預防DDoS攻擊的十項安全性原則
本文是由編寫分散式阻斷服務攻擊工具TFN和TFN2K(這些工具曾被用於攻擊Yahoo等大型網站)的德國著名駭客Mixter(年僅20歲)提供。
簡單地說,掌握所有可能導致被入侵和被用於實施拒絕服務的攻擊的原因和安全性漏洞是非常複雜的。詳細地說,沒有簡單和專門的方法保護不受到這些攻擊,而只能儘可能地應用各種安全和保護原則。對於每個面臨安全威脅的系統,這裡列出了一些簡單易行和快速的安全性原則以保護免受這些攻擊。
對於面臨拒絕服務的攻擊的目標或潛在目標,應該採取的重要措施:
1、消除FUD心態
FUD的意思是Fear(恐懼)、Uncerntainty(猜測)和Doubt(懷疑)。最近發生的攻擊可能會使某些人因為害怕成為攻擊目標而整天擔心受怕。其實必須意識到可能會成為拒絕服務的攻擊目標的公司或主機只是極少數,而且多數是一些著名網站,如搜尋引擎、門戶網站、大型電子商務和證券公司、IRC伺服器和新聞雜誌等。如果不屬於這類網站,大可不必過於擔心成為拒絕服務的攻擊的直接目標。
2、要求與ISP協助和合作
獲得你的主要互連網服務供應商(ISP)的協助和合作是非常重要的。分散式阻斷服務(DDoS)攻擊主要是耗用頻寬,單憑你自己管理網路是無法對付這些攻擊的。與你的ISP協商,確保他們同意協助你實施正確的路由存取控制策略以保護頻寬和內部網路。最理想的情況是當發生攻擊時你的ISP願意監視或允許你訪問他們的路由器。
3、最佳化路由和網路結構
如果你管理的不僅僅是一台主機,而是網路,就需要調整路由表以將拒絕服務的攻擊的影響減到最小。為了防止SYN flood攻擊,應設定TCP偵聽功能。詳細資料請參閱相關路由器技術文檔。另外禁止網路不需要使用的UDP和ICMP包通過,尤其是不應該允許出站ICMP“不可到達”訊息。
4、最佳化對外開放訪問的主機
對所有可能成為目標的主機都進行最佳化。禁止所有不必要的服務。另外多IP主機也會增加攻擊者的難度。建議在多台主機中使用多IP地址技術,而這些主機的首頁只會自動轉向真正的web伺服器。
5、正在受到攻擊時,必須立刻應用對應策略。
儘可能迅速地阻止攻擊資料包是非常重要的,同時如果發現這些資料包來自某些ISP時應儘快和他們取得聯絡。千萬不要依賴資料包中的源地址,因為它們在DoS攻擊中往往都是隨機播放的。是否能迅速準確地確定偽造來源將取決於你的響應動作是否迅速,因為路由器中的記錄可能會在攻擊中止後很快就被清除。
對於已被或可能被入侵和安裝DDoS代理端程式的主機,應該採取的重要措施:
6、消除FUN心態
作為可能被入侵的對象,沒必要太過緊張,只需儘快採取合理和有效措施即可。現在的拒絕服務的攻擊伺服器都只被安裝到Linux和Solaris系統中。雖然可能會被移植到*BSD*或其它系統中,但只要這些系統足夠安全,系統被入侵的可能性不大。
7、確保主機不被入侵和是安全的
現在互連網上有許多舊的和新的漏洞攻擊程式。以確保你的伺服器版本不受這些漏洞影響。記住,入侵者總是利用已存在的漏洞進入系統和安裝攻擊程式。系統管理員應該經常檢查伺服器配置和安全問題,運行最新升級的軟體版本,最重要的一點就是只運行必要的服務。如果能夠完全按照以上思路,系統就可以被認為是足夠安全,而且不會被入侵控制。
8、周期性審核系統
必須意識到你要對自己管理的系統負責。應該充分瞭解系統和伺服器軟體是如何工作的,經常檢查系統配置和安全性原則。另外還要時刻留意安全網站公布的與自發管理的作業系統及軟體有關的最新安全性漏洞和問題。
9、檢查檔案完整性
當確定系統未曾被入侵時,應該儘快這所有二進位程式和其它重要的系統檔案產生檔案簽名,並且周期性地與這些檔案比較以確保不被非法修改。另外,強烈推薦將檔案檢驗和儲存到另一台主機或可移動介質中。這類檔案/目錄完整性檢查的免費工具(如tripwire等)可以在許多FTP網站上下載。當然也可以選擇購買商業軟體包。
10、發現正在實施攻擊時,必須立刻關閉系統並進行調查
如果監測到(或被通知)網路或主機正實施攻擊,應該立刻關閉系統,或者至少切斷與網路的串連。因為這些攻擊同時也意味著入侵者已幾乎完全控制了該主機,所以應該進行研究分析和重新安裝系統。建議聯絡安全性群組織。。必須記往,將攻擊者遺留在入侵主機中的所有程式和資料完整地提供給安全性群組織或專家是非常重要,因為這能協助追蹤攻擊的來源