在网络的关键之处使用防火墙对来源不明的有害数据进行过滤可以有效减轻 UDP Flood攻击。此外,在用户的网络中还应采取如下的措施:
(一)禁用或过滤监控和响应服务。
(二)禁用或过滤其它的 UDP 服务。
(三)如果用户必须提供一些 UDP 服务的外部访问,那么需要使用代理机制来保护那种服务,使它不会被滥用。
(四)对用户的网络进行监控以了解哪些系统在使用这些服务,并对滥用的迹象进行监控。
(五)对于一些小型的服务器,可以直接用防火墙添加规则的方法屏蔽掉。
十一、防范Land攻击
Land攻击发生的条件是攻击者发送具有相同IP源地址、目标地址和TCP端口号的伪造TCP SYN数据包信息流。必须设置好SYN标记。其结果是该计算机系统将试图向自己发送响应信息,而受害系统将会受到干扰并会瘫痪或重启。最近的研究发现Windows XP SP2和 Windows 2003的系统对这种攻击的防范还是非常薄弱的。事实上,Sun 的操作系,BSD 和 Mac对这种攻击的防范都是非常薄弱的,所有这些系统都共享基于 TCP/IP 协议栈的BSD。
服务供应商可以在边缘路由器的进入端口上安装过滤器对所有入内数据包的IP源地址进行检查,这样就可以阻止发生在会聚点后的LAND攻击。如果该源地址的前缀在预先规定的范围之内,则该数据包被转发,否则被丢弃。
十二、防范Smurf攻击
Smurf攻击是利用Ping程序中使用的ICMP协议。攻击者首先制造出源地址是受攻击主机的IP地址的包;然后攻击者将这些包发送给不知情的第三方,使它们成为帮凶;如果攻击者发送足够的ICMP包,回应会超过受攻主机的承受能力;因此,Smurf攻击实际上是一种IP欺骗式的攻击,将导致拒绝服务攻击的结果。
十三、防范Fraggle攻击
Fraggle攻击与Smurf攻击类似,只是利用UDP协议;虽然标准的端口是7,但是大多数使用Fraggle攻击的程序允许你指定其它的端口。
最好的防止系统受到Smurf和Fraggle攻击的方法是在防火墙上过滤掉ICMP报文,或者在服务器上禁止Ping,并且只在必要时才打开ping服务。
十四、防范Ping of Death攻击
这种攻击通过发送大于65536字节的ICMP包使操作系统崩溃;通常不可能发送大于65536个字节的ICMP包,但可以把报文分割成片段,然后在目标主机上重组;最终会导致被攻击目标缓冲区溢出。
防止系统受到Ping of Death攻击的方法与防范Smurf和Fraggle攻击是相同的,可以在防火墙上过滤掉ICMP报文,或者在服务器上禁止Ping,并且只在必要时才打开ping服务。
十五、防范Tear Drop攻击
Teardrop泪滴攻击利用UDP包重组时重叠偏移(假设数据包中第二片IP包的偏移量小于第一片结束的位移,而且算上第二片IP包的Data,也未超过第一片的尾部,这就是重叠现象。)的漏洞对系统主机发动拒绝服务攻击,最终导致主机菪掉;对于Windows系统会导致蓝屏死机,并显示STOP 0x0000000A错误。
检测这类攻击的方法是对接收到的分片数据包进行分析,计算数据包的片偏移量(Offset)是否有误。反攻击的方法是添加系统补丁程序,丢弃收到的病态分片数据包并对这种攻击进行审计。尽可能采用最新的操作系统,或者在防火墙上设置分段重组功能,由防火墙先接收到同一原包中的所有拆分数据包,然后完成重组工作,而不是直接转发。因为防火墙上可以设置当出现重叠字段时所采用的规则。
十六、防范拒绝服务攻击
尽管目前没有哪个网络可以免受拒绝服务(DoS)攻击,但如果采取以下几项措施,能起到一定的预防作用。
1.确保所有服务器采用最新系统,并打上安全补丁。根据计算机紧急响应协调中心的发现,几乎每个受到DoS攻击的系统都没有及时打上补丁。
2.确保管理员对所有主机进行检查,而不仅针对关键主机。这是为了确保管理员知道每个主机系统在运行什么?谁在使用主机?哪些人可以访问主机?否则,即使黑客侵犯了系统,也很难查明。
3.确保从服务器相应的目录或文件数据库中删除未使用的服务,如FTP或NFS。
4.禁止内部网通过Modem连接至PSTN系统。否则,黑客能通过电话线发现未受保护的主机,立刻就能访问极为机密的数据。
5.禁止使用网络访问程序如Telnet、Ftp、Rsh、Rlogin和Rcp,使用加密的访问程序(如SSH)取代。SSH不会在网上以明文格式传送口令,而Telnet和Rlogin则正好相反,黑客能搜寻到这些口令,从而立即访问网络上的重要服务器。此外,若没有必要使用Rlogin登录,则最好在Unix上应该将.rhost和hosts.equiv文件删除,因为不用猜口令,这些文件就会提供登录访问。
6.限制在防火墙外的网络文件共享。否则的话会使黑客有机会截获系统文件,并以特洛伊木马替换它,文件传输功能无异将陷入瘫痪。
7.确保手头有一张最新的网络拓扑图。这张图应该详细标明TCP/IP地址、主机、路由器及其他网络设备,还应该包括网络边界、安全服务器区(SSN)及内部网部分。
8.应用防火墙系统,在防火墙上运行端口映射程序或端口扫描程序。大多数事件是由于防火墙配置不当造成的,使DoS/DDoS攻击成功率很高,所以定要认真检查特权端口和非特权端口。
9.检查所有网络设备、主机和服务器系统的日志。只要日志出现漏洞或时间出现变更,几乎可以肯定:相关的主机安全受到了危胁。
