fdggg sdfsdf dfgfg fdgdf fggg 

擊退bots攻擊的五個步驟
擊退bots攻擊的五個步驟

罪大惡極的黑客正在劫持和連接數千台被攻破的計算機組成自動程式網路(botnets)發動協調一致的攻擊。一個攻擊者可能利用數千台大企業的主機實施攻擊。還有很多黑客使用好幾套計算機實施攻擊。防禦botnets攻擊是非常困難和複雜的。下面是識別和消除你的網路被bot感染的五個實用的步驟。  bots是機器人的縮寫字,是聽從和應答互聯網中繼頻道指令的程式。一組bots一起工作便組成了一個botnet。它可以在任何作業系統平台上營運。不過,bots最常見的是在Windows平台上營運。  1.掃描主機和網路通信查找bot感染洩漏的痕跡  許多bot是混合威脅工具的一部分。這些威脅工具包括bot、FTP文件伺服器、代理伺服器、身分識別伺服器和后門兒等。bot用來遠程控制計算機和提供文件(如盜版軟體)。FTP伺服器經常用來向系統發送文件或者用來提供文件。代理伺服器透過在中間主機中來回轉移為攻擊者隱藏其連接,或者用來繞過反垃圾郵件過濾器。身分識別伺服器提供身分識別協議應答,識別賬號與進入網路的連接的關係。這是IRC(網上聊天)伺服器要求的。后門能夠遠程連接計算機以便控制計算機,可繞過正常的登錄系統和賬戶子系統。  有些bot在一個程式中擁有上述所有功能。bot主機通常在網路端口上進行監聽,以發現那些回應的端口或者開放的端口進行深入探測。監視異常的網路連接,例如,一台台式電腦接收進入網路的HTTP或者FTP連接(也就是像伺服器一樣工作)或者對你的內部網路進行計算掃描,能夠讓你檢測到被攻破的主機或者許多系統的行為(如十幾台計算機突然同時聽取一個端口的信號)。還有,在邊界進行流量分析或者數據包內容分析能夠讓你檢測到botnet攻擊的招募階段以及發現活動的bot。例如,你的網路中的十幾台計算機與一台東歐國家的IRC伺服器通信,或者你的DNS伺服器顯示在編號較高的TCP端口有IRC聊天通信,這些都是對網路中的主機產生懷疑的明顯的跡象。了解一個主機什麼樣的通信是正常的和合法的並且跟實際觀察到的情況進行比較可以加快你調查的速度。然後,你可以選擇封鎖通信,阻止攻擊者繼續訪問你的主機或者清除正在向第三方網站積極發送惡意軟體的被感染的主機。  2.調節路由器、防火牆和入侵檢測/防禦系統,以監測和封鎖botnet通信  入侵檢測系統/入侵防禦系統(IDS/IPS)旨在檢測攻擊然後報告或者封鎖這些主機。例如,利用網路安全漏洞進入網路對一台主機實施攻擊的跡象可以表明一種蠕蟲或者bot的存在。防火牆進入控制列表可以用來封鎖攻擊。這些攻擊也可以記錄下來。例如,如果你按照最佳做法操作並且隔離這些服務,你就可以封鎖除了UDP和TCP 53端口以外的所有的通向你的DNS伺服器的網路訪問活動,限制對SSH(安全外殼)、RPC(遠程過程調用)等其它服務的攻擊。大多數企業都有各種各樣的這種類型的網路安全防禦系統。即使沒有邊界防火牆來限制進出網路的連接,你還可以調節IDS/IPS來觀察在IRC端口上或者非標準端口上的可疑的bot指令和控制信號。當然,你必須知道要找什麼,以便調節這些系統進行尋找。這就意味著用你的IDS利用簽名查找惡意軟體。在開源軟體數據庫、電子郵件列表或者惡意軟體分析庫中可以得到這些簽名。另一方面,新的bot具有加密功能使這種檢測毫無用處,因此不要指望這種檢測可以找到一切。  3.加密主機 防止botnet利用漏洞  一些常用的和廉價的軟體能夠有效地為主機加密,防止botnet利用安全漏洞。