本文首先介紹Solaris的基本安全設(shè)置。

1．物理安全

首先要進(jìn)行Solaris的OpenBoot安全設(shè)置。

通過(guò)OpenBoot，幾乎可以從任何連接SCSI設(shè)備上引導(dǎo)。也可以修改OpenBoot變量，而這些影響到整個(gè)Unix的引導(dǎo)。

OpenBoot的三種安全級(jí)別如下：

(1)None：可以執(zhí)行任何命令。

(2)Command：除boot和go之外的命令執(zhí)行需要口令，可以從默認(rèn)設(shè)備上引導(dǎo)。

(3)Full：除go之外的命令執(zhí)行需要口令。

注意在full模式下，如果遺忘了OpenBoot口令，只有用root登錄后用eeprom才能修改口令。

如果root口令也遺忘了，只能更換EPROM了。

推薦至少將OpenBoot設(shè)為Command模式。在嚴(yán)格限制安全條件時(shí)規(guī)定Full模式，但在這時(shí)需要牢記OpenBoot口令，否則會(huì)造成很大的麻煩。

2．文件系統(tǒng)安全

(1)文件和目錄的權(quán)限。

UNIX系統(tǒng)中的文件權(quán)限，是指對(duì)文件(或者目錄)的訪問(wèn)權(quán)限，包括對(duì)文件和目錄的讀、寫(xiě)和執(zhí)行。我們要注意這三種權(quán)限在文件與目錄上的不同作用。

請(qǐng)檢查自己的Solads服務(wù)器的下列文件權(quán)限是否正確：

●／etc下的所有文件：／etc中的文件不需要可寫(xiě)，應(yīng)設(shè)為只讀，chmodg-w／etc／*。

●／etc／inetd．conf：所有者為root，訪問(wèn)權(quán)限是可讀寫(xiě)。其他用戶無(wú)任何權(quán)限。

●／etc／services：確保文件所有者是root，可讀寫(xiě)。其他人可讀。

對(duì)于root用戶新創(chuàng)建的文件與目錄，注意在沒(méi)有必要的情況下，一定要使任何一個(gè)用戶沒(méi)有訪問(wèn)的權(quán)限。超級(jí)用戶的權(quán)限最好設(shè)置為077。如果某些文件或者目錄需要被別人訪問(wèn)，生成后再修改權(quán)限就行了。麻煩一點(diǎn)總比被攻擊好。

(2)SetUID與SetGID權(quán)限。

在Solaris中，文件除了讀、寫(xiě)和執(zhí)行權(quán)限外，還有一些特殊權(quán)限，SetUID和SetGID是其中的一類。它與Solaris系統(tǒng)的安全關(guān)系緊密。SetUID是指設(shè)置程序的有效的執(zhí)行用戶身份(UID)為該文件的主人，而不是調(diào)用該程序的進(jìn)程的uid。SetGID與之類似。SetUID和 SetGID存在于主人和屬組的執(zhí)行權(quán)限的位置上。

這種權(quán)限怎么用?舉個(gè)例子來(lái)說(shuō)，假如某一命令(程序)的主人是root用戶，并且該文件有SetUID屬性，但是該文件的讀、寫(xiě)、執(zhí)行權(quán)限的屬性表明普通用戶userl可以執(zhí)行該命令，那么就表示：當(dāng)userl執(zhí)行該命令時(shí)，他具有root的執(zhí)行身份，并獲得相應(yīng)的權(quán)限。一旦該命令執(zhí)行完成，root身份也隨之消失。

有些文件是不能有SetUID權(quán)限的，比如cat、mole、vi、tail等可以起顯示和編輯作用的命令。如果有的話會(huì)產(chǎn)生什么效果?就會(huì)讓普通用戶看到他本不應(yīng)該看到的文件，如／etc／shadow，這里存放著所有用戶加密后的口令，一旦黑客得到root的口令加密串，然后利用一臺(tái)性能好的計(jì)算機(jī)可以在幾天時(shí)間內(nèi)就把root口令算出來(lái)，從而非法提升權(quán)限。

