4、部署入侵监测和防入侵系统
还有一个办法是调整你的IDS(入侵检测系统)和IPS(入侵防御系统)来查找有僵尸嫌疑的行为。举个例子来说,任何计算机如果其互联网中继通讯突然爆发,那么它是非常可疑的。不断重复建立与外部IP地址或非法的外部DNS之间的连接。另外还有一个不易被发现的可疑现象是,一个计算机的特定端口的SSL通信连接突然上升,这可能说明一个僵尸网络控制通道已经被激活。找出那些电子邮件路由到你自己的邮件服务器之外的计算机。僵尸网络侦探Gadi Evron还建议,你应该学会监视那些可疑的网络爬虫(Web crawlers)行为。
一个IPS系统可以监控异常的行为,发现非常隐蔽的基于HTTP的攻击,以及来自远程调用过程、Telnet和地址解析协议欺骗的攻击。但是,值得牢记的是,许多IPS嗅探器使用基于特征码的检测方法,这意味着当攻击被发现的时候才能被加入到数据库中。IPS必须定期进行更新来识别新的攻击,这需要管理员不断的完善自己的特征码库。
