3、监测端口
即使是最新bot程序通信,它们也是需要通过端口来实现的。绝大部分的bot仍然使用IRC(端口6667)和其他大号端口(比如31337和54321)。1024以上的所有端口应设置为阻止bot 进入,除非你所在组织给定某个端口有特殊应用需要。即便如此,你也可以对开放的端口制定通信政策“只在办公时间开放”或者“拒绝所有访问,除了以下IP地址列表”。
Web通信常需要使用80或者7这样的端口。而僵尸网络也常常是在凌晨1点到5点之间进行升级,因为这个时候升级较少被人发现。养成在早晨查看系统日志的好习惯。如果你发现没有人但却有网页浏览活动,你就应该警惕并进行调查。
4、禁用JavaScript
当一个bot感染主机的时候,往往基于web利用漏洞执行JavaScript来实现。设置浏览器在执行JavaScript之前进行提示,有助于最大化地减少因JavaScript而感染bot的机会。我们建议用户使用Firefox当主浏览器来使用,当有脚本试图执行时可以使用NoScrip plug-in39。
5、多层面防御
纵深防御很有效。如果我仅有能过滤50%有害信息的单个防御工具,那么效果可能只有50%;但如果我有2种不同的防御工具,每个都50%的话,我就可以得到75%的防御效果(第一个防御工具可以过滤50%,剩下50……;第二个防御工具可以过滤剩下的50%的一半,剩下25%)。如果我有5个防御工具每个都是50%效果的话,我将获得将近97%的效果。如果要获得99%的理想状态,我们需要4个防御工具分别达到70%效果的才能实现。
6、安全评估
一些着名厂商都会提供免费的安全评估工具和先进安全产品免费试用。在评估和试用结束的时候,他们都会报告你公司所面临的不同类型的安全风险和安全漏洞。这有助于让你评估当前的安全解决方案是否有效,并且告诉你接下来该采取怎样的安全措施。
最后僵尸网络虽然种类和攻击手段繁多,但是只要我们加以针对,逐个攻破,相信没有什么是防范不了的。
上一页 [1] [2]