如何防范新型僵尸網絡攻擊
隨著互聯網安全技術的日漸發展,僵尸網絡技術也推陳出新。新一代的僵尸網絡更多的出現在人們眼中,逐漸成為了危害互聯網安全的主要現象。不論是互聯網安全技術如何深入研究,最重要的實際上還是增強用戶的安全意識,才是防范僵尸網絡的治本之道。
那么如何防范新型僵尸網絡的進攻呢?
1、保持警惕
這項建議看起來似乎無關緊要。不過,雖然經常告誡IT管理員注意安全防范,但是他們卻從未看過系統日志,他們也不會告訴你有誰在鏈接網絡,甚至不知道有哪些設備鏈接到了網絡。
2、提高用戶意識
個人用戶具備更多的安全意識和基本知識,非常有利于減少各類安全事件的威脅。個人用戶防范Bot與防范蠕蟲、木馬完全沒有區別。目前已經發現的絕大多數Bot針對Windows操作系統。對個人Windows用戶而言,如果能做到自動升級、設置復雜口令、不運行可疑郵件就很難感染Bot、蠕蟲和木馬。90%以上的惡意代碼利用幾周或幾個月之前就公布了補丁的漏洞傳播,及時升級系統可以避免多數僵尸網絡的侵襲。
3、監測端口
兩方面的建議:
即使是最新bot程序通信,它們也是需要通過端口來實現的。絕大部分的bot仍然使用IRC(端口6667)和其他大號端口(比如31337和54321)。1024以上的所有端口應設置為阻止bot 進入,除非你所在組織給定某個端口有特殊應用需要。即便如此,你也可以對開放的端口制定通信政策“只在辦公時間開放”或者“拒絕所有訪問,除了以下IP地址列表”。
Web通信常需要使用80或者7這樣的端口。而僵尸網絡也常常是在凌晨1點到5點之間進行升級,因為這個時候升級較少被人發現。養成在早晨查看系統日志的好習慣。如果你發現沒有人但卻有網頁瀏覽活動,你就應該警惕并進行調查是否遭到僵尸網絡的襲擊。
4、禁用JavaScript
當一個bot感染主機的時候,往往基于web利用漏洞執行JavaScript來實現。設置瀏覽器在執行JavaScript之前進行提示,有助于最大化地減少因JavaScript而感染bot的機會。我們建議用戶使用Firefox當主瀏覽器來使用,當有腳本試圖執行時可以使用NoScrip plug-in39。
5、多層面防御
面對僵尸網絡,縱深防御很有效。如果我僅有能過濾50%有害信息的單個防御工具,那么效果可能只有50%;但如果我有2種不同的防御工具,每個都50%的話,我就可以得到75%的防御效果(第一個防御工具可以過濾50%,剩下50……;第二個防御工具可以過濾剩下的50%的一半,剩下25%)。如果我有5個防御工具每個都是50%效果的話,我將獲得將近97%的效果。如果要獲得99%的理想狀態,我們需要4個防御工具分別達到70%效果的才能實現。
6、安全評估
一些著名廠商都會提供免費的安全評估工具和先進安全產品免費試用。在評估和試用結束的時候,他們都會報告你公司所面臨的不同類型的安全風險和安全漏洞。這有助于讓你評估當前的安全解決方案是否有效,并且告訴你接下來該采取怎樣的安全措施。
【編輯推薦】
