如果使用Linux（建議這樣做），你就可以使用一個(gè)或幾個(gè)"緩沖溢出/堆棧執(zhí)行"補(bǔ)丁或增強(qiáng)來(lái)防止絕大多數(shù)（如果不能全部）本地或遠(yuǎn)程緩沖溢出，以避免這些溢出危及根的安全。強(qiáng)烈建議將Solar Designer的補(bǔ)丁包括在附加的安全特征中。

使用SRP（Secure Remote Password 安全遠(yuǎn)程口令）代替SSH。

限制只有內(nèi)部地址才能訪問(wèn)支持SRP的telnet和FTP守護(hù)程序，強(qiáng)調(diào)只有支持SRP的客戶端才可以與這些程序?qū)υ?。如果你必須為公開(kāi)訪問(wèn)運(yùn)行常規(guī)的FTP（比如匿名FTP），可以在另一個(gè)端口運(yùn)行SRP FTP。

使用可信任的路徑。根用戶擁有的二進(jìn)制執(zhí)行程序應(yīng)該放置的目錄的所有權(quán)應(yīng)該是根，不能讓全部用戶或組都有寫權(quán)限。如果有必要的話，為了強(qiáng)制這樣做，你可以改變內(nèi)核。

使用內(nèi)置防火墻功能。通過(guò)打開(kāi)防火墻規(guī)則，可以經(jīng)常利用內(nèi)核狀態(tài)表。

使用一些防端口掃描措施。這可以使用Linux的后臺(tái)程序功能或通過(guò)修改內(nèi)核實(shí)現(xiàn)。

使用Tripwire 和相同作用的軟件來(lái)幫助發(fā)覺(jué)對(duì)重要文件的修改。

3．有關(guān)入侵檢測(cè)系統(tǒng)的建議

由于許多用來(lái)?yè)魯』诰W(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的方法對(duì)絕大多數(shù)商業(yè)入侵檢測(cè)系統(tǒng)產(chǎn)品仍然是有效的，因此建議入侵檢測(cè)系統(tǒng)應(yīng)該至少有能重組或發(fā)覺(jué)碎片的自尋址數(shù)據(jù)包。

下面是部分要注意的事項(xiàng)：

確信包括了現(xiàn)有的所有規(guī)則，包括一些針對(duì)分布式拒絕服務(wù)攻擊的新規(guī)則。

如果遵循了ICMP建議項(xiàng)，許多ICMP會(huì)被阻塞，入侵檢測(cè)系統(tǒng)觸發(fā)器存在許多機(jī)會(huì)。任何通常情況下要被阻塞的入站或出站的ICMP數(shù)據(jù)包可以被觸發(fā)。

"任何"被你用防火墻分離的網(wǎng)絡(luò)傳輸都可能是一個(gè)潛在的IDS觸發(fā)器。

如果你的入侵檢測(cè)系統(tǒng)支持探測(cè)長(zhǎng)時(shí)間周期的攻擊，確信沒(méi)有把允許通過(guò)防火墻的被信任主機(jī)排除在外。這也包括虛擬專用網(wǎng)。

如果你能訓(xùn)練每個(gè)使用ping的用戶在ping主機(jī)時(shí)使用小數(shù)據(jù)包，就可能設(shè)置入侵檢測(cè)系統(tǒng)尋找超29字節(jié)的Echo和Echo應(yīng)答數(shù)據(jù)包。

總結(jié)

本文通過(guò)加強(qiáng)主機(jī)安全、限制不良基礎(chǔ)的通訊通道、調(diào)整防火墻和入侵檢測(cè)系統(tǒng)的規(guī)則等防護(hù)措施，將可以有效地對(duì)付分布式攻擊，這里描述的絕大多數(shù)網(wǎng)絡(luò)攻擊（不論是實(shí)際上還是理論上的）都能夠被抑制。執(zhí)行以上所述的這些防護(hù)建議，不僅可以防止多種分布式攻擊，而且可以大大增強(qiáng)多方面的安全。

多易