如果使用Linux（建議這樣做），你就可以使用一個或幾個"緩沖溢出/堆棧執(zhí)行"補丁或增強來防止絕大多數(shù)（如果不能全部）本地或遠程緩沖溢出，以避免這些溢出危及根的安全。強烈建議將Solar Designer的補丁包括在附加的安全特征中。

使用SRP（Secure Remote Password 安全遠程口令）代替SSH。

限制只有內(nèi)部地址才能訪問支持SRP的telnet和FTP守護程序，強調(diào)只有支持SRP的客戶端才可以與這些程序?qū)υ?。如果你必須為公開訪問運行常規(guī)的FTP（比如匿名FTP），可以在另一個端口運行SRP FTP。

使用可信任的路徑。根用戶擁有的二進制執(zhí)行程序應該放置的目錄的所有權(quán)應該是根，不能讓全部用戶或組都有寫權(quán)限。如果有必要的話，為了強制這樣做，你可以改變內(nèi)核。

使用內(nèi)置防火墻功能。通過打開防火墻規(guī)則，可以經(jīng)常利用內(nèi)核狀態(tài)表。

使用一些防端口掃描措施。這可以使用Linux的后臺程序功能或通過修改內(nèi)核實現(xiàn)。

使用Tripwire 和相同作用的軟件來幫助發(fā)覺對重要文件的修改。

3．有關(guān)入侵檢測系統(tǒng)的建議

由于許多用來擊敗基于網(wǎng)絡的入侵檢測系統(tǒng)的方法對絕大多數(shù)商業(yè)入侵檢測系統(tǒng)產(chǎn)品仍然是有效的，因此建議入侵檢測系統(tǒng)應該至少有能重組或發(fā)覺碎片的自尋址數(shù)據(jù)包。

下面是部分要注意的事項：

確信包括了現(xiàn)有的所有規(guī)則，包括一些針對分布式拒絕服務攻擊的新規(guī)則。

如果遵循了ICMP建議項，許多ICMP會被阻塞，入侵檢測系統(tǒng)觸發(fā)器存在許多機會。任何通常情況下要被阻塞的入站或出站的ICMP數(shù)據(jù)包可以被觸發(fā)。

"任何"被你用防火墻分離的網(wǎng)絡傳輸都可能是一個潛在的IDS觸發(fā)器。

如果你的入侵檢測系統(tǒng)支持探測長時間周期的攻擊，確信沒有把允許通過防火墻的被信任主機排除在外。這也包括虛擬專用網(wǎng)。

如果你能訓練每個使用ping的用戶在ping主機時使用小數(shù)據(jù)包，就可能設置入侵檢測系統(tǒng)尋找超29字節(jié)的Echo和Echo應答數(shù)據(jù)包。

總結(jié)

本文通過加強主機安全、限制不良基礎的通訊通道、調(diào)整防火墻和入侵檢測系統(tǒng)的規(guī)則等防護措施，將可以有效地對付分布式攻擊，這里描述的絕大多數(shù)網(wǎng)絡攻擊（不論是實際上還是理論上的）都能夠被抑制。執(zhí)行以上所述的這些防護建議，不僅可以防止多種分布式攻擊，而且可以大大增強多方面的安全。

多易