1.確保所有服務(wù)器采用最新系統(tǒng),并打上安全補(bǔ)丁。計(jì)算機(jī)緊急響應(yīng)協(xié)調(diào)中心發(fā)現(xiàn),幾乎每個(gè)受到DDoS攻擊的系統(tǒng)都沒有及時(shí)打上補(bǔ)丁。
2.確保管理員對(duì)所有主機(jī)進(jìn)行檢查,而不僅針對(duì)關(guān)鍵主機(jī)。這是為了確保管理員知道每個(gè)主機(jī)系統(tǒng)在 運(yùn)行什么?誰(shuí)在使用主機(jī)?哪些人可以訪問主機(jī)?不然,即使黑客侵犯了系統(tǒng),也很難查明。
3.確保從服務(wù)器相應(yīng)的目錄或文件數(shù)據(jù)庫(kù)中刪除未使用的服務(wù)如FTP或NFS。Wu-Ftpd等守護(hù)程序存在一些已知的漏洞,黑客通過根攻擊就能獲得訪問特權(quán)系統(tǒng)的權(quán)限,并能訪問其他系統(tǒng)——甚至是受防火墻保護(hù)的系統(tǒng)。
4.確保運(yùn)行在Unix上的所有服務(wù)都有TCP封裝程序,限制對(duì)主機(jī)的訪問權(quán)限。
5.禁止內(nèi)部網(wǎng)通過Modem連接至PSTN系統(tǒng)。否則,黑客能通過電話線發(fā)現(xiàn)未受保護(hù)的主機(jī),即刻就能訪問極為機(jī)密的數(shù)據(jù)。
6.禁止使用網(wǎng)絡(luò)訪問程序如Telnet、Ftp、Rsh、Rlogin和Rcp,以基于PKI的訪問程序如SSH取代。SSH不會(huì)在網(wǎng)上以明文格式傳送口令,而Telnet和Rlogin則正好相反,黑客能搜尋到這些口令,從而立即訪問網(wǎng)絡(luò)上的重要服務(wù)器。此外,在Unix上應(yīng)該將.rhost和hosts.equiv文件刪除,因?yàn)椴挥貌驴诹,這些文件就會(huì)提供登錄訪問!
7.限制在防火墻外與網(wǎng)絡(luò)文件共享。這會(huì)使黑客有機(jī)會(huì)截獲系統(tǒng)文件,并以特洛伊木馬替換它,文件傳輸功能無(wú)異將陷入癱瘓。
8.確保手頭有一張最新的網(wǎng)絡(luò)拓?fù)鋱D。這張圖應(yīng)該詳細(xì)標(biāo)明TCP/IP地址、主機(jī)、路由器及其他網(wǎng)絡(luò)設(shè)備,還應(yīng)該包括網(wǎng)絡(luò)邊界、非軍事區(qū)(DMZ)及網(wǎng)絡(luò)的內(nèi)部保密部分。
9.在防火墻上運(yùn)行端口映射程序或端口掃描程序。大多數(shù)事件是由于防火墻配置不當(dāng)造成的,使DoS/DDoS攻擊成功率很高,所以定要認(rèn)真檢查特權(quán)端口和非特權(quán)端口。
10.檢查所有網(wǎng)絡(luò)設(shè)備和主機(jī)/服務(wù)器系統(tǒng)的日志。只要日志出現(xiàn)漏洞或時(shí)間出現(xiàn)變更,幾乎可以肯定:相關(guān)的主機(jī)安全受到了危脅。
11.利用DDoS設(shè)備提供商的設(shè)備。
遺憾的是,目前沒有哪個(gè)網(wǎng)絡(luò)可以免受DDoS攻擊,但如果采取上述幾項(xiàng)措施,能起到一定的預(yù)防作用。