當(dāng)前位置 : 首頁>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>黑客攻防>正文

消除隱患六把安全利劍清除僵尸網(wǎng)絡(luò)

http://www.yibo1263.com　2009-4-23 7:42:54 　來源:東北IT網(wǎng) 　編輯:葉子

　　僵尸網(wǎng)絡(luò)（Botnet）是指多臺被惡意代碼感染、控制的與互聯(lián)網(wǎng)相連接的計算機。Botnet正成為一種日益嚴重的威脅，不過，只要我們用好對付它的六把利劍，僵尸網(wǎng)絡(luò)就難以造成嚴重的禍患。

　　第一劍：采用Web過濾服務(wù)

　　Web過濾服務(wù)是迎戰(zhàn)僵尸網(wǎng)絡(luò)的最有力武器。這些服務(wù)掃描Web站點發(fā)出的不正常的行為，或者掃描已知的惡意活動，并且阻止這些站點與用戶接觸。

　　Websense、Cyveillance 、FaceTime都是很好的例子。它們都可以實時地監(jiān)視互聯(lián)網(wǎng)，并查找從事惡意的或可疑的活動的站點，如下載JavaScript或執(zhí)行screen scrapes等正常Web瀏覽之外的其它騙局。Cyveillance 和Support Intelligence還提供另外一種服務(wù)：通知Web站點操作人員及ISP等惡意軟件已經(jīng)被發(fā)現(xiàn)，因此黑客攻擊的服務(wù)器能被修復(fù)，他們?nèi)缡钦f。

　　第二劍：轉(zhuǎn)換瀏覽器

　　防止僵尸網(wǎng)絡(luò)感染的另一種策略是瀏覽器的標(biāo)準化，而不是僅僅依靠微軟的Internet Explorer 或Mozilla 的Firefox.當(dāng)然這兩者確實是最流行的，不過正因為如此，惡意軟件作者們通常也樂意為它們編寫代碼。同樣的策略也適用于操作系統(tǒng)。據(jù)統(tǒng)計，Macs很少受到僵尸網(wǎng)絡(luò)的侵擾，正如桌面Linux操作系統(tǒng)，因為大多數(shù)僵尸的罪魁禍首都把目標(biāo)指向了流行的Windows.

　　第三劍：禁用腳本

　　另一個更加極端的措施是完全地禁用瀏覽器的腳本功能，雖然有時候這會不利于工作效率，特別是如果雇員們在其工作中使用了定制的、基于Web的應(yīng)用程序時，更是這樣。

　　第四劍：部署入侵檢測和入侵防御系統(tǒng)

　　另一種方法是調(diào)整你的IDS（入侵檢測系統(tǒng)）和IPS（入侵防御系統(tǒng)），使之查找有僵尸特征的活動。例如，重復(fù)性的與外部的IP地址連接或非法的DNS地址連接都是相當(dāng)可疑的。雖然難于發(fā)現(xiàn)，不過，另一個可以揭示僵尸的征兆是在一個機器中SSL通信的突然上升，特別是在某些端口上更是這樣。這就可能表明一個僵尸控制的通道已經(jīng)被激活了。您需要找到那些將電子郵件路由到其它服務(wù)器而不是路由到您自己的電子郵件服務(wù)器的機器，它們也是可疑的。僵尸網(wǎng)絡(luò)的專家Gadi Evron進一步建議，您應(yīng)該學(xué)會監(jiān)視在高層對Web進行訪問的家伙。它們會激活位于一個Web頁面上的所有的鏈接，而一個高層次的訪問可能會指明一臺機器正被一個惡意的Web站點所控制。

　　一個IPS或IDS系統(tǒng)可以監(jiān)視不正常的行為，這些行為指明了難于發(fā)現(xiàn)的、基于HTTP的攻擊和來自遠程過程的攻擊、Telnet和地址解析協(xié)議（即ARP）欺騙等等。然而，值得注意的是，許多IPS檢測器使用基于特征的檢測技術(shù)，也就是說，這些攻擊被發(fā)現(xiàn)時的特征被添加到一個數(shù)據(jù)庫中，如果數(shù)據(jù)庫中沒有有關(guān)的特征就無法檢測出來。因此，IPS或IDS就必須經(jīng)常性的更新其數(shù)據(jù)庫以識別有關(guān)的攻擊，對于犯罪活動的檢測需要持續(xù)不斷的努力。

　　第五劍：保護用戶生成的內(nèi)容

　　還應(yīng)該保護你的WEB操作人員，使其避免成為“稀里糊涂”的惡意軟件犯罪的幫兇。如果你并沒有朝著WEB 2.0社會網(wǎng)絡(luò)邁進，你公司的公共博客和論壇就應(yīng)該限制為只能使用文本方式，這也是Web Crossing的副總裁Michael Krieg的觀點，他是社會化網(wǎng)絡(luò)軟件和主機服務(wù)的創(chuàng)造者。

　　Krieg 說，“我并不清楚我們成千上萬的用戶有哪一個在消息文本中允許了JavaScript，我也不清楚誰在其中嵌入了代碼和其它的HTML標(biāo)簽。我們不允許人們這樣做。我們的應(yīng)用程序在默認情況下要將這些東西剝離出去�！�

　　Dan Hubbard是Websense安全研究的副總裁，他補充說，“那是用戶創(chuàng)建內(nèi)容站點的一個嚴重問題，即Web 2.0現(xiàn)象。你怎么才能在允許人們上傳內(nèi)容的強大功能與不允許他們上傳不良的東西之間尋求平衡呢？”

　　這個問題的答案是很明確的。如果你的站點需要讓會員或用戶交換文件，就應(yīng)該進行設(shè)置，使其只允許有限的和相對安全的文件類型，如那些以。jpeg或mp3為擴展名的文件。（不過，惡意軟件的作者們已經(jīng)開始針對MP3等播放器類型，編寫了若干蠕蟲。而且隨著其技術(shù)水平的發(fā)現(xiàn)，有可能原來安全的文件類型也會成為惡意軟件的幫兇。）

本新聞共2頁,當(dāng)前在第1頁 1 2

【收藏】【打印】【進入論壇】

相關(guān)文章：

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费