在防火墙上运行端口映射程序或端口扫描程序。大多数事件是由于防火墙配置不当造成的,使DoS/DDoS攻击成功率很高,所以一定要认真检查特权端口和非特权端口。
现在有很多防火墙产品集成了反DDoS功能,进一步提高了对常见DDoS攻击包的识别能力。这样的产品可以在很大程度上增强DDoS防御能力,并且可以做到不对数据包进行完全检查就可以发现“恶意行为”。这是非常有用的功能,因为如果判断DDoS攻击所耗费的处理越少,就越不容易被耗尽处理能力,从而极大地增加攻击者的成本。包括很多路由器产品在内的网络设备都具备一些防火墙功能,我们应该尽可能充分利用。
另外,实现IDS和防火墙的联动也是有效抵御DDoS攻击的有效手段。
加强网络管理,建立合理的应对策略
1.确保手头有一张最新的网络拓扑图。这张图应该详细标明TCP/IP地址、主机、路由器及其他网络设备,还应该包括网络边界、非军事区(DMZ)及网络的内部保密部分。
2.在网络管理方面,要经常检查系统的物理环境,禁止那些不必要的网络服务。建立边界安全界限,确保输出的包受到正确限制。经常检测系统配置信息,并注意查看每天的安全日志,检查所有网络设备和主机/服务器系统的日志,只要日志出现漏洞或时间出现变更,几乎可以肯定相关的主机安全受到了危胁。
3.与网络服务提供商协调工作,让网络服务提供商帮助实现路由的访问控制和对带宽总量的限制。
4.当用户发现自己正在遭受DDoS攻击时,应当启动自己的应付策略,尽可能快地追踪攻击包,并及时联系ISP和有关应急组织,分析受影响的系统,确定涉及的其他节点。
5.确保管理员对所有主机进行检查,而不仅针对关键主机。这是为了确保管理员知道每个主机系统在运行什么?谁在使用主机?哪些人可以访问主机?不然,即使黑客侵犯了系统,也很难查明。
6.对一些重要的信息(例如系统配置信息)建立和完善备份机制。对一些特权账号(例如管理员账号)的密码设置要谨慎。
通过以上一系列的举措可以把攻击者的可乘之机降低到最小。
病毒预警
最近有一个病毒特别值得注意,它伪装成流行的网上聊天工具MSN 8的测试版本,通过MSN进行传播。中毒电脑可被黑客远程控制,如:添加删除程序、盗取隐私信息等。
减小字体
增大字体