊的來源
|