如果／Bin／ksh這樣的外殼程序有SetUID權(quán)限就更不得了，普通用戶執(zhí)行后就馬上成為超級(jí)用戶了。

(3)查找特定權(quán)限的文件。

在黑客攻擊了系統(tǒng)之后，往往會(huì)修改一些文件與目錄的屬性，來(lái)達(dá)到留后門(mén)和其他的目的，我們可以通過(guò)下列的手段來(lái)找出這些文件，消除隱患。

在當(dāng)前目錄及其子目錄查找所有的SetUID文件：

#find／ -perm -4000 -prin

在當(dāng)前目錄及其子目錄查找SetGID的文件：

#find／ -perm -2000 -print

在當(dāng)前目錄及其子目錄查找所有用戶都可寫(xiě)的文件：

#find／ -perm -O+W -print

查找屬于某個(gè)用戶的文件，這在確定一個(gè)賬戶被非法使用后是很有用的：

#find／ -user xyd -print

使用這個(gè)命令可以列出系統(tǒng)中所有屬主是用戶xyd的文件。

(4)賬號(hào)與密碼。

黑客要非法地訪問(wèn)一臺(tái)計(jì)算機(jī)，最簡(jiǎn)單的辦法是盜取一個(gè)合法的賬號(hào)，這樣就可以令人不易察覺(jué)地使用系統(tǒng)。在Solaris系統(tǒng)中默認(rèn)有不少賬號(hào)安裝，也會(huì)建立新的個(gè)人用戶賬號(hào)，系統(tǒng)管理員應(yīng)對(duì)所有的賬號(hào)進(jìn)行安全保護(hù)，而不能只防護(hù)那些重要的賬號(hào)，如root。

無(wú)用和長(zhǎng)期不用的賬號(hào)對(duì)系統(tǒng)來(lái)說(shuō)是一種負(fù)擔(dān)，也容易為黑客提供入侵的途徑。為了整體的安全，應(yīng)關(guān)閉這些賬號(hào)，直接在／etc／passwd和／etc／group中把相應(yīng)的行注釋掉就可以了。在默認(rèn)設(shè)置下，系統(tǒng)中有這些用戶與組需要關(guān)閉：

需要關(guān)閉的用戶：

daemon、bin、sys、adm、lp、uucp、nuucp、listen、nobody、nobody4、noaccess。

需要關(guān)閉的組：

sysadmin(14)、sys(3)。

在Solaris中可以使用／etc／default／passwd文件來(lái)保護(hù)賬號(hào)的安全，下面給出了一些推薦值：

●MINWEEKS=1    #最短改變口令時(shí)間為1周之后；

●MAXWEEKS=4    #最長(zhǎng)改變口令時(shí)間為4周之內(nèi)；

●WARNWEEKS=3   #3周的時(shí)間給出密碼過(guò)時(shí)警告：

●PASSLENGTH=6  #最短口令長(zhǎng)度為6。

密碼的設(shè)置應(yīng)按照一定的規(guī)則。在Solaris系統(tǒng)中，為了強(qiáng)制用戶使用合格的口令，用戶修改口令時(shí)默認(rèn)要求必須最少有6個(gè)字符，而且至少包括一個(gè)數(shù)字或者特殊字符。不過(guò)要注意在以root的身份進(jìn)行密碼修改時(shí)是不受這個(gè)限制的。

