PC用户的防御策略 前面提到僵尸的感染主要是通过蠕虫,它们游荡在网络之中寻找有漏洞的机器。因此第一步就是实时升级你的系统,下载补丁和系统补丁,不仅仅是你的操作系统还有你所有与网络相联系的应用程序。 自动升级是一个不错的主意。还有要注意不要打开可疑邮件。 不要浏览支持ActiveX和JavaScript的脚本语言(至少要控制其使用)。 最根本的就是要使用反病毒和反木马软件并且实时更新。尽管如此,许多僵尸仍然会突破杀毒软件的阻截,因此需要安装个人防火墙,特别是电脑一天24小时都开着的话。 僵尸网络出现的重要标志就是网络连接和系统下载。下面是一个简单有效的探测可疑链接的方法:C:/>netstat –an
在感染系统中的Netstat Netstat Netstat对于Windows和Unix操作系统都很有效,它的主要功能就是控制活跃端口,Netstat检查TCP和UDP端口并且提供关于网络活动的详细信息。UNIX系统netstat显示所有的流量信息。同样哈有关于出流量的选择, 一些可能的连接状态: · ESTABLISHED –所有的主机均连接 · CLOSING 远程主机正关闭连接 · LISTENING –主机进入监听连接 · SYN_RCVD –远程主机请求连接 · SYN_SENT –主机开始新的连接 · LAST_ACK –关闭连接之前发送报告 · TIMED_WAIT, CLOSE_WAIT –远程主机终止连接 · FIN_WAIT 1 –客户机终止连接 · FIN_WAIT 2 –两台主机终止连接 观察ESTABLISHED连接特别是6000–7000之间的TCP端口(通常是6667)。如果你发现你的计算机受到威胁,断开网络,清除系统,重启,再检查一遍。 管理员防御策略 管理员应该实时关注最新漏洞信息,多读一些网络安全信息。可以订阅Bugtraq,这个很不错。还有就是要教育用户以及制定相关安全政策。 管理员很有必要学一下与入侵检测系统,防火墙,电子邮件服务器还有代理服务器生成的日志。这有助于查明不正常流量,很可能就是僵尸网络现身的标 志。一旦注意到一场流量,使用嗅探器侦查来确认子网罗以及产生这一流量的计算机。上述建议你会认为理所当然,但是却很容易被忽略。 还有一点就是使用先进的手段研究和侦查威胁。其中一个技术就是蜜罐技术。蜜罐就是专门设置引诱威胁的计算机,其主要功用就是搜集威胁的来源然后管理员就会找出解决问题的办法。 最后,姑且不论我们的工具和建议,最有效的防御僵尸网络的方法就是用户本身及其警觉性。其它一切解决方案都只是外部因素。 |
|