TFN2K的防御策略

　　目前仍没有能有效防御TFN2K拒绝服务攻击的方法。最有效的策略是防止网络资源被用作客户端或代理端。

　　预防

　　◆ 只使用应用代理型防火墙。这能够有效地阻止所有的TFN2K通讯。但只使用应

　　用代理服务器通常是不切合实际的，因此只能尽可能使用最少的非代理服务。

　　◆ 禁止不必要的ICMP、TCP和UDP通讯。特别是对于ICMP数据，可只允许ICMP类

　　型3(destination unreachable目标不可到达)数据包通过。

　　◆ 如果不能禁止ICMP协议，那就禁止主动提供或所有的ICMP_ECHOREPLY包。

　　◆ 禁止不在允许端口列表中的所有UDP和TCP包。

　　◆ 配置防火墙过滤所有可能的伪造数据包。

　　◆ 对系统进行补丁和安全配置，以防止攻击者入侵并安装TFN2K。

　　监测

　　◆ 扫描客户端/守护程序的名字。

　　◆ 根据前面列出的特征字符串扫描所有可执行文件。

　　◆ 扫描系统内存中的进程列表。

　　◆ 检查ICMP_ECHOREPLY数据包的尾部是否含有连续的0x41。另外，检查数据侧

　　面内容是否都是ASCII可打印字符(2B，2F-39，0x41-0x5A，0x61-0x7A)。

　　◆ 监视含有相同数据内容的连续数据包(有可能混合了TCP、UDP和ICMP包)。

　　响应

　　一旦在系统中发现了TFN2K，必须立即通知安全公司或专家以追踪入侵进行。因为TFN2K的守护进程不会对接收到的命令作任何回复，TFN2K客户端一般会继续向代理端主机发送命令数据包。另外，入侵者发现攻击失效时往往会试图连接到代理端主机上以进行检查。这些网络通讯都可被追踪。

上一页  [1] [2] [3]