下面是在進(jìn)行密碼設(shè)置時(shí)推薦的一些注意事項(xiàng)：

●密碼至少應(yīng)有6個(gè)字符(在／etc／default／passwd中定義)；

●密碼至少應(yīng)該包含2個(gè)英文字母及一個(gè)數(shù)字或特殊符號(hào)；

●密碼應(yīng)與用戶名完全不同，且不能使用原有名稱的變化(如反序、位移等，因?yàn)橄到y(tǒng)在做比較時(shí)忽略大小寫(xiě))；

●新舊密碼至少有3個(gè)字符不相同(因?yàn)橄到y(tǒng)在做比較時(shí)忽略大小寫(xiě))。

(5)用passwd命令設(shè)置賬號(hào)。

利用passwd命令，除了可以修改口令外，還可以進(jìn)行一些口令方面的參數(shù)設(shè)置：

●-s：列出口令的參數(shù)；

●-1：root鎖定一個(gè)用戶；

●-d：root刪除一個(gè)用戶的口令；

●-n：root設(shè)置一個(gè)用戶的最短修改密碼時(shí)間；

●-x：root設(shè)置一個(gè)用戶的最長(zhǎng)修改密碼時(shí)間；

●-w：root設(shè)置一個(gè)用戶的修改密碼警告時(shí)間。

(6)設(shè)置賬號(hào)組信息。

在Solaris中，用戶在／etc，passwd文件中規(guī)定的組是主組，他還可以同時(shí)屬于其他組。這個(gè)屬性在／etc／group中可以查到。下面是有關(guān)用戶組的一些命令：

●newgrp：切換成新的用戶組；

●groups：顯示所屬的用戶組；

●id：顯示用戶的身份，包括UID、GID、用戶組等信息。

(7)su命令。

切換用戶的命令su可以使一個(gè)用戶切換為另一個(gè)用戶而不必退出。在使用時(shí)，系統(tǒng)會(huì)提示輸入將要切換為的用戶密碼。按“Ctrl”+D或exit返回。

可以使用／etc／default／su文件管理su的參數(shù)：

●SULOG=／var／adm／sulog#10g文件記錄：

●PATH=／usr／bin：#新用戶默認(rèn)PATH：

●SUPATH=／usr／sbin：／usr／bin；

●SYSLOG=YES#記錄log。

如果可能的話，使用sudo代替su命令，這樣可以減少特權(quán)命令被濫用的情況。

3．root賬號(hào)的安全

root賬號(hào)是黑客攻擊的最終目標(biāo)，有了root賬號(hào)，黑客可以不受限制地訪問(wèn)系統(tǒng)中的所有文件和資源，也可以成為任何一個(gè)用戶。

在／etc／default／login中添加Console=／dev／console即可限制root只能在控制臺(tái)上直接登錄。

4．cron安全

系統(tǒng)中，在很多時(shí)候都需要不斷重復(fù)一些命令，例如某公司每周一自動(dòng)向員工報(bào)告上一周公司的活動(dòng)情況，這時(shí)就需要使用cron命令來(lái)完成任務(wù)。cron常有的安全問(wèn)題有：

(1)沒(méi)有充分屏蔽cron運(yùn)行的程序。root用戶的cron中運(yùn)行的腳本和程序不應(yīng)被其他用戶讀到，更不能被修改。

(2)cron的PATH不安全。存在不安全和不確定的PATH。在／etc／default／cron中和程序本身的PATH都不應(yīng)該有不安全的PATH，這會(huì)導(dǎo)致黑客在這些PATH中添加自己的程序，與cron所要執(zhí)行的命令名稱相同；同樣地，如果cron的PATH中存在著”～”、“．”等不確定的PATH，也可以為類似的攻擊手段留下可能。要檢查crontab，不使其中留下這樣的路徑。

(3)用戶的crontab放在其他用戶可以看到的目錄。這會(huì)使其他用戶查看并分析這些 cron的條目，進(jìn)行對(duì)相應(yīng)漏洞的攻擊。

(4)cron．a(chǎn)llow與cron．deny。在進(jìn)行cron設(shè)置的時(shí)候，應(yīng)該使用root權(quán)限對(duì)／etc／cr- on．d／cron．a(chǎn)llow／etc／cron．d／cron．deny進(jìn)行限制，允許和禁止相應(yīng)的用戶使用crontab命令。

