译者注: 本文是由编写分布式拒绝服务攻击工具TFN和TFN2K(这些工具被用于攻击Ya hoo等大型网站)的德国 著名黑客Mixter(年仅20岁)提供。
简单地说,掌握所有可能导致被入侵和被用于实施拒绝服务攻击的原因和安 全漏洞是非常复杂的。详 细地说,没有简单和专门的方法保护不受到这些攻击,而只能尽可能地应用各种 安全和保护策略。对于每 个面临安全威胁的系统,这里列出了一些简单易行和快速的安全策略以保护免受 这些攻击。
对于面临拒绝服务攻击的目标或潜在目标,应该采取的重要措施:
1) 消除FUD心态
FUD的意思是Fear(恐惧)、Uncerntainty(猜测)和Doubt(怀疑)。最近 发生的攻击可能会使某些 人因为害怕成为攻击目标而整天担心受怕。其实必须意识到可能会成为拒绝服务 攻击目标的公司或主机只 是极少数,而且多数是一些著名站点,如搜索引擎、门户站点、大型电子商务和 证券公司、IRC服务器和新 闻杂志等。如果不属于这类站点,大可不必过于担心成为拒绝服务攻击的直接目 标。
2) 要求与ISP协助和合作
获得你的主要互联网服务供应商(ISP)的协助和合作是非常重要的。分布式 拒绝服务(DDoS)攻击主 要是耗用带宽,单凭你自己管理网络是无法对付这些攻击的。与你的ISP协商,确 保他们同意帮助你实施正 确的路由访问控制策略以保护带宽和内部网络。最理想的情况是当发生攻击时你 的ISP愿意监视或允许你访 问他们的路由器。
3) 优化路由和网络结构
如果你管理的不仅仅是一台主机,而是网络,就需要调整路由表以将拒绝服 务攻击的影响减到最小。 为了防止SYN flood攻击,应设置TCP侦听功能。详细资料请参阅相关路由器技术 文档。另外禁止网络不需 要使用的UDP和ICMP包通过,尤其是不应该允许出站ICMP“不可到达”消息。
4) 优化对外开放访问的主机
对所有可能成为目标的主机都进行优化。禁止所有不必要的服务。另外多IP 主机也会增加攻击者的难 度。建议在多台主机中使用多IP地址技术,而这些主机的首页只会自动转向真正 的web服务器。
5) 正在受到攻击时,必须立刻应用对应策略。
尽可能迅速地阻止攻击数据包是非常重要的,同时如果发现这些数据包来自 某些ISP时应尽快和他们取 得联系。千万不要依赖数据包中的源地址,因为它们在DoS攻击中往往都是随机选 择的。是否能迅速准确地 确定伪造来源将取决于你的响应动作是否迅速,因为路由器中的记录可能会在攻 击中止后很快就被清除。
对于已被或可能被入侵和安装DDoS代理端程序的主机,应该采取的重要措施:
6) 消除FUN心态
作为可能被入侵的对象,没必要太过紧张,只需尽快采取合理和有效的措施 即可。现在的拒绝服务攻击 服务器都只被安装到Linux和Solaris系统中。虽然可能会被移植到*BSD*或其它系 统中,但只要这些系统足 够安全,系统被入侵的可能性不大。
7) 确保主机不被入侵和是安全的
现在互联网上有许多旧的和新的漏洞攻击程序。系统管理员应检查漏洞数据 库,如securityfocus.com或 packetstorm.securify.com(注:中国请到http://www.isbase.com/),以确保 你的服务器版本不受这些漏 洞影响。记住,入侵者总是利用已存在的漏洞进入系统和安装攻击程序。系统管 理员应该经常检查服务器配 置和安全问题,运行最新升级的软件版本,最重要的一点就是只运行必要的服务 。如果能够完全按照以上思 路,系统就可以被认为是足够安全,而且不会被入侵控制。
8) 周期性审核系统
必须意识到你要对自己管理的系统负责。应该充分了解系统和服务器软件是 如何工作的,经常检查系统 配置和安全策略。另外还要时刻留意安全站点公布的与自发管理的操作系统及软 件有关的最新安全漏洞和问 题。
9) 检查文件完整性
当确定系统未曾被入侵时,应该尽快这所有二进制程序和其它重要的系统文 件产生文件签名,并且周期 性地与这些文件比较以确保不被非法修改。另外,强烈推荐将文件检验和保存到 另一台主机或可移动介质中。 这类文件/目录完整性检查的免费工具(如tripwire等)可以在许多FTP站点上下 载。当然也可以选择购买商 业软件包。
10) 发现正在实施攻击时,必须立刻关闭系统并进行调查
如果监测到(或被通知)网络或主机正实施攻击,应该立刻关闭系统,或者 至少切断与网络的连接。因 为这些攻击同时也意味着入侵者已几乎完全控制了该主机,所以应该进行研究分 析和重新安装系统。建议联 系安全组织。如美国的CERT(www.cert.org)或SANS(www.sans.org)或中国的 isbase(www.isbase.com) 等。必须记往,将攻击者遗留在入侵主机中的所有程序和数据完整地提供给安全 组织或专家是非常重要,因 为这能帮助追踪攻击的来源。