SOHO族安全之保证上传服务器安全(5)

　　未来发展趋势

　　其实，无论是黑洞也好，还是CaptIO G-2、TrafficMaster也罢，都不是防范DoS的终极。中联绿盟公司研发部总监李群先生分析，这种专防DoS的产品和技术只是刚刚开始，尽管用户市场还在不断扩大，但技术应用的可靠性、可用性等方面尚待进一步提高。未来的发展方向主要如下。

　　1．加强可靠性。鉴于这类产品所处的位置，如果出现因故障而宕机的现象，会影响整个网络的运行，因此，在未来它应该具有双机热备能力，这对高可用环境尤为重要。

　　2．进一步提高处理速率。当前的特征模块是基于软件的，为提高处理速度，利用了一些硬件特性，例如借助芯片本身的功能。将来可能会把这些功能全部移植到芯片上，彻底提升效率。

　　3．与多种安全产品联动或集成。通过与各种防病毒、防火墙和IDS等安全技术的联动，在最大范围或程度上防范DoS攻击。

　　认识DoS

　　DoS（Denial of Service，拒绝服务），是一种利用合理的服务请求占用过多的服务资源，从而使合法用户无法得到服务响应的网络攻击行为。由于典型的DoS攻击就是资源耗尽和资源过载，因此当一个对资源的合理请求大大超过资源的支付能力时，合法的访问者将无法享用合理的服务。目前，比较常见的DoS攻击主要有SYN Flood、Smurf、Trinoo、Tfn、Land-Based、Ping of Death、TearDrop、PingSweep和PingFlood等。

　　我们可以采取以下一些步骤来消除口令漏洞，预防弱口令攻击。

　　第一步:删除所有没有口令的帐号或为没有口令的用户加上一个口令。特别是系统内置或是缺省账号。

　　第二步:制定管理制度，规范增加帐号的操作，及时移走不再使用的帐号。经常检查确认有没有增加新的帐号，不使用的帐号是否已被删除。当雇员或承包人离开公司时，或当帐号不再需要时，应有严格的制度保证删除这些帐号。

　　第三步:加强所有的弱口令，并且设置为不易猜测的口令，为了保证口令的强壮性，我们可以利用Unix系统保证口令强壮性的功能或是采用一些专门的程序来拒绝任何不符合你安全策略的口令。这样就保证了修改的口令长度和组成使得破解非常困难。如采用一首诗的部分诗句中第一或第二个字母，加上一些数字来组成口令，还可以在口令中加入一些特殊符号将使口令更难破解。

　　第四步:使用口令控制程序，以保证口令经常更改，而且旧口令不可重用。

　　第五步:对所有的帐号运行口令破解工具，以寻找弱口令或没有口令的帐号。(在你这么做之前，先确定你有权利这么做，你是管理员)

　　另一个避免没有口令或弱口令的方法是采用认证手段，例如采用RSA认证令牌。每分钟变一次，相信没有人可以在没有令牌的情况下进入你的FTP服务器。