5．文件與進(jìn)程檢查工具fuser與lsof

fuser是系統(tǒng)中自帶的命令，它可以查找出哪個(gè)進(jìn)程在使用文件。它可以用來(lái)在刪除或者重命名文件之前檢查是否有某個(gè)進(jìn)程打開(kāi)了這個(gè)文件，并且在不能卸載一個(gè)文件系統(tǒng)的時(shí)候，作為查找故障的工具查看是哪些進(jìn)程打開(kāi)了這個(gè)文件。

fuser的模式：

進(jìn)程的當(dāng)前工作目錄；

進(jìn)程的根目錄(裝入點(diǎn)目錄)；

打開(kāi)的普通文件；

內(nèi)存映射文件；

程序的代碼；

程序的控制終端；

lsof列出系統(tǒng)中所有打開(kāi)的文件及其被哪些進(jìn)程所打開(kāi)，由此查出被可疑進(jìn)程打開(kāi)的文件。

lsof可以列出UNIX系統(tǒng)中的所有打開(kāi)的文件，并且顯示它們是被哪些進(jìn)程打開(kāi)的。這個(gè)工具可以用來(lái)幫助確定黑客或者他們的進(jìn)程是否在讀寫(xiě)他們本不應(yīng)該訪問(wèn)的文件。使用“l(fā)sof”命令管理員可以查看進(jìn)程、進(jìn)程UID(包括sniffer、IRC、login shell)、網(wǎng)絡(luò)連接和所有當(dāng)前被打開(kāi)的文件(如顯示sniffer的log文件、工作目錄等信息)。

6．安全檢查工具COPS

COPS是一個(gè)安全性的軟件包，它可以在系統(tǒng)上檢查一些已知的缺陷，并且向系統(tǒng)管理員報(bào)告這些缺陷。COPS包含如下這樣一些在系統(tǒng)中檢查已知缺陷的工具包：

●dir．chk、file．chk：掃描所有用戶可寫(xiě)的系統(tǒng)文件和目錄；

●dev．chk：掃描系統(tǒng)設(shè)備目錄；

●home．chk、user．chk：檢查所有用戶可寫(xiě)的用戶主目錄；

●root．chk：掃描所有用戶可寫(xiě)的root的登錄文件、路徑、umask和hosts．equiv;

●suid．chk：掃描系統(tǒng)中的新的SetUID程序；

在使用COPS時(shí)，最好是定期運(yùn)行它。至少一周運(yùn)行一次，在重要的服務(wù)器和經(jīng)常改變配置的服務(wù)器上最好每天都運(yùn)行它，甚至每天運(yùn)行兩次。COPS可以檢查到兩次運(yùn)行之間文件和目錄權(quán)限發(fā)生的變化。了解到這些變化以后，系統(tǒng)管理員就可以有的放矢地找出漏洞。

7．安全檢查工具，Tiger

類似于COPS，Tiger也是一個(gè)系統(tǒng)安全性的檢查工具。它可以檢查系統(tǒng)內(nèi)一些已經(jīng)存在的漏洞并向系統(tǒng)管理員報(bào)告。它使用時(shí)比較簡(jiǎn)單，只要解壓縮包后運(yùn)行就可以了。

下面介紹Solaris的網(wǎng)絡(luò)安全設(shè)置。

UNIX系統(tǒng)的網(wǎng)絡(luò)服務(wù)和網(wǎng)絡(luò)接口是用來(lái)與其他計(jì)算機(jī)進(jìn)行通信，訪問(wèn)網(wǎng)絡(luò)的途徑。如果對(duì)網(wǎng)絡(luò)服務(wù)與接口的配置不當(dāng)，會(huì)造成系統(tǒng)的安全性受到損害。

UNIX系統(tǒng)在安裝時(shí)會(huì)激活所有的網(wǎng)絡(luò)服務(wù)(如Telnet、FTP、rlogin等)，并處在隨時(shí)可以運(yùn)行的狀態(tài)。每一個(gè)開(kāi)放的網(wǎng)絡(luò)服務(wù)就像一扇開(kāi)著的門(mén)，為黑客提供了攻擊的可能。在進(jìn)行網(wǎng)絡(luò)安全設(shè)置的時(shí)候，有一個(gè)原則就是禁用不需要的服務(wù)。在系統(tǒng)不需要Telnet時(shí)(可以用ssh來(lái)進(jìn)行遠(yuǎn)程管理)禁止它，如果不需要其他rlogin或rsh等服務(wù)，也禁止它。

