jack7087 2007-7-17 16:12
驅逐威脅 六把利劍向殭屍網絡頭上砍去
殭屍網絡(Botnet)是指多台被惡意代碼感染、控制的與互聯網相連接的計算機。Botnet正成為一種日益嚴重的威脅,不過,只要我們用好對付它的六把利劍,殭屍網絡就難以造成嚴重的禍患。
第一劍:採用Web過濾服務
Web過濾服務是迎戰殭屍網絡的最有力武器。這些服務掃瞄Web站點發出的不正常的行為,或者掃瞄已知的惡意活動,並且阻止這些站點與用戶接觸。
第二劍:轉換瀏覽器
防止殭屍網絡感染的另一種策略是瀏覽器的標準化,而不是僅僅依靠微軟的Internet Explorer 或Mozilla 的Firefox。當然這兩者確實是最流行的,不過正因為如此,惡意軟件作者們通常也樂意為它們編寫代碼。同樣的策略也適用於操作系統。據統計,Macs 很少受到殭屍網絡的侵擾,正如桌面Linux操作系統,因為大多數殭屍的罪魁禍首都把目標指向了流行的Windows。
第三劍:禁用腳本
另一個更加極端的措施是完全地禁用瀏覽器的腳本功能,雖然有時候這會不利於工作效率,特別是如果僱員們在其工作中使用了定製的、基於Web的應用程序時,更是這樣。
第四劍:部署入侵檢測和入侵防禦系統
另一種方法是調整你的IDS(入侵檢測系統)和IPS(入侵防禦系統),使之查找有殭屍特徵的活動。例如,重複性的與外部的IP地址連接或非法的DNS地址連接都是相當可疑的。雖然難於發現,不過,另一個可以揭示殭屍的徵兆是在一個機器中SSL通信的突然上升,特別是在某些端口上更是這樣。這就可能表明一個殭屍控制的通道已經被激活了。您需要找到那些將電子郵件路由到其它服務器而不是路由到您自己的電子郵件服務器的機器,它們也是可疑的。殭屍網絡的專家Gadi Evron進一步建議,您應該學會監視在高層對Web進行訪問的傢伙。它們會激活位於一個Web頁面上的所有的鏈接,而一個高層次的訪問可能會指明一台機器正被一個惡意的Web站點所控制。
一個IPS或IDS系統可以監視不正常的行為,這些行為指明了難於發現的、基於HTTP的攻擊和來自遠程過程的攻擊、Telnet和地址解析協議(即ARP)欺騙等等。然而,值得注意的是,許多IPS檢測器使用基於特徵的檢測技術,也就是說,這些攻擊被發現時的特徵被添加到一個數據庫中,如果數據庫中沒有有關的特徵就無法檢測出來。因此,IPS或IDS就必須經常性的更新其數據庫以識別有關的攻擊,對於犯罪活動的檢測需要持續不斷的努力。
第五劍:保護用戶生成的內容
還應該保護你的WEB操作人員,使其避免成為「稀里糊塗」的惡意軟件犯罪的幫兇。如果你並沒有朝著WEB 2.0社會網絡邁進,你公司的公共博客和論壇就應該限製為只能使用文本方式,這也是Web Crossing的副總裁Michael Krieg的觀點。
Krieg 說,「我並不清楚我們成千上萬的用戶有哪一個在消息文本中允許了JavaScript,我也不清楚誰在其中嵌入了代碼和其它的HTML標籤。我們不允許人們這樣做。我們的應用程序在默認情況下要將這些東西剝離出去。」
Dan Hubbard是Websense安全研究的副總裁,他補充說,「那是用戶創建內容站點的一個嚴重問題,即Web 2.0現象。你怎麼才能在允許人們上傳內容的強大功能與不允許他們上傳不良的東西之間尋求平衡呢?」
這個問題的答案是很明確的。如果你的站點需要讓會員或用戶交換文件,就應該進行設置,使其只允許有限的和相對安全的文件類型,如那些以. jpeg或MP3為擴展名的文件。(不過,惡意軟件的作者們已經開始針對MP3等播放器類型,編寫了若干蠕蟲。而且隨著其技術水平的發現,有可能原來安全的文件類型也會成為惡意軟件的幫兇。)
第六劍:使用補救工具
如果你發現了一台被感染的計算機,那麼一個臨時應急的重要措施就是如何進行補救。反病毒廠商也都試圖保護系統免受rootkit的危害。
用一句成語講,這就叫做「亡羊補牢」。Evron相信,保持一台計算機絕對安全乾淨、免受殭屍感染的方法是對原有的系統徹底清楚,並從頭開始安裝系統。
不要讓你的用戶訪問已知的惡意站點,並監視網絡中的可疑行為,保護你的公共站點免受攻擊,你的網絡就基本上處於良好狀態。這是安全專家們一致的觀點。
可以注意到,如果一個網絡工作人員對於網絡安全百思不得其解,並會油然而生這樣一種感覺,『我應該怎麼對付這些數以百萬的殭屍呢?』。」其實,答案非常簡單,「只需斷開你的網絡,使其免受感染─病毒、木馬、間諜軟件或廣告軟件等……。將它當作一台PC上的一個流氓文件來進行清除(不過,誰又能保證真正清除乾淨呢?)。這就是你需要做的全部事情。」
[url]http://it.rising.com.cn/Channels/Safety/SysSafety/Other/2007-07-16/1184568119d43324.shtml[/url]