教你几种分布式攻击的防范

向代理发送一个伪造"trinoo"命令来禁止代理。通过crontab 文件(在UNIX系统中)的一个条目，代理可以有规律地重新启动， 因此，代理计算机需要一遍一遍地被关闭，直到代理系统的管理者修复了crontab文件为止。

    检查master程序的活动TCP连接，这能显示攻击者与trinoo master程序之间存在的实时连接。

    如果网络正在遭受trinoo攻击，那么系统就会被UDP 信息包所淹没。Trinoo从同一源地址向目标主机上的任意端口发送信息包。探测trinoo就是要找到多个UDP信息包，它们使用同一来源IP地址、同一目的IP地址、同一源端口，但是不同的目的端口。
在http://www.fbi.gov/nipc/trinoo.htm上有一个检测和根除trinoo的自动程序。

    5．使用DNS来跟踪匿名攻击

　　从一个网管的观点来看，防范的目标并不是仅仅阻止拒绝服务攻击，而是要追究到攻击的发起原因及操作者。当网络中有人使用假冒了源地址的工具（如tfn2k）时，我们虽然没有现成的工具来确认它的合法性，但我们可以通过使用DNS来对其进行分析：

　　假如攻击者选定了目标www.ttttt.com，他必须首先发送一个DNS请求来解析这个域名，通常那些攻击工具工具会自己执行这一步，调用gethostbyname()函数或者相应的应用程序接口，也就是说，在攻击事件发生前的DNS请求会提供给我们一个相关列表，我们可以利用它来定位攻击者。

　　使用现成工具或者手工读取DNS请求日志，来读取DNS可疑的请求列表都是切实可行的，然而，它有三个主要的缺点：

　　攻击者一般会以本地的DNS为出发点来对地址进行解析查询，因此我们查到的DNS请求的发起者有可能不是攻击者本身，而是他所请求的本地DNS服务器。尽管这样，如果攻击者隐藏在一个拥有本地DNS的组织内，我们就可以把该组织作为查询的起点。

　　攻击者有可能已经知道攻击目标的IP地址，或者通过其他手段（host,　ping）知道了目标的IP地址，亦或是攻击者在查询到IP地址后很长一段时间才开始攻击，这样我们就无法从DNS请求的时间段上来判断攻击者（或他们的本地服务器）。

　　DNS对不同的域名都有一个却省的存活时间，因此攻击者可以使用存储在DNS缓存中的信息来解析域名。为了更好做出详细的解析记录，您可以把DNS却省的TTL时间缩小，但这样会导致DNS更多的去查询所以会加重网络带宽的使用。

6．主机防范

　　所有对因特网提供公开服务的主机都应该加以限制。下面建议的策略可以保护暴露在因特网上的主机。

    将所有公开服务器与DMZ隔离 ,提供的每种服务都应该有自己的服务器。

    如果使用Linux（建议这样做），你就可以使用一个或几个"缓冲溢出/堆栈执行"补丁或增强来防止绝大多数（如果不能全部）本地或远程缓冲溢出，以避免这些溢出危及根的安全。强烈建议将Solar Designer的补丁包括在附加的安全特征中。

    使用SRP（Secure Remote Password 安全远程口令）代替SSH。

    限制只有内部地址才能访问支持SRP的telnet和FTP守护程序，强调只有支持SRP的客户端才可以与这些程序对话。如果你必须为公开访问运行常规的FTP（比如匿名FTP），可以在另一个端口运行SRP FTP。
使用可信任的路径。根用户拥有的二进制执行程序应该放置的目录的所有权应该是根，不能让全部用户或组都有写权限。如果有必要的话，为了强制这样做，你可以改变内核。

    使用内置防火墙功能。通过打开防火墙规则，可以经常利用内核状态表。

    使用一些防端口扫描措施。这可以使用Linux的后台程序功能或通过修改内核实现。

    使用Tripwire 和相同作用的软件来帮助发觉对重要文件的修改。

7．电子邮件炸弹防护

　　对于保护电子件的安全来说，了解一下电子邮件的发送过程是很有必要的。它的过程是这样的，当有用户将邮件写好之后首先连接到邮件服务器上，当邮件服务器有响应时便会启动邮件工具，调用路由（这里指的是邮件的路由）程序Sendmail进行邮件路由，根据邮件所附的接收地址中指定的接收主机，比如： net">a@163.net里的163.net，与位于主机163.net电子邮件后台守护程序建立25端口的TCP连接，建立后双方按照SMTP协议进行交互第进，从而完成邮件的投递工作，接收方电子邮件接收邮件后，再根据接收用户名称，放置在系统的邮件目录里，如/usr/电子邮件目录的semxa文件中。接收用户同样使用邮件工具获取和阅读这些已投递的邮件。如果投递失败的话，这些邮件将重新返回到发送方。实际上电子邮件的发送过程要比这里所说的更为复杂些，在过程里将会涉及很多的配置文件。在现在的SMTP协议是一个基于文本的协议，理解和实现都相对比较简单些，你可以使用telnet直接登陆到邮件服务器的25端口（由LANA授权分配给SMTP协议）进行交互。

　　保护电子信箱邮件的信息安全最有效的办法就是使用加密的签名技术，像PGP来验证邮件，通过验证可以保护到信息是从正确的地方发来的，而且在传送过程中不被修改。但是这就不是个人用户所能达到的了，因为PGP比较复杂。

　　就电子邮件炸弹而言，保护还是可以做得很好的。因为它的复杂性不是很高，多的仅仅是垃圾邮件而已。你可以使用到http://semxa.kstar.com/hacking/echom201.zip E-mail Chomper（砍信机）来保护自己。但是目前就国内用户而言，大多用户所使用的都是免费的邮箱，像yeah.net、163.net、263.net等，即便是有人炸顶多也是留在邮件服务器上了，危害基本上是没有的。如果是用pop3接的话，可以用Outlook或Foxmail等pop的收信工具来接收的mail，大多用户使用的是windows的Outlook Express，可以在“工具－收件箱助理”中设置过滤。对于各种利用电子邮件而传播的Email蠕虫病毒和对未知的Emai蠕虫病毒你可以使用防电子邮件病毒软件来防护。

　　另外，邮件系统管理员可以使用“黑名单”来过滤一些垃圾信件。对于不同的邮件系统，大都可以在网络上找到最新的黑名单程序或者列表。

8．使用ngrep工具来处理tfn2k攻击

　　根据使用DNS来跟踪tfn2k驻留程序的原理，现在已经出现了称为ngrep的实用工具。经过修改的ngrep可以监听大约五种类型的tfn2k拒绝服务攻击(targa3,　SYN　flood,　UDP　flood,　ICMP　flood　和　smurf)，它还有一个循环使用的缓存用来记录DNS和ICMP请求。如果ngrep发觉有攻击行为的话，它会将其缓存中的内容打印出来并继续记录ICMP回应请求。假如攻击者通过ping目标主机的手段来铆定攻击目标的话，在