8．停止/etc中不必要的服務(wù)

系統(tǒng)在啟動(dòng)時(shí)會(huì)在／etc／rc2．d和／etc／rc3．d目錄下尋找以“S”開(kāi)頭的文件并執(zhí)行，在關(guān)閉時(shí)會(huì)查找“K”開(kāi)頭的文件關(guān)閉相應(yīng)進(jìn)程。如果需要停止某些程序在啟動(dòng)時(shí)運(yùn)行，只要把開(kāi)頭的“S”改為其他字母即可，如“s”，也要把相應(yīng)的“K”改為“k”。下面推薦關(guān)閉的一些程序和它們所對(duì)應(yīng)的啟動(dòng)文件。

(1)使電源管理無(wú)效：／etc／rc2．d／S85power。

(2)停止DMI Service．／etc／rc2．d／K77dmi：／etc／rc3．d／S77dmi；

(3)使Asynchronous PPP無(wú)效：／etc／rc2．d／S47asppp。

(4)停止BD Stream配置：／etc／rc2．d／S89bdconfig。

(5)使UUCP臨時(shí)文件清除無(wú)效：／etc／rc2．d／S70uucp。

(6)停止AutoFS／MountD：／etc／rc2．d／S74autofs。

(7)停止系統(tǒng)重配置：／etc／rc2．d／S30sysid。Net及／etc／rc2．d／S71sysid。Sys。

8)停止JumpStart／AutInstaU。／etc／rc2．d／S72autoinstall。

(9)使Cache File System無(wú)效：／etc／rc2．d／S93cacheos。Finish及／etc／rc2．d／S73cachefs。 Daemon。

(10)使Preserve Service無(wú)效：／etc／rc2．d／S80PRESERVE。

(11)使Network Time Protocol無(wú)效：／etc／rc2．d／S74xntpd。

(12)使CDE程序無(wú)效(除非要使用圖形控制臺(tái))：／etc／rc2．d／S99dtlogin。(恢復(fù)時(shí)使用命令“／usr／dt／bin／dtconfig-e”)

(13)停止名字服務(wù)緩沖守護(hù)程序服務(wù)：／etc／rc2．d／S76nscd。

(14)使打印服務(wù)無(wú)效(除非有本地打印機(jī))：／etc／rc2．d／S80lp及／etc／rc2．d／S80spc。

(15)使SNMP無(wú)效(不使用網(wǎng)管時(shí))：／etc／rc2．d／K76snmpdx及／etc／rc3．d／S76snmodx。

(16)停止NFS服務(wù)：／etc／rc2．d／S73nfs，Client：／etc／rc2．d／K60nfs，server；／etc／rc3．d／S15nfs， server。

(17)使Sendmail守護(hù)程序無(wú)效(非E-mail服務(wù)器)：／etc／rc2．d／S88sendmail。

(18)停止其他不必要的服務(wù)：在root的crontab中加入，用以處理系統(tǒng)郵件隊(duì)列：

0****／usr／lib／sendmail-q

只保留／etc／inetd．conf中需要服務(wù)，只須把不需要的服務(wù)前加“#”號(hào)注釋即可。
9．網(wǎng)絡(luò)監(jiān)聽(tīng)與snoop

網(wǎng)絡(luò)監(jiān)聽(tīng)是黑客們常用的一種方法。當(dāng)成功地登錄進(jìn)一臺(tái)網(wǎng)絡(luò)上的主機(jī)，并取得了這臺(tái)主機(jī)的超級(jí)用戶的權(quán)限之后，往往要擴(kuò)大戰(zhàn)果，嘗試登錄或者奪取網(wǎng)絡(luò)中其他主機(jī)的控制權(quán)。而網(wǎng)絡(luò)監(jiān)聽(tīng)則是一種最簡(jiǎn)單，而且最有效的方法，它常常能輕易地獲得用其他方法很難獲得的信息。

