資源描述:
《阻止隱形僵尸攻擊者的肆虐上》由會員上傳分享��,免費在線閱讀����,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫�。
1、阻止隱形僵尸攻擊者的肆虐(上)主持人:歡迎光臨思科互動網(wǎng)絡(luò)——技術(shù)達人“秀”���。如果有任何技術(shù)問題��,請在瀏覽控制臺底部區(qū)域提交�。你還可以將問題、評論以及建議用電子郵件的形式發(fā)給我們����,郵件地址為TechwiseTV-cn@cisco.com。感謝您的參與����,也希望您能夠喜歡我們的節(jié)目。JONASTICHENOR:哪些攻擊者能夠?qū)δ愕木W(wǎng)絡(luò)安全造成最大威脅�����?是那些你看不到的那些隱形攻擊者��。今天��,我們就來談一談隱形攻擊者以及如何阻止這些僵尸程序��。JIMMYRAYPURSER:僵尸程序的行為完全是犯罪行為����。JONASTICHENOR:我們將講解這些隱蔽攻擊者的潛伏伎倆,并
2���、為你展示一些防范的方法����,讓你通過簡單的六招,就能抵擋這種威脅���。我們還將揭開攻擊者的神秘面紗�,揭露當今攻擊者如何利用常見工具以及過時的智能技術(shù)來實現(xiàn)從他人網(wǎng)絡(luò)和系統(tǒng)牟利的新目的�����。ROBBBOYD:這是普通用戶最想知道答案的一個問題��,也就是為什么每個人都想要攻擊我����?JONASTICHENOR:我們將揭開偷渡式下載(drive-bydownload)以及其它惡意行為的內(nèi)幕,網(wǎng)絡(luò)中的用戶可能會招致這些風險�����。請記住一點��,通常���,我們不知情的東西能夠?qū)ξ覀冊斐勺畲蟮膫?。這里是思科互動網(wǎng)絡(luò)—技術(shù)達人“秀”����,值得信賴的電腦極客,為你帶來實用技術(shù)��,盡在思科互動網(wǎng)絡(luò)���。歡迎光臨思
3����、科互動網(wǎng)絡(luò)—技術(shù)達人“秀”�。我是JONASTICHENOR,坐在我身邊的是思科解決方案專家ROBBBOYD以及JIMMYRAYPURSER�����。我們今天的話題是�,“隱形的攻擊者:阻止僵尸程序”。我們都知道����,一些攻擊者入侵網(wǎng)站以及計算機,目的是想要創(chuàng)造一點小新聞�,提高自己的知名度�����。ROBBBOYD:大型DDoS攻擊或網(wǎng)站破壞行為當然可以實現(xiàn)這一目的��。這些類型的攻擊會對受害者造成很大的麻煩���。JONASTICHENOR:沒錯,但是在當今大多數(shù)攻擊中��,隱蔽的攻擊者并不想要聲名遠揚��。ROBBBOYD:太可怕了���。在當今社會金錢利益的驅(qū)動下���,這也很合理。他們想要潛藏起來�����,這樣
4����、他們才能長期暗地里控制他人的系統(tǒng)、竊取數(shù)據(jù)�、消耗CPU運算周期、發(fā)動其它攻擊或者為了以后繼續(xù)實施有利可圖的訪問����。就我們的經(jīng)驗來看,當今這些隱形的攻擊者才是我們最需要擔心的�。JONASTICHENOR:沒錯,因此了解這種威脅非常重要�,我們要了解這些攻擊者如何潛藏在不起眼的角落里。ROBBBOYD:有請我們首席安全官JIMMYRAYPURSER了���。JIMMYRAY��,我們已經(jīng)開始談到基本問題了�����,你怎么隱藏自己蹤跡呢��?JIMMYRAYPURSER:首先��,根據(jù)我使用的操作系統(tǒng)���,我喜歡盡量利用操作系統(tǒng)的所有特性隱藏我正在進行的工作����、隱藏我的文件�、隱藏我的日志。一旦我侵入
5��、網(wǎng)絡(luò)���,我要做的第一件事就是試圖找到時間服務(wù)器����。這樣��,我就能夠?qū)r間服務(wù)器更改至某一日期�����,讓我的行跡變得模糊���。因此��,現(xiàn)在當我找到日志�����、系統(tǒng)日志服務(wù)器時���,我能夠得到進入該網(wǎng)絡(luò)的確切時間。我還能抹掉這些蹤跡以及將這些日志壓縮在一起�����。我還喜歡使用隱匿程序包(Rootkit)中的工具并將這些工具隱藏在其它文件的背后��。JONASTICHENOR:就是說�,我們已經(jīng)對肇事者的潛藏有了一點了解,JimmyRay�����,那你怎樣防范這些隱藏的攻擊者呢�����?ROBBBOYD:你推薦使用哪些方法來防范呢����?JIMMYRAYPURSER:如果每個文件都檢查一遍就比較困難了。在大多數(shù)操作系統(tǒng)中,有
6�、15,000個文件。在實際并未安裝軟件包的情況下�����,挨個文件檢查太困難了��。誰會那樣做呢�?JONASTICHENOR:沒錯。JIMMYRAYPURSER:所以���,了解了系統(tǒng)的基本工作原理之后�,通過一些基本的防御辦法即可進行很好的防御��。你可以采用六種辦法來防御��。你可以精確地將系統(tǒng)里的所有內(nèi)容都記入日志��。這樣做之后���,就將日志服務(wù)器與其它系統(tǒng)分離開了��。因此���,我不會使用容易變成別人攻擊目標的服務(wù)器�,也不會將我的日志服務(wù)器放在上面����。我會在網(wǎng)絡(luò)上其它地方的另一臺隱藏起來�、不引人注意的服務(wù)器上將它們記入日志。我會盡量對這些日志文件進行加密處理�����。JONASTICHENOR:很好�����。
7����、JIMMYRAYPURSER:盡量確保必須使用密鑰才能訪問這些內(nèi)容。雖然并不需要這樣做���,但是我喜歡將所有內(nèi)容都設(shè)置成最小許可���。大多數(shù)人進來后�����,他們會設(shè)置成最大許可��,只是為了讓所有內(nèi)容都能夠正常工作���。但是然后就忘記了恢復(fù)原樣。這一點非常重要����,尤其是在軟件解決方案作為一項服務(wù)而運行時,因為他們通常還會以根(Root)或管理級的權(quán)限來運行��。我喜歡做的另一件事是將日志設(shè)置為“只能添加”(Appendonly)�,因此我不會覆蓋所有內(nèi)容。實際上我只對現(xiàn)有日志進行了追加��。然后你就可以將日志存儲于一次性寫入(WriteOnce)介質(zhì)上�����。這樣���,像我這樣的人就無法進入其中�、擦除
8、這些內(nèi)容��,也無法獲取它們�,因為它們已經(jīng)寫入過一次了。
