grep udp 端口号, 如果得到listen等激活状态, 就要注意了, 或者用专门的检测软件, 这里推荐美国FBI专门研制的Find Distributed Denial of Service (find_ddos) , 最新版本的可检测到tfn2k client, tfn2k daemon, trinoo daemon, trinoo master, tfn daemon, tfn client, stacheldraht master, stacheldraht client, stachelddraht demon和 tfn-rush client等目前几乎所有流行攻击软件。 它的运行很简单, 解开包, 运行find_ddos即可, 下面为在一台可疑设备运行结果, Logging output t LOGScanning running processes.../proc/795/object/a.out: trinoo daemon/usr/bin/gcore: core.795 dumped/proc/800/object/a.out: trinoo master/usr/bin/gcore: core.800 dumpedScanning /tmp...Scanning /.../yiming/tfn2k/td: tfn2k daemon/yiming/tfn2k/tfn: tfn2k client/yiming/trinoo/daemon/ns: trinoo daemon/yiming/trinoo/master/master: trinoo master/yiming/trinoo/master/...: possible IP list fileNOTE: This message is based on the filename being suspicious, and is notbased on an analysis of the file contents. It is up to you to examine thefile and decide whether it is actually an IP list file related to a DDOStool./yiming/stacheldrahtV4/leaf/td: stacheldraht daemon/yiming/stacheldrahtV4/telnetc/client: stacheldraht client/yiming/stacheldrahtV4/td: stacheldraht daemon/yiming/stacheldrahtV4/client: stacheldraht client/yiming/stacheldrahtV4/mserv: stacheldraht masterALERT: One or more DDOS tools were found on your system.Please examine LOG and take appropriate action.看来这台设备的攻击守护程序还不少呢, 系统管理员要注意啦!这个软件可从下面的地址得到:http://www.fbi.gov/nipc/trinoo.htm 。 其次, 封掉不必要的UDP服务, 如echo,chargen,减少udp攻击的入口。 第三, 在路由器连接骨干网络的端口结合采用CEF和ip verify unicast reverse-path, 挡住一部分ip spoof,syn的攻击。 同时使用access control lists将可能被使用的网络保留地址封掉。 借助使用CAR技术来限制 ICMP 报文大小。 具体使用可查阅cisco网站。 第四, 在敏感主机如www服务器使用ip filter软件。 截至目前, 实际很彻底的防御手段还没有出现, 但采用上述做法可以较大地减小不安全性。 Internet的发展, 永远是一场不会停止的网络安全攻与防的较量。
上面是电脑上网安全的一些基础常识,学习了安全知识,几乎可以让你免费电脑中毒的烦扰。
……