在網(wǎng)絡(luò)上，監(jiān)聽(tīng)效果最好的地方是在網(wǎng)關(guān)、路由器、防火墻一類的設(shè)備處，通常由網(wǎng)管員來(lái)操作。使用最方便的是在一個(gè)以太網(wǎng)中的任何一臺(tái)上網(wǎng)的主機(jī)上，這是大多數(shù)黑客的做法。snoop是Solaris中特有的程序，可以實(shí)現(xiàn)監(jiān)聽(tīng)的功能。它是一個(gè)很有用的診斷工具，只有root才能使用它。下面是snoop使用時(shí)的一些參數(shù)：

*snoop直接監(jiān)聽(tīng)所有的數(shù)據(jù)包；

#snoop host bjserver捕獲所有與bjserver計(jì)算機(jī)有關(guān)的數(shù)據(jù)包；

#snoop-v host bjserver port 23捕獲所有與bjserver有關(guān)的Telnet包。

r*命令存在一些安全問(wèn)題。我們常說(shuō)的r水命令包括rlogin，rsh，rcp和rdist，以r開(kāi)頭表示遠(yuǎn)程。這幾個(gè)命令都必須在遠(yuǎn)程系統(tǒng)上運(yùn)行shell。r命令是為了方便運(yùn)行和使用遠(yuǎn)程系統(tǒng)而創(chuàng)建的。通過(guò)使用rhost文件，用戶就可以在遠(yuǎn)程系統(tǒng)上登錄或者運(yùn)行命令，而不用提供口令。

r*命令的弱點(diǎn)如下：

(1)使用．rhosts文件易造成對(duì)不合適計(jì)算機(jī)的錯(cuò)誤信任，導(dǎo)致被黑客利用。

(2)在沒(méi)有．rhosts文件的情況下，用戶通過(guò)r*命令來(lái)訪問(wèn)遠(yuǎn)程系統(tǒng)時(shí)會(huì)需要輸入口令，整個(gè)過(guò)程沒(méi)有加密，在網(wǎng)絡(luò)上會(huì)被監(jiān)聽(tīng)而泄露密碼。

3)所有的r*命令的全部會(huì)話過(guò)程都是加密的，同樣面臨被監(jiān)聽(tīng)的問(wèn)題。

強(qiáng)烈建議不使用r*命令，它們的功能可以由ssh等程序替代。

10．Telnet命令的安全問(wèn)題

Telnet雖然不像r*命令采用信任模式，但是它傳遞信息采用明文方式容易造成信息泄漏。同樣建議采用ssh來(lái)替代Telnet。

11．Ndd

ndd系列命令是Solaris系統(tǒng)中獨(dú)有的，可以檢測(cè)或者設(shè)置網(wǎng)絡(luò)設(shè)備驅(qū)動(dòng)程序的特性。在這些可以更改的設(shè)置中有不少是與安全性有關(guān)的，管理員可以通過(guò)ndd設(shè)置IP和TCP，以及其他網(wǎng)絡(luò)設(shè)備的特性來(lái)提高系統(tǒng)安全性和性能。

(1)ndd：禁止IP轉(zhuǎn)發(fā)。#ndd-set／dev／ip ip_forwarding 0。

對(duì)于多宿主主機(jī)，存在可能的安全問(wèn)題是，攻擊者可能通過(guò)II)轉(zhuǎn)發(fā)的方式訪問(wèn)到私有網(wǎng)絡(luò)。在Solaisr系統(tǒng)中，也可以簡(jiǎn)單地生成一個(gè)文件／etc／notrouter，就能在下次啟動(dòng)的時(shí)候關(guān)閉IP轉(zhuǎn)發(fā)。

