神马文学网安全实例:僵尸网络模型分析及解决方案_评论分析_IT技术_IT专家网1
来源:百度文库 编辑:神马文学网 时间:2024/10/04 06:05:15
PC用户的防御策略
前面提到僵尸的感染主要是通过蠕虫,它们游荡在网络之中寻找有漏洞的机器。因此第一步就是实时升级你的系统,下载补丁和系统补丁,不仅仅是你的操作系统还有你所有与网络相联系的应用程序。
自动升级是一个不错的主意。还有要注意不要打开可疑邮件。
不要浏览支持ActiveX和JavaScript的脚本语言(至少要控制其使用)。
最根本的就是要使用反病毒和反木马软件并且实时更新。尽管如此,许多僵尸仍然会突破杀毒软件的阻截,因此需要安装个人防火墙,特别是电脑一天24小时都开着的话。
僵尸网络出现的重要标志就是网络连接和系统下载。下面是一个简单有效的探测可疑链接的方法:C:/>netstat –an
在感染系统中的Netstat
Netstat
Netstat对于Windows和Unix操作系统都很有效,它的主要功能就是控制活跃端口,Netstat检查TCP和UDP端口并且提供关于网络活动的详细信息。UNIX系统netstat显示所有的流量信息。同样哈有关于出流量的选择,
一些可能的连接状态:
· ESTABLISHED –所有的主机均连接
· CLOSING 远程主机正关闭连接
· LISTENING –主机进入监听连接
· SYN_RCVD –远程主机请求连接
· SYN_SENT –主机开始新的连接
· LAST_ACK –关闭连接之前发送报告
· TIMED_WAIT, CLOSE_WAIT –远程主机终止连接
· FIN_WAIT 1 –客户机终止连接
· FIN_WAIT 2 –两台主机终止连接
观察ESTABLISHED连接特别是6000–7000之间的TCP端口(通常是6667)。如果你发现你的计算机受到威胁,断开网络,清除系统,重启,再检查一遍。
管理员防御策略
管理员应该实时关注最新漏洞信息,多读一些网络安全信息。可以订阅Bugtraq,这个很不错。还有就是要教育用户以及制定相关安全政策。
管理员很有必要学一下与入侵检测系统,防火墙,电子邮件服务器还有代理服务器生成的日志。这有助于查明不正常流量,很可能就是僵尸网络现身的标志。一旦注意到一场流量,使用嗅探器侦查来确认子网罗以及产生这一流量的计算机。上述建议你会认为理所当然,但是却很容易被忽略。
还有一点就是使用先进的手段研究和侦查威胁。其中一个技术就是蜜罐技术。蜜罐就是专门设置引诱威胁的计算机,其主要功用就是搜集威胁的来源然后管理员就会找出解决问题的办法。
最后,姑且不论我们的工具和建议,最有效的防御僵尸网络的方法就是用户本身及其警觉性。其它一切解决方案都只是外部因素。
前面提到僵尸的感染主要是通过蠕虫,它们游荡在网络之中寻找有漏洞的机器。因此第一步就是实时升级你的系统,下载补丁和系统补丁,不仅仅是你的操作系统还有你所有与网络相联系的应用程序。
自动升级是一个不错的主意。还有要注意不要打开可疑邮件。
不要浏览支持ActiveX和JavaScript的脚本语言(至少要控制其使用)。
最根本的就是要使用反病毒和反木马软件并且实时更新。尽管如此,许多僵尸仍然会突破杀毒软件的阻截,因此需要安装个人防火墙,特别是电脑一天24小时都开着的话。
僵尸网络出现的重要标志就是网络连接和系统下载。下面是一个简单有效的探测可疑链接的方法:C:/>netstat –an
在感染系统中的Netstat
Netstat
Netstat对于Windows和Unix操作系统都很有效,它的主要功能就是控制活跃端口,Netstat检查TCP和UDP端口并且提供关于网络活动的详细信息。UNIX系统netstat显示所有的流量信息。同样哈有关于出流量的选择,
一些可能的连接状态:
· ESTABLISHED –所有的主机均连接
· CLOSING 远程主机正关闭连接
· LISTENING –主机进入监听连接
· SYN_RCVD –远程主机请求连接
· SYN_SENT –主机开始新的连接
· LAST_ACK –关闭连接之前发送报告
· TIMED_WAIT, CLOSE_WAIT –远程主机终止连接
· FIN_WAIT 1 –客户机终止连接
· FIN_WAIT 2 –两台主机终止连接
观察ESTABLISHED连接特别是6000–7000之间的TCP端口(通常是6667)。如果你发现你的计算机受到威胁,断开网络,清除系统,重启,再检查一遍。
管理员防御策略
管理员应该实时关注最新漏洞信息,多读一些网络安全信息。可以订阅Bugtraq,这个很不错。还有就是要教育用户以及制定相关安全政策。
管理员很有必要学一下与入侵检测系统,防火墙,电子邮件服务器还有代理服务器生成的日志。这有助于查明不正常流量,很可能就是僵尸网络现身的标志。一旦注意到一场流量,使用嗅探器侦查来确认子网罗以及产生这一流量的计算机。上述建议你会认为理所当然,但是却很容易被忽略。
还有一点就是使用先进的手段研究和侦查威胁。其中一个技术就是蜜罐技术。蜜罐就是专门设置引诱威胁的计算机,其主要功用就是搜集威胁的来源然后管理员就会找出解决问题的办法。
最后,姑且不论我们的工具和建议,最有效的防御僵尸网络的方法就是用户本身及其警觉性。其它一切解决方案都只是外部因素。
安全实例:僵尸网络模型分析及解决方案_评论分析_IT技术_IT专家网
安全实例:僵尸网络模型分析及解决方案_评论分析_IT技术_IT专家网1
APC构建高效企业白皮书_SMB评论分析_评论_IT专家网
“软件2.0”正在发生的技术革命_Web服务评论分析_软件_IT专家网
专家答疑:政府部门CIO在工作场所如何部署Web2.0_CIO评论分析_信息化_IT专家网
教你封杀网络木马病毒十大绝招_Windows安全_网络_IT专家网
浅谈中国移动MM(Mobile Market)“三围”_网络子站_评论_IT专家网
三种方法编译打包Web应用程序_Web服务评论分析_IT专家网
宽带连接错误代码分析及其解决方案 - IT一族 - IT论坛_电脑网络论坛_IT一族论坛 ...
宽带连接错误代码分析及其解决方案 - IT一族 - IT论坛_电脑网络论坛_IT一族论坛 ...
中小企业:VOIP语音网关解决方案(图)_白皮书目录_IT专家网
_技术天地_IT门户_赛迪网
赛迪网_IT门户_技术天地_tech_ccidnet开发J2EE解决方案的八个步骤(2) -
美国为什么没有美女主持人_评论天地_IT圈_比特网
煤炭信息化 IT管理首当其冲_行业信息化_信息化_IT专家网
SOA的投资理由_企业软件_IT技术_比特网
Windows 2003系统十例配置技巧_Windows 2003_操作系统_IT专家网
正确配置你的无线路由器才是王道 _无线网络_IT专家网
iPhone进军中国市场的难题_IT评论_21世纪网
_it业界_新浪网 (树)
_it业界_新浪网 (表)
用XML JSP实现网页内容动态显示的方案_技巧_网页_IT专家网
数据仓库白皮书-结构与应用篇_数据库技巧_数据仓库白皮书-结构与应用篇_IT专家网
用XML JSP实现网页内容动态显示的方案_技巧_网页_IT专家网