上一篇：系统安全的最小特权原则 >>

防DDoS攻击11招

　1．确保所有服务器采用最新系统，并打上安全补丁。计算机紧急响应协调中心发现，几乎每个受到ddos攻击的系统都没有及时打上补丁。

　　2．确保管理员对所有主机进行检查，而不仅针对关键主机。这是为了确保管理员知道每个主机系统在运行什么？谁在使用主机？哪些人可以访问主机？不然，即使黑客侵犯了系统，也很难查明。

　　3．确保从服务器相应的目录或文件数据库中删除未使用的服务如ftp或nfs。wu-ftpd等守护程序存在一些已知的漏洞，黑客通过根攻击就能获得访问特权系统的权限，并能访问其他系统——甚至是受防火墙保护的系统。

　　4．确保运行在unix上的所有服务都有tcp封装程序，限制对主机的访问权限。

　　5．禁止内部网通过modem连接至pstn系统。否则，黑客能通过电话线发现未受保护的主机，即刻就能访问极为机密的数据。

　　6．禁止使用网络访问程序如telnet、ftp、rsh、rlogin和rcp，以基于pki的访问程序如ssh取代。ssh不会在网上以明文格式传送口令，而telnet和rlogin则正好相反，黑客能搜寻到这些口令，从而立即访问网络上的重要服务器。此外，在unix上应该将.rhost和hosts.equiv文件删除，因为不用猜口令，这些文件就会提供登录访问！

　　7．限制在防火墙外与网络文件共享。这会使黑客有机会截获系统文件，并以特洛伊木马替换它，文件传输功能无异将陷入瘫痪。

　　8．确保手头有一张最新的网络拓扑图。这张图应该详细标明tcp/ip地址、主机、路由器及其他网络设备，还应该包括网络边界、非军事区（dmz）及网络的内部保密部分。

　　9．在防火墙上运行端口映射程序或端口扫描程序。大多数事件是由于防火墙配置不当造成的，使dos/ddos攻击成功率很高，所以定要认真检查特权端口和非特权端口。

　　10．检查所有网络设备和主机/服务器系统的日志。只要日志出现漏洞或时间出现变更，几乎可以肯定：相关的主机安全受到了危胁。

　　11．利用ddos设备提供商的设备。

　　遗憾的是，目前没有哪个网络可以免受ddos攻击，但如果采取上述几项措施，能起到一定的预防作用。

（）

返回顶部

下一篇：轻松学习 PKI >>