譯者注: 本文是由編寫分布式拒絕服務攻擊工具TFN和TFN2K(這些工具被用於攻擊Ya hoo等大型網站)的德國 著名黑客Mixter(年僅20歲)提供。
簡單地說,掌握所有可能導致被入侵和被用於實施拒絕服務攻擊的原因和安 全漏洞是非常復雜的。詳 細地說,沒有簡單和專門的方法保護不受到這些攻擊,而只能盡可能地應用各種 安全和保護策略。對於每 個面臨安全威脅的系統,這裡列出了一些簡單易行和快速的安全策略以保護免受 這些攻擊。
對於面臨拒絕服務攻擊的目標或潛在目標,應該采取的重要措施:
1) 消除FUD心態
FUD的意思是Fear(恐懼)、Uncerntainty(猜測)和DouBT(懷疑)。最近 發生的攻擊可能會使某些 人因為害怕成為攻擊目標而整天擔心受怕。其實必須意識到可能會成為拒絕服務 攻擊目標的公司或主機只 是極少數,而且多數是一些著名站點,如搜索引擎、門戶站點、大型電子商務和 證券公司、IRC服務器和新 聞雜志等。如果不屬於這類站點,大可不必過於擔心成為拒絕服務攻擊的直接目 標。
2) 要求與ISP協助和合作
獲得你的主要互聯網服務供應商(ISP)的協助和合作是非常重要的。分布式 拒絕服務(DDoS)攻擊主 要是耗用帶寬,單憑你自己管理網絡是無法對付這些攻擊的。與你的ISP協商,確 保他們同意幫助你實施正 確的路由訪問控制策略以保護帶寬和內部網絡。最理想的情況是當發生攻擊時你 的ISP願意監視或允許你訪 問他們的路由器。
3) 優化路由和網絡結構
如果你管理的不僅僅是一台主機,而是網絡,就需要調整路由表以將拒絕服 務攻擊的影響減到最小。 為了防止SYN flood攻擊,應設置TCP偵聽功能。詳細資料請參閱相關路由器技術 文檔。另外禁止網絡不需 要使用的UDP和ICMP包通過,尤其是不應該允許出站ICMP“不可到達”消息。
4) 優化對外開放訪問的主機
對所有可能成為目標的主機都進行優化。禁止所有不必要的服務。另外多IP 主機也會增加攻擊者的難 度。建議在多台主機中使用多IP地址技術,而這些主機的首頁只會自動轉向真正 的web服務器。
5) 正在受到攻擊時,必須立刻應用對應策略。
盡可能迅速地阻止攻擊數據包是非常重要的,同時如果發現這些數據包來自 某些ISP時應盡快和他們取 得聯系。千萬不要依賴數據包中的源地址,因為它們在DoS攻擊中往往都是隨機選 擇的。是否能迅速准確地 確定偽造來源將取決於你的響應動作是否迅速,因為路由器中的記錄可能會在攻 擊中止後很快就被清除。
對於已被或可能被入侵和安裝DDoS代理端程序的主機,應該采取的重要措施:
6) 消除FUN心態
作為可能被入侵的對象,沒必要太過緊張,只需盡快采取合理和有效的措施 即可。現在的拒絕服務攻擊 服務器都只被安裝到Linux和Solaris系統中。雖然可能會被移植到*BSD*或其它系 統中,但只要這些系統足 夠安全,系統被入侵的可能性不大。
7) 確保主機不被入侵和是安全的
現在互聯網上有許多舊的和新的漏洞攻擊程序。系統管理員應檢查漏洞數據 庫,如securityfocus.com或 packetstorm.securify.com(注:中國請到http://www.isbase.com/),以確保 你的服務器版本不受這些漏 洞影響。記住,入侵者總是利用已存在的漏洞進入系統和安裝攻擊程序。系統管 理員應該經常檢查服務器配 置和安全問題,運行最新升級的軟件版本,最重要的一點就是只運行必要的服務 。如果能夠完全按照以上思 路,系統就可以被認為是足夠安全,而且不會被入侵控制。
8) 周期性審核系統
必須意識到你要對自己管理的系統負責。應該充分了解系統和服務器軟件是 如何工作的,經常檢查系統 配置和安全策略。另外還要時刻留意安全站點公布的與自發管理的操作系統及軟 件有關的最新安全漏洞和問 題。
9) 檢查文件完整性
當確定系統未曾被入侵時,應該盡快這所有二進制程序和其它重要的系統文 件產生文件簽名,並且周期 性地與這些文件比較以確保不被非法修改。另外,強烈推薦將文件檢驗和保存到 另一台主機或可移動介質中。 這類文件/目錄完整性檢查的免費工具(如tripwire等)可以在許多FTP站點上下 載。當然也可以選擇購買商 業軟件包。
10) 發現正在實施攻擊時,必須立刻關閉系統並進行調查
如果監測到(或被通知)網絡或主機正實施攻擊,應該立刻關閉系統,或者 至少切斷與網絡的連接。因 為這些攻擊同時也意味著入侵者已幾乎完全控制了該主機,所以應該進行研究分 析和重新安裝系統。建議聯 系安全組織。如美國的CERT(www.cert.org)或SANS(www.sans.org)或中國的 isbase(www.isbase.com) 等。必須記往,將攻擊者遺留在入侵主機中的所有程序和數據完整地提供給安全 組織或專家是非常重要,因 為這能幫助追蹤攻擊的來源。