(2)ndd：不轉(zhuǎn)發(fā)定向廣播。#ndd -set／dev／ip ip_forward_directed_broadcasts 0。

由于在轉(zhuǎn)發(fā)狀態(tài)下默認(rèn)是允許的，為了防止被用來(lái)實(shí)施smurf攻擊，關(guān)閉這一特性。一個(gè)簡(jiǎn)單的smurf攻擊通過(guò)使用將回復(fù)地址設(shè)置成受害網(wǎng)絡(luò)的廣播地址的ICMP應(yīng)答請(qǐng)求(ping)數(shù)據(jù)包來(lái)淹沒(méi)受害主機(jī)的方式進(jìn)行，最終導(dǎo)致該網(wǎng)絡(luò)的所有主機(jī)都對(duì)此ICMP應(yīng)答請(qǐng)求做出答復(fù)，導(dǎo)致網(wǎng)絡(luò)阻塞，比ping of death洪水的流量高出一或兩個(gè)數(shù)量級(jí)。更加復(fù)雜的smurf將源地址改為第三方的受害者，最終導(dǎo)致第三方雪崩。防御方法：為了防止黑客利用用戶的網(wǎng)絡(luò)攻擊他人，關(guān)閉外部路由器或防火墻的廣播地址特性。為防止被攻擊，在防火墻上設(shè)置規(guī)則，丟棄掉ICMP包。

(3)ndd：限定多宿主機(jī)。#ndd-set／dev／ip ip_strict_dst_multihoming 1。

如果是多宿主主機(jī)，為了防止IP spoof的攻擊，關(guān)閉這一特性。

(4)ndd：忽略重定向包。#ndd -set／dev／ip ip_ignore_redirect 1。

一個(gè)攻擊者能偽造重定向錯(cuò)誤的報(bào)文從而給目標(biāo)主機(jī)裝載一個(gè)新的路由，而這個(gè)路由也許根本就是錯(cuò)誤的，這樣主機(jī)就不會(huì)和一些特定的主機(jī)或網(wǎng)絡(luò)通信，這是一種DDoS攻擊(Solairs默認(rèn)是不忽略的)。雖然重定向報(bào)文本身有一些校驗(yàn)規(guī)則，但是這些規(guī)則能很容易地被欺騙，而且目前存在大量的工具來(lái)達(dá)到這個(gè)目的。大多數(shù)只有一條默認(rèn)路由的主機(jī)系統(tǒng)是不需要理會(huì)這種報(bào)文的。

(5)ndd：不發(fā)送重定向包。#ndd -set／dev／ip ip_send_redirects 0。

只有路由器才需要重定向錯(cuò)誤，任何主機(jī)即使是多宿主主機(jī)也不需要發(fā)送這種報(bào)文。

(6)ndd．關(guān)閉時(shí)間戳響應(yīng)。#ndd -set／dev／ip ip_respond to_timestamp 0。

時(shí)間戳廣播報(bào)文在大多數(shù)環(huán)境下是不需要的。關(guān)閉這個(gè)特性以后，有些使用rdate系統(tǒng)命令的UNIX主機(jī)將不能再同步時(shí)鐘。但是Solaris 2．6和7使用更好的時(shí)鐘同步方式：NTP(網(wǎng)絡(luò)時(shí)間協(xié)議)。

(7)ndd：不響應(yīng)Echo廣播。#ndd -set／dev／ip ip_respond_to_echo_boadcast 0。

echo廣播通常用來(lái)診斷網(wǎng)絡(luò)主機(jī)的存活情況，一旦主機(jī)收到一個(gè)對(duì)廣播地址的echo請(qǐng)求，默認(rèn)情況下所有系統(tǒng)會(huì)回復(fù)這個(gè)廣播要求。當(dāng)有人惡意定制過(guò)量的echo包，系統(tǒng)中的流量將大為增加。

(8)ndd：不響應(yīng)地址掩碼廣播。#ndd -set／dev／ip ip_respond_to_address_mask_br- oadcast  0。

