4.美人计VS诱敌深入

　　前面说过，木马程序因为生得短小精悍，所以深得黑客们的青睐，尽管骨灰级的高手常不屑于使用，但是统计表明，百分之六十的黑客攻击是采用木马。木马程序可以直接潜入你的电脑并进行破坏，它常常把自己装成一副游戏或者MP3的嘴脸来诱使你打开它们，一旦你双击了带有特洛伊木马程序的邮件附件或从网上直接下载的貌似合法的程序，它们就会留在电脑中，并且可以让自己随Windows而启动。当你连接到互联网上时，这个程序就会通知黑客(通过邮件或者即时消息)，告知你的IP地址和可以攻击端口。黑客收到这些信息后，使用木马的客户端程序，和潜伏在你机器里的服务器程序里应外合，可以任意地修改你的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等，从而达到控制你的计算机的目的。

　　要破除木马使的美人计，首先不要随意打开来历不明的电子邮件及文件，不要随便运行不太了解的人给你的程序，比如“特洛伊木马”之类的黑客程序就需要骗你运行。尽量避免从Internet下载不知名的软件、游戏程序。即使从知名的网站下载的软件也要及时用最新的病毒和木马查杀软件对软件和系统进行扫描。查到木马程序以后，也不要急着将它推出午门斩首，先逼出口供再说，你可以用netstat命令看看谁在与你连接，然后可以分析这个木马，看看它里面的通知选项里写的是谁的电子邮件地址，就可以对他进行反惩罚了。

　　5.借刀杀人—DDos攻击

　　DDos攻击，是指分布式拒绝服务攻击，从许多分布的主机同时攻击一个目标主机，从而导致它彻底瘫痪，好多著名的网站，象Yahoo、Buy.com、Amazon等都受到过这种“百鸟朝凤”的待遇。分布式拒绝服务攻击采用的是四层客户机/服务器架构，处于最顶层的是目标主机，而首脑攻击者处于最低层，与第二层的攻击服务器(数量比较少，约几台到几十台)相连，然后由攻击服务器把首脑攻击者的攻击命令分布到第三层的攻击执行器(数目很大)上，攻击执行器实施对目标主机的攻击。攻击服务器的作用主要是隔离攻击者与网络直接联系，减少被发现的可能性，同时可以协调进攻。攻击执行器主要运行一些简单的程序，可以向目标主机发出雪崩数据，而且不要求ACK(回应)。

　　首脑攻击者多半是由一台普通主机充当，甚至可能是一台笔记本电脑，这样它的位置可能是不固定的，它用来向攻击服务器发出攻击特定目标的指令。攻击执行器接到攻击命令以后，发出大量数据包骚扰目标主机，而且这种数据包还经过伪装，无法辨认它们的源地址。很快目标主机就会资源耗尽而崩溃。

　　目前这一招还没有直接有效的应对方法:只能先防患于未燃。

　　首先确保服务器安装了最新服务包，打上了所有最新的安全补丁，建议使用英文版的操作系统，因为英文版的操作系统比中文版的Bug要少得多，而且各种服务包、补丁、漏洞资料也发布得要快得多，被攻击的案例大多起因于漏洞没有补好。

　　其次系统管理员要对关键系统的所有外围主机进行检查，而不仅针对关键系统。也就是说要保证一般的外围主机不会被黑客控制。一旦黑客直接控制了外围主机，那将十分可怕。要确保系统管理员知道每个外围主机系统在运行什么操作系统?都有哪些人在使用它们?哪些人可以访问它们?要做到心中有数，不要等到黑客攻击了，才想到要去查，已经晚了。

　　一些未使用的服务，例如Telnet、Ftp、Smtp等，会用明文显示密码、帐号。就应该果断让它们下岗，并且确保封住它们的端口，以防它们死灰复燃。以前讲过黑客通过IPC$攻击就可能获得超级用户的权限，并能访问其他系统，不管是不是受防火墙保护。

　　如果是Unix主机，则要确保所有的守护服务都有TCP封装程序，并限制对主机的访问权限。

　　最好不要让内部网通过“小猫”访问互联网。否则，黑客们很容易通过电话线发现未受保护的主机，马上就可以实行攻击。

　　限制在防火墙外进行网络文件共享。这会使黑客有机会截获系统文件，并以特洛伊木马替换它，文件传输功能无异将陷入瘫痪。

　　可以以毒攻毒，在防火墙上运行扫描器程序。大多数攻击事件是由于防火墙配置不当造成的，使DDoS攻击成功率很高，所以要用扫描器好好地看看到底有哪些不明端口敞开着，同时也可以看看有哪些漏洞，你可以用前面说过的流光检查一下。

　　即时检查所有网络设备和主机/服务器系统的日志。只要日志出现异常或者有被人改动、删除的痕迹，那么就可以怀疑主机已经受到黑客的光顾。

　　尽管以上的方法并不是直接有效，但是篱笆扎得牢了，就能最大限度地防止各类黑客工具的侵袭，其中自然也包括分布式拒绝服务攻击(DDos)。

--
原文链接: http://soft.yesky.com/security/215/2494215.shtml?324