北京北大青鳥學校，北大青鳥北京校區：11種防范DoS攻擊的方法

北京北大青鳥，北大青鳥北京校區學術部提供:

相關文章：

北京北大青鳥，北大青鳥北京校區：簡述7種DoS攻擊方法

正文：
1．確保所有服務器采用最新系統，并打上安全補丁。計算機緊急響應協調中心發現，幾乎每個受到DDoS攻擊的系統都沒有及時打上補丁。
 
2．確保管理員對所有主機進行檢查，而不僅針對關鍵主機。這是為了確保管理員知道每個主機系統在 運行什么？誰在使用主機？哪些人可以訪問主機？不然，即使黑客侵犯了系統，也很難查明。（北大青鳥北京校區）

3．確保從服務器相應的目錄或文件數據庫中刪除未使用的服務如FTP或NFS。Wu-Ftpd等守護程序存在一些已知的漏洞，黑客通過根攻擊就能獲得訪問特權系統的權限，并能訪問其他系統——甚至是受防火墻保護的系統。（北大青鳥北京校區）

4．確保運行在Unix上的所有服務都有TCP封裝程序，限制對主機的訪問權限。

5．禁止內部網通過Modem連接至PSTN系統。否則，黑客能通過電話線發現未受保護的主機，即刻就能訪問極為機密的數據。（北大青鳥北京校區）

6．禁止使用網絡訪問程序如Telnet、Ftp、Rsh、Rlogin和Rcp，以基于PKI的訪問程序如SSH取代。SSH不會在網上以明文格式傳送口令，而Telnet和Rlogin則正好相反，黑客能搜尋到這些口令，從而立即訪問網絡上的重要服務器。此外，在Unix上應該將.rhost和hosts.equiv文件刪除，因為不用猜口令，這些文件就會提供登錄訪問！

7．限制在防火墻外與網絡文件共享。這會使黑客有機會截獲系統文件，并以特洛伊木馬替換它，文件傳輸功能無異將陷入癱瘓。（北大青鳥北京校區）

8．確保手頭有一張最新的網絡拓撲圖。這張圖應該詳細標明TCP/IP地址、主機、路由器及其他網絡設備，還應該包括網絡邊界、非軍事區（DMZ）及網絡的內部保密部分。（北大青鳥北京校區）

9．在防火墻上運行端口映射程序或端口掃描程序。大多數事件是由于防火墻配置不當造成的，使DoS/DDoS攻擊成功率很高，所以定要認真檢查特權端口和非特權端口。

10．檢查所有網絡設備和主機/服務器系統的日志。只要日志出現漏洞或時間出現變更，幾乎可以肯定：相關的主機安全受到了危脅。（北大青鳥北京校區）

11．利用DDoS設備提供商的設備。（北大青鳥北京校區）