-----------------------------------------------
和其他安全漏洞相比,控制主机群并从其发动拒绝服务是很复杂的。换句话来说,没有什么简单的单一的措施可以防止类似的攻击。而必须采用多种安全和保护手段来防止这样的攻击。对于那些系统目前正受到威胁的网管们,以下我提供的快速简单的方法可能会对你们有所帮助。- Mixter
目前或是潜在的包淹没拒绝服务的受害者所应当做的事情:
1)避免FUD
FUD代表恐惧(fear)不确定(uncertainty)和否定(doubt)。最近的攻击造成了成为目标的受害的的愤怒与不冷静。但是应当意识到的是,只有少部分的公司和主机有可能成为拒绝服务攻击的受害者。这些包括最受欢迎的站点例如搜索引擎,最流行的电子商务和证券公司,IRC聊天服务器,以及电子杂志(为了明显的目的)。如果你不是包含在这些里面的,你就不用担心成为DoS攻击的直接目标。
2)与你的互连网上行链路供应者(们)合作
协助你的直接主要和上行链路供应者并与之合作是很重要的。在DdoS攻击者使用的带宽是很大的你自己的网络一般来讲不论你如何尝试都是不能处理的。所以与你的上行链路取得联系确保他们会帮助你实现访问控制来限制在同一时间允许通过的带宽量和不同的源地址数量。在理想的情况下,你的上行链接会在确实存在攻击的情况下监控或是允许你访问他们的路由。
3)优化你的路由和网络结构
如果你所拥有的不止是一个主机,而是一个大的网络的话,你该调整你的路由来减小DoS攻击的威胁。要防止SYN淹没攻击,设置TCP检查功能。关于这个的技术细节可以从http://www.cisco.com或是你的路由供应商的热线获得。阻塞那些你的网络不需要的UDP和ICMP消息。特别是那些向外发送的ICMP不可到达消息会加重包淹没攻击的危害。
4)优化你最重要的公共访问的主机
在可能成为潜在目标的主机上做同样的事情。拒绝所有的你的服务器不许要运行的服务所需要的流通。进一步来讲多穴(向一个主机分配多个IP),会给攻击者造成很大的障碍。我建议你将自己的网站分配到多个物理上独立的主机上,那些主机上的HTML索引站点只含有你真正的网络服务器的转发入口。
5)在攻击正在进行时,立即采取措施
尽快的追踪包并与追踪显示包风暴是来源于他们的网络的上行链接联系是很重要的。不要认定那些源地址,一般在DoS攻击中他们是任意选择的。能否确定伪装了的DoS攻击的来源取决于你的快速反应因为允许流量追踪的路由入口会在大量数据包过后过期。
目前已经或是潜在的被控制,闯入或是安装了协助了数据淹没的程序的用户所应当作的重要的事。
6)避免FUD
作为潜在的被侵害者,你应当合理有效的采取措施而不是惊慌。注意目前的拒绝服务攻击的服务器软件基本上都是为Linux和Solaris书写并在上面安装的。它们有可能会移植给*BSD*系统,但是由于它们更为安全,所以不用担心会出现什么大问题。
7)确定你的主机没有被控制
目前有很多可以利用的漏洞,并且许多老的漏洞也再次出现了。检查利用信息的数据库,比如securityfocus.com或是packetstorm.securify.com来确定你的服务器软件的版本是否存在漏洞。记住,入侵者必须使用现有的漏洞来进入你的系统并安装他们的程序。你应当检查你的服务器配置来查找安全方面的误操作,运行最新升级的软件版本,并且,也是最重要的,运行你所需要的也是最少的服务。在某种程度上来说你可以认为自己是安全的了。
8)经常性的检查你的系统
你应当意识到你应该对自己的系统和发生在系统中的事情负责。你得学习足够的知识来了解你的系统的服务器软件如何运行的,并经常性的检查你所采用的安全策略。查看完全开放的安全站点来查找新的在你将要采用的操作系统和服务器软件中漏洞和缺陷。
9)使用加密检查
在一个你确定没有被闯入或是控制的系统中,你应当建立对你所有的二进制和其他可信系统文件产生数字签名的的系统,并周期性的检查那些文件的变化。进一步来讲,建议在不会被远程攻击者访问到的其他机器或是可移动媒体上存储系统的真正的校验和。可以用于这项操作的软件,比如tripwire可以在类似packetstorm.securify.com和公共开放的源ftp中找到。如果你喜欢,你可以采用商业用途的软件。
10)在正在被攻击的时候:立即关闭你的系统并做检查
如果你在你的主机或是系统中检测到了攻击。你必须立即关闭你的系统,至少也得将系统从网络上断开。如果类似的攻击在你的机器上出现的话,这就意味着攻击者几乎获得了主机的全部的控制权。它们应当被检查出来并且卸载掉。你同样可以与安全机构或是CERT (www.cert.org)或SANS (www.sans.org)取得联系并求助。向这些机构提供黑客在你被控制的主机上留下的信息同样很重要,因为它们会帮助记录下攻击的来源。
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.1
iQEVAwUBOKQY5rdkBvUb0vPhAQHkyQf9GQlwQWfJTy3QSXobwijbF+fpuUt5TOwS
6kz8JkdMpCz3hyrVNSuixvR9Z7RTfriHTn6Mk6j2EtXBtcvqkxZfP6Gh4k+PlnLK
YYF0fCgT9tK62SqOrZS1fvSSDGS+s/k6hys2tb3vrVhkappTi8eynihLe6v6BnL2
/cAuck4ACGruaLxqwMJu16tY83OsiTV/StAVPivQpaBz1KeWN4MxJc568/Y/wUsx
xfwjgncNflYCsMnGEMaVuPYeaPkeNXBn2NtwTKN3EVcga4/BgqVo1VrfxBinBNEt
AZBpMk16Gql82BmXTaFuLnYxJ7TLiHZVhiq6l6DYwws+MjpjT5IiDw==
=g2Lj
-----END PGP SIGNATURE-----