|
黑客联盟 Web过滤服务是迎战僵尸网络的最有力武器。这些服务扫描Web站点发出的不正常的行为,或者扫描已知的恶意活动,并且阻止这些站点与用户接触。 第二剑:转换浏览器 防止僵尸网络感染的另一种策略是浏览器的标准化,而不是仅仅依靠微软的Internet Explorer 或Mozilla 的Firefox。当然这两者确实是最流行的,不过正因为如此,恶意软件作者们通常也乐意为它们编写代码。 第三剑:禁用脚本 另一个更加极端的措施是完全地禁用浏览器的脚本功能,虽然有时候这会不利于工作效率,特别是如果雇员们在其工作中使用了定制的、基于Web的应用程序时,更是这样。 第四剑:部署入侵检测和入侵防御系统 另一种方法是调整你的IDS(入侵检测系统)和IPS(入侵防御系统),使之查找有僵尸特征的活动。例如,重复性的与外部的IP地址连接或非法的DNS地址连接都是相当可疑的。另一个可以揭示僵尸的征兆是在一个机器中SSL通信的突然上升,特别是在某些端口上更是这样。这就可能表明一个僵尸控制的通道已经被激活了。您需要找到那些将电子邮件路由到其它服务器而不是路由到您自己的电子邮件服务器的机器,它们也是可疑的。 第五剑:保护用户生成的内容 还应该保护你的WEB操作人员,使其避免成为“稀里糊涂”的恶意软件犯罪的帮凶。如果你并没有朝着WEB 2.0社会网络迈进,你公司的公共博客和论坛就应该限制为只能使用文本方式。如果你的站点需要让会员或用户交换文件,就应该进行设置,使其只允许有限的和相对安全的文件类型,如那些以.jpeg或mp3为扩展名的文件。(不过,恶意软件的作者们已经开始针对MP3等播放器类型,编写了若干蠕虫。而且随着其技术水平的发现,有可能原来安全的文件类型也会成为恶意软件的帮凶。) 第六剑:使用补救工具 如果你发现了一台被感染的计算机,那么一个临时应急的重要措施就是如何进行补救。像Symantec等公司都宣称,他们可以检测并清除即使隐藏最深的rootkit感染。Symantec在这里指明了Veritas和VxMS(Veritas Mapping Service)技术的使用,特别是VxMS让反病毒扫描器绕过Windows 的文件系统的API。(API是被操作系统所控制的,因此易于受到rootkit的操纵)。其它的反病毒厂商也都试图保护系统免受rootkit的危害,如McAfee 和FSecure等。 不过,Evron认为,事后进行的检测所谓的恶意软件真是一个错误!因为它会使IT专家确信他们已经清除了僵尸,而其实呢,真正的僵尸代码还驻留在计算机上。他说,“反病毒并非是一个解决方案,因为它是一个自然的反应性的东西。反病毒能够识别有关的问题,因而反病毒本身也会被操纵、利用。 |
|
|
