1.確保所有伺服器採用最新系統,並打上安全補丁。計算機緊急響應協調中心發現,幾乎每個受到DDoS攻擊的系統都沒有及時打上補丁。
2.確保管理員對所有主機進行檢查,而不僅針對關鍵主機。這是為了確保管理員知道每個主機系統在 執行什麼?誰在使用主機?哪些人可以訪問主機?不然,即使駭客侵犯了系統,也很難查明。
4.確保執行在Unix上的所有服務都有TCP封裝程式,限制對主機的訪問許可權。
5.禁止內部網透過Modem連線至PSTN系統。否則,駭客能透過電話線發現未受保護的主機,即刻就能訪問極為機密的資料?
6.禁止使用網路訪問程式如Telnet、Ftp、Rsh、Rlogin和Rcp,以基於PKI的訪問程式如SSH取代。SSH不會在網上以明文格式傳送口令,而Telnet和Rlogin則正好相反,駭客能搜尋到這些口令,從而立即訪問網路上的重要伺服器。此外,在Unix上應該將.rhost和hosts.equiv檔案刪除,因為不用猜口令,這些檔案就會提供登入訪問!
7.限制在防火牆外與網路檔案共享。這會使駭客有機會截獲系統檔案,並以特洛伊木馬替換它,檔案傳輸功能無異將陷入癱瘓。
8.確保手頭有一張最新的網路拓撲圖。這張圖應該詳細標明TCP/IP地址、主機、路由器及其他網路裝置,還應該包括網路邊界、非軍事區(DMZ)及網路的內部保密部分。
9.在防火牆上執行埠對映程式或埠掃描程式。大多數事件是由於防火牆配置不當造成的,使DoS/DDoS攻擊成功率很高,所以定要認真檢查特權埠和非特權埠。
10.檢查所有網路裝置和主機/伺服器系統的日誌。只要日誌出現漏洞或時間出現變更,幾乎可以肯定:相關的主機安全受到了危脅。
11.利用DDoS裝置提供商的裝置。
遺憾的是,目前沒有哪個網路可以免受DDoS攻擊,但如果採取上述幾項措施,能起到一定的預防作用
1.確保所有伺服器採用最新系統,並打上安全補丁。計算機緊急響應協調中心發現,幾乎每個受到DDoS攻擊的系統都沒有及時打上補丁。
2.確保管理員對所有主機進行檢查,而不僅針對關鍵主機。這是為了確保管理員知道每個主機系統在 執行什麼?誰在使用主機?哪些人可以訪問主機?不然,即使駭客侵犯了系統,也很難查明。
4.確保執行在Unix上的所有服務都有TCP封裝程式,限制對主機的訪問許可權。
5.禁止內部網透過Modem連線至PSTN系統。否則,駭客能透過電話線發現未受保護的主機,即刻就能訪問極為機密的資料?
6.禁止使用網路訪問程式如Telnet、Ftp、Rsh、Rlogin和Rcp,以基於PKI的訪問程式如SSH取代。SSH不會在網上以明文格式傳送口令,而Telnet和Rlogin則正好相反,駭客能搜尋到這些口令,從而立即訪問網路上的重要伺服器。此外,在Unix上應該將.rhost和hosts.equiv檔案刪除,因為不用猜口令,這些檔案就會提供登入訪問!
7.限制在防火牆外與網路檔案共享。這會使駭客有機會截獲系統檔案,並以特洛伊木馬替換它,檔案傳輸功能無異將陷入癱瘓。
8.確保手頭有一張最新的網路拓撲圖。這張圖應該詳細標明TCP/IP地址、主機、路由器及其他網路裝置,還應該包括網路邊界、非軍事區(DMZ)及網路的內部保密部分。
9.在防火牆上執行埠對映程式或埠掃描程式。大多數事件是由於防火牆配置不當造成的,使DoS/DDoS攻擊成功率很高,所以定要認真檢查特權埠和非特權埠。
10.檢查所有網路裝置和主機/伺服器系統的日誌。只要日誌出現漏洞或時間出現變更,幾乎可以肯定:相關的主機安全受到了危脅。
11.利用DDoS裝置提供商的裝置。
遺憾的是,目前沒有哪個網路可以免受DDoS攻擊,但如果採取上述幾項措施,能起到一定的預防作用