地址掩碼請(qǐng)求被用來(lái)確定本地掩碼，通常是網(wǎng)絡(luò)中無(wú)盤(pán)工作站在啟動(dòng)的時(shí)候發(fā)送。

(9)ndd：不轉(zhuǎn)發(fā)設(shè)置源路由包。#ndd -set／dev／ipip_forward src routed 0。

源路由包中包含了指定數(shù)據(jù)如何路由的信息。因此攻擊者可能使用源路由包繞過(guò)某些特定的路由器和防火墻設(shè)備，也可能用來(lái)避開(kāi)一個(gè)已知的IDS系統(tǒng)的監(jiān)控范圍。Solairs在打開(kāi)IP轉(zhuǎn)發(fā)以后默認(rèn)支持源路由轉(zhuǎn)發(fā)，在大多數(shù)Solairs的應(yīng)用系統(tǒng)上，是不需要這個(gè)特性的。

(10)ndd：加快ARP表過(guò)期時(shí)間。#ndd -set／dev／ip_ip_ire_flush_interval 60000；#n-ddset／dev／arp arp_cleanup_interval 60000。

加快過(guò)期時(shí)間，并不能避免攻擊，但是使得攻擊更加困難，帶來(lái)的影響是在網(wǎng)絡(luò)中會(huì)大量出現(xiàn)ARP請(qǐng)求和回復(fù)，請(qǐng)不要在繁忙的網(wǎng)絡(luò)上使用。或者使用靜態(tài)ARP表，禁止ARP。

(11)ndd：提高未連接隊(duì)列的大小。#ndd -set／dev／tcp tcp_conn_req_max_q0 4096。

TCP-SYN flood又稱半開(kāi)式連接攻擊，提高這個(gè)隊(duì)列的大小可以減輕TCP-SYN flood的攻擊。

對(duì)于繁忙的服務(wù)器也應(yīng)該提高這個(gè)隊(duì)列。

(12)ndd：提高已連接隊(duì)列的大小。#ndd -set／dev／tcp tcp_conn_req_max_q 1024。

提高隊(duì)列的大小和減短連接時(shí)間可以減緩連接耗盡攻擊。連接耗盡攻擊和SYN flood攻擊不同，連接耗盡攻擊不太常見(jiàn)。因?yàn)檫@種攻擊必須使用真實(shí)IP，攻擊的目標(biāo)是已連接隊(duì)列。許多系統(tǒng)有一個(gè)同時(shí)連接的上限，取決于核心參數(shù)和系統(tǒng)內(nèi)存情況。

我們可以通過(guò)優(yōu)化系統(tǒng)核心和增加內(nèi)存來(lái)緩解，但這些不是根本的方法。因?yàn)楣粽呖赡芡瑫r(shí)調(diào)動(dòng)多臺(tái)機(jī)器發(fā)起攻擊。當(dāng)然，我們可以在發(fā)現(xiàn)攻擊后，在防火墻或路由器上拒絕這些IP來(lái)源的連接。

如果不通過(guò)網(wǎng)絡(luò)設(shè)備，僅僅通過(guò)調(diào)節(jié)系統(tǒng)參數(shù)來(lái)緩解攻擊，一方面，可以調(diào)節(jié)Web

Server，如apache的timeout參數(shù)，減短連接保持時(shí)間，另一方面，我們可以將核心以連接隊(duì)列參數(shù)增大(默認(rèn)是128)。作為通常的Web服務(wù)器，這個(gè)上限值很難達(dá)到，因?yàn)閔ttp的連接是典型的短時(shí)連接。但是一個(gè)攻擊者可能快速發(fā)送大量的連接請(qǐng)求，同時(shí)保持連接，這樣正常訪問(wèn)者的連接就可能被服務(wù)器拒絕。

以上的方法能阻止大多數(shù)連接耗盡的攻擊企圖，除非攻擊者調(diào)動(dòng)更多的資源，發(fā)動(dòng)大規(guī)模的DDoS，但這樣會(huì)使攻擊者更容易暴露。