分布式攻擊的危害很大���,因此,研究阻止和擊敗此類攻擊的解決方法是目前信息安全領域面臨的一個重要課題。本文著眼于一般性的分布式攻擊����。目的在于提供一種簡單易行、費用較低的解決方案����。
容易實現而又適當的防護措施有很多。首先要做的是盡可能去掉不必要地通過防火墻的傳輸����,所有的公開方式,比如Web�、FTP和郵件服務器應該放置在分離的網絡中���,所有因特網聯接方式都不應該有編譯器�。
要確定管理通道和端口都被關閉�����,或是安全的��。為保證計算機的安全,可以按這樣的順序保護它們:防火墻��、DMZ中的公開部位��、內部服務�����、工作站�。
也可以通過新補丁和調整來減少攻擊的潛在目標和發起點。
1.ICMP防護措施
ICMP最初開發出來是為了“幫助”網絡�����,經常被廣域網管理員用作診斷工具���。但今天各種各樣的不充分的ICMP被濫用���,沒有遵守RFC 792原先制訂的標準,要執行一定的策略可以讓它變得安全一些����。
入站的ICMP時間標記(Timestamp)和信息請求(Information Request)數據包會得到響應,帶有非法或壞參數的偽造數據包也能產生ICMP參數問題數據包���,從而允許另外一種形式的主機搜尋��。這仍使得站點沒有得到適當保護���。
以秘密形式從主方到客戶方發布命令的一種通用方法�,就是使用ICMP Echo應答數據包作為載波�。 回聲應答本身不能回答,一般不會被防火墻阻塞���。
首先�����,我們必須根據出站和入站處理整個的“ICMP限制”問題。ICMP回聲很容易驗證遠程機器���,但出站的ICMP回聲應該被限制只支持個人或單個服務器/ICMP代理(首選)�����。
如果我們限制ICMP回聲到一個外部IP地址(通過代理),則我們的ICMP回聲應答只能進入我們網絡中預先定義的主機�。
重定向通常可以在路由器之間找到,而不是在主機之間��。防火墻規則應該加以調整�����,使得這些類型的ICMP只被允許在需要信息的網際連接所涉及的路由器之間進行����。
建議所有對外的傳輸都經過代理,對內的ICMP傳輸回到代理地址的時候要經過防火墻����。這至少限制了ICMP超時數據包進入一個內部地址,但它可能阻塞超時數據包�����。
當ICMP數據包以不正確的參數發送時����,會導致數據包被丟棄�����,這時就會發出ICMP參數出錯數據包。主機或路由器丟棄發送的數據包�,并向發送者回送參數ICMP出錯數據包,指出壞的參數��。
總的來說��,只有公開地址的服務器(比如Web�����、電子郵件和FTP服務器)�����、防火墻����、聯入因特網的路由器有真正的理由使用ICMP與外面的世界對話�。如果調整適當,實際上所有使用進站和出站ICMP的隱密通訊通道都會被中止�����。
2. 關于主機的建議
所有對因特網提供公開服務的主機都應該加以限制�����。下面建議的策略可以保護暴露在因特網上的主機�����。
● 將所有公開服務器與DMZ隔離
● 提供的每種服務都應該有自己的服務器����。
● 如果使用Linux(建議這樣做)��,你就可以使用一個或幾個“緩沖溢出/堆棧執行”補丁或增強來防止絕大多數(如果不能全部)本地或遠程緩沖溢出�����,以避免這些溢出危及根的安全���。強烈建議將Solar Designer的補丁包括在附加的安全特征中。
● 使用SRP(Secure Remote Password 安全遠程口令)代替SSH���。
● 限制只有內部地址才能訪問支持SRP的telnet和FTP守護程序�,強調只有支持SRP的客戶端才可以與這些程序對話��。如果你必須為公開訪問運行常規的FTP(比如匿名FTP),可以在另一個端口運行SRP FTP����。
● 使用可信任的路徑。根用戶擁有的二進制執行程序應該放置的目錄的所有權應該是根���,不能讓全部用戶或組都有寫權限。如果有必要的話���,為了強制這樣做�����,你可以改變內核�����。
● 使用內置防火墻功能。通過打開防火墻規則��,可以經常利用內核狀態表���。
● 使用一些防端口掃描措施���。這可以使用Linux的后臺程序功能或通過修改內核實現���。
● 使用Tripwire 和相同作用的軟件來幫助發覺對重要文件的修改��。
3.有關入侵檢測系統的建議
由于許多用來擊敗基于網絡的入侵檢測系統的方法對絕大多數商業入侵檢測系統產品仍然是有效的���,因此建議入侵檢測系統應該至少有能重組或發覺碎片的自尋址數據包���。
下面是部分要注意的事項:
● 確信包括了現有的所有規則,包括一些針對分布式拒絕服務攻擊的新規則��。
● 如果遵循了ICMP建議項��,許多ICMP會被阻塞�����,入侵檢測系統觸發器存在許多機會�。任何通常情況下要被阻塞的入站或出站的ICMP數據包可以被觸發�����。
● “任何”被你用防火墻分離的網絡傳輸都可能是一個潛在的IDS觸發器。
● 如果你的入侵檢測系統支持探測長時間周期的攻擊����,確信沒有把允許通過防火墻的被信任主機排除在外。這也包括虛擬專用網����。
● 如果你能訓練每個使用ping的用戶在ping主機時使用小數據包����,就可能設置入侵檢測系統尋找超29字節的Echo和Echo應答數據包。
總結
本文通過加強主機安全����、限制不良基礎的通訊通道、調整防火墻和入侵檢測系統的規則等防護措施��,將可以有效地對付分布式攻擊��,這里描述的絕大多數網絡攻擊(不論是實際上還是理論上的)都能夠被抑制���。執行以上所述的這些防護建議�����,不僅可以防止多種分布式攻擊���,而且可以大大增強多方面的安全���。