例如,系統完整性檢查、加密軟體、個人防火牆和殺毒/反垃圾郵件工具等能夠幫助增強用戶計算機的防禦能力。伺服器方面也有類似的軟體。這些措施減小了主機系統營運bot惡意軟體的機會,但是,對于保護你的系統不受大規模拒絕服務攻擊的作用很小。由於bot最近整合了SMTP代理功能和直接發送大量垃圾郵件和進行網路釣魚攻擊的功能,使用反垃圾郵件過濾器也許有助于消除垃圾郵件和釣魚攻擊的電子郵件。但是,這還不能解決全部的問題。一個經常忽視的問題和相對來說花費比較少的防禦手段是對用戶進行培養訓練。讓用戶了解他們在維護資訊系統的完整性和守密性方面的任務並且了解攻擊者是如何設法欺騙他們的,能夠把這種社會工程學攻擊的風險減小到最低限度。  4.應用逆向工程對付bot代碼  逆向工程是是一種高級的學科,需要詳細了解編程語言、編譯器/連接器/裝載器、軟體工程和調試。由於這項工作有很多步驟需要手工完成,因此需要高級的技能和要花費很多時間,大多數企業對于在他們主機上發現的惡意軟體都沒有充足的資源來做逆向工程的工作。然而,了解惡意軟體分析的基礎知識有助于了解攻擊者是如何利用你的主機的,甚至可以關閉活動的botnet。例如,如果你充分了解如何使用反組合程式,你就可以從Stacheldraht DDoS拒絕服務攻擊的病毒中提取處理器IP位址,在組合程式中找到次程序調用設置並且進行decimal數據向ASCII數據的轉換。  5.與執法部門合作 起訴botnet的製造者  不管你的主機是如何被捲入botnet攻擊的(作為一個仲介、實施指揮與控制或者只是擔當一塊墊腳石、或者是作為最終的攻擊目標),你的主機會看到湧入的海量數據或者看到在登錄服務上對整個網站進行字典攻擊,你要搜集和保留這些攻擊的證據。你在什麼地方和如何收集這些證據取決于你的主機在botnet攻擊中扮演的角色。例如,海量數據攻擊的受害者只需要收集從網路上發來的數據的樣本,或者路由器統計的拒絕服務攻擊的數據類型、嚴重性和持續的時間。受控制(非法的IRC伺服器)的網站或者bot代理將在網路上發送指令和控制通信。這些通信以及安裝在主機內部的惡意軟體都應該鏡像和保留。  執法部門需要適當保留的證據和準確描述攻擊行為的報告。重要的是需要指出日期、時間、攻擊的時段以及這些時間是否與可信賴的時間來源同步。使用網路時間協議讓時鐘同步。並非所有的網路日誌都包含所有的證據。因此,把各種網路日誌聯繫起來就可以提供更詳細的數據,產生精確的攻擊時間表。  執法部門必須要優先安排他們的資源,因此另一個重要的原素就是準確的損失評估。這項內容包括你的組織與事件回應部門協調工作所花費的時間、系統管理員將系統恢復到可信賴的網站水準所花費的時間、你的工人生產力的損失和客戶收入的損失等。  未來的前景並不樂觀,因為受到bot影響的軟體功能越來越強大,隱蔽性越來越強。找到這些bot軟體是非常困難的。計算機用戶面臨的壓力就是要更多地了解安全,機構面臨的壓力就是要投入更多的資金用于增強預先防禦措施、檢測和回應能力。執法部門還需要應付數量日益增多的犯罪活動。這種網路犯罪活動每一次要涉及到數千台計算機。
 


.msgcontent .wsharing ul li { text-indent: 0; }



分享

Facebook
Plurk
YAHOO!



 

好站連結:http://blog.yam.com/ixkbbrfmvb



































arrow
arrow
    全站熱搜

    iciuulmdd 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