什么是DoS?什么是DDoS?它们的危害是什么?怎样有效预防它们?我想这是每一个网络管理人员都关心的问题。下面,我就以问答的形式,从DoS的概念、行为以及预防手段几个方面详细地论述DoS攻防。
Q:如果在服务器上发现了一个 DDoS主机程序应该怎么办?
A:如果在系统上出现了特洛伊木马程序,就表明系统上有一个弱点被人利用了。在系统上可能已经发生了一些细微或不那么细微的变化,虽然系统可能还没有表现出外在的问题,但不能因此而放松警惕。
执行你的组织中的应急反应策略。如果现在还没有这样的策略,那么至少要执行以下这些应急步骤:
从有疑点的第一个事件开始,按照危害的严重程度,把一切都写下来。从技术上和法律上,这都是很有帮助的。
不要对外散布关于你的组织所受到的威胁的消息。这不会有任何帮助,而且还会让媒体卷进来。你只需要通知那些能帮助你解决这些问题的人,以及组织的管理人员和法律人士。
向你的组织中最权威的安全专家求助。如果没有这样的人,可以向咨询公司寻求帮助,这些公司对你正在运行的xx作系统和系统软件应急处理方面的问题是很有经验的。
从网络上把受到威胁的计算机移走,最简单也最彻底的方法就是拔掉网线。如果这个计算机的作用很关键,那么就要配置一个热备份机器。如果没有热备份机器,那么就要停工喽。
要对受到威胁的计算机的文件系统进行备份。在备份之前,要把xx作系统管理的所有动态数据表都转换成标准文件,以便以后进行分析。例如,当前正在执行的程序列表、当前登录用户、当前网络连接。为了更加保险,建议使用两种不同的备份程序做两个系统备份。
关掉受到威胁的计算机。
重新启动计算机。
重新格式化系统软件使用的驱动器。
重新安装xx作系统。
安装xx作系统的所有补丁程序包。
恢复文件系统。不要覆盖任何系统文件,恢复之前手动检测所有的口令。
把计算机重新连入网络。
检测网络上的其它计算机,看看别处有没有被利用的弱点。
Q:如何防止服务器被当做DDoS主机?
A:建议采取如下步骤:
1、首先要充分认识和理解Internet服务器上存在的弱点:
除非是已经采取了特殊措施,Internet服务器都有主机名和IP地址,Internet上的任何人都能很容易地查找到这些信息。
许多组织都不把防火墙放在Internet服务器之前,这样即使是防火墙能够轻易阻止的探测和攻击也无法阻挡。
默认状态下,服务器监听来自标准端口的服务请求,并很自然地试图处理这些请求。
服务器本来就是要在无人照料的情况下运行的,所有一般不会有一个用户现身来寻找不正常的动作。
服务器还经常需要远程管理,因此它们要接受来自用户的远程连接,这些用户通常具有非常强大的权限。
许多服务器都会在关机之后自动重新启动,而这正是那些攻击者在利用它的时候所希望的。
2、如果系统已经受到了威胁,立即备份文件系统,然后重新安装xx作系统并恢复文件系统。
3、安装软件产商提供的xx作系统升级程序。如果升级程序是与系统安全相关的,那在安装的时候尤其要注意。一定要仔细阅读软件产商的升级文件readme,因为有些升级程序并不是测试得那么好,其中有些缺点可能反而对你的系统造成危害。
4、对服务器进行保护。
关闭所有不必要的系统服务。xx作系统所提供的许多服务并不是Web服务器所需要的,例如基于RPC的服务。要采取"先拒绝,再允许"的策略。除非这个服务是完全必要的,就先将其关闭。
首先要确定哪些基于程序的服务可以关闭,如FTP、 telnet等。在文件系统中,这些服务很容易找到,都是可执行程序。
很多系统都曾受到缓冲区溢出漏洞的威胁。
检测xx作系统文档,看看它是否在内核级提供了以不可视的单独程序形式存在的服务。例如,netmask服务就可以在内核级运行。这种情况下,首先确定可以设置哪些参数,然后关闭不必要的内核级服务。
联系xx作系统供应商,看看是否还有其它内核级服务不在系统文档内,如果有的话,就应该禁止它们。
一旦将所有这些不必要的服务都禁止之后,要对整个系统作一个加密校验和xx作,以备今后出现疑点时使用。对于基于UNIX的系统,Tripwire能够完成这个功能,详细资料请参阅:http://www.tripwiresecurity.com/。
http://www.cert.org/security-improvement/practices/p043.html有关于加密检验和的详细信息。
配置Web服务器软件。首先要验证已经安装了最新版本的Web 服务器软件。其次,关闭Web 服务器软件所提供的所有不必要服务,比如关闭不是必须的Java支持、CGI支持和服务器端脚本支持。
限制对服务器的物理访问。要采取适当行动,确保服务器只能被指定的系统管理员访问。如果侵入者能够对服务器进行物理访问的话,只需一张软盘就能打败全世界的安全保卫措施。
Q:如何防止个人计算机成为 DDoS 主机?
A:建议采取如下步骤:
1、首先要充分认识并理解Internet客户机所存在的弱点:
Internet客户机,即连接到Internet的个人计算机,也可以受到威胁成为DDoS攻击的代理机。
全部时间都连接到Internet上的个人计算机对DDoS 侵入者特别有用。
威胁一个个人计算机的最简单也最常用的方法是通过用户下载的文件,那些作为屏保、游戏和图像形式出现的恶意程序是罪魁祸首。
那些允许后台处理和多任务处理的新个人计算机xx作系统,如Windows 98、Windows NT工作站、Linux,使他们成为DDoS攻击的可能代理。
2、如果系统已经受到了威胁,理解备份文件系统,重新安装xx作系统并恢复文件系统。
3、安装存在系统销售商提供的xx作系统升级程序。
4、对客户机/个人计算机进行保护。
要通知本地网络上所有Internet用户,尤其是那些全部时间都连接到Internet上的用户,由于他们的计算机有可能被用作攻击代理,所以必须装备最新的检测软件。
反病毒软件中一般都包括可检测许多DDoS 程序的升级程序,建议下载并安装其最新版本。例如,Norton的相关程序可以在http://www.symantec.com/avcenter/venc/data/w32.dos.trinoo.html获得,NAI的相关程序可以在http://vil.nai.com/vil/DoS98506.asp获得。
注意,如果在客户系统上已经有恶意程序在运行,这些检测程序可能就不起作用了。Norton的情况是,开启实时保护,然后重新启动计算机,检查已经在xx作中的DDoS代理程序。
网友评论