1.確保所有服務器採用最新系統,並打上安全補丁。計算機緊急響應協調中心發現,幾乎每個受到DDos攻擊的系統都沒有及時打上補丁。
2.確保管理員對所有主機進行檢查,而不僅針對關鍵主機。這是爲了確保管理員知道每個主機系統在 運行什麼?誰在使用主機?哪些人可以訪問主機?不然,即使黑客侵犯了系統,也很難查明。
3.確保從服務器相應的 目錄或文件數據庫中刪除未使用的服務如FTP或NFS。Wu-Ftpd等守護程序存在一些已知的漏洞,黑客通過根攻擊就能獲得訪問特權系統的權限,並能訪問其他系統——甚至是受防火牆保護的系統。
4.確保運行在Unix上的所有服務都有TCP封裝程序,限制對主機的訪問權限。
5.禁止內部網通過Modem連接至PSTN系統。否則,黑客能通過電話線發現未受保護的主機,即刻就能訪問極爲機密的數據。
6.禁止使用網絡訪問程序如Telnet、Ftp、Rsh、Rlogin和Rcp,以基於PKI的訪問程序如SSH取代。SSH不會在網上以明文格式傳送口令,而Telnet和Rlogin則正好相反,黑客能搜尋到這些口令,從而立即訪問網絡上的重要服務器。此外,在Unix上應該將.rhost和hosts.equiv文件刪除,因爲不用猜口令,這些文件就會提供登錄訪問!
7.限制在防火牆外與網絡文件共享。這會使黑客有機會截獲系統文件,並以特洛伊木馬替換它,文件傳輸功能無異將陷入癱瘓。
8.確保手頭有一張最新的網絡拓撲圖。這張圖應該詳細標明TCP/IP地址、主機、路由器及其他網絡設備,還應該包括網絡邊界、非軍事區(DMZ)及網絡的內部保密部分。
9.在防火牆上運行端口映射程序或端口掃描程序。大多數事件是由於防火牆配置不當造成的,使DoS/DDos攻擊成功率很高,所以定要認真檢查特權端口和非特權端口。
10.檢查所有網絡設備和主機/服務器系統的日誌。只要日誌出現漏洞或時間出現變更,幾乎可以肯定:相關的主機安全受到了危脅。
11.利用DDos設備提供商的設備。
遺憾的是,目前沒有哪個網絡可以免受DDos攻擊,但如果採取上述幾項措施,能起到一定的預防作用。
原文 http://net.zdnet.com.cn/network_security_zone/2007/0802/443216.shtml