�牐�1．確保所有服務(wù)器采用最新系統(tǒng)，并打上安全補丁。計算機緊急響應(yīng)協(xié)調(diào)中心發(fā)現(xiàn)，幾乎每個受到DDoS攻擊的系統(tǒng)都沒有及時打上補丁。

�牐�2．確保管理員對所有主機進行檢查，而不僅針對關(guān)鍵主機。這是為了確保管理員知道每個主機系統(tǒng)在 運行什么？誰在使用主機？哪些人可以訪問主機？不然，即使黑客侵犯了系統(tǒng)，也很難查明。

�牐�3．確保從服務(wù)器相應(yīng)的目錄或文件數(shù)據(jù)庫中刪除未使用的服務(wù)如FTP或NFS。Wu-Ftpd等守護程序存在一些已知的漏洞，黑客通過根攻擊就能獲得訪問特權(quán)系統(tǒng)的權(quán)限，并能訪問其他系統(tǒng)——甚至是受防火墻保護的系統(tǒng)。

�牐�4．確保運行在Unix上的所有服務(wù)都有TCP封裝程序，限制對主機的訪問權(quán)限。

�牐�5．禁止內(nèi)部網(wǎng)通過Modem連接至PSTN系統(tǒng)。否則，黑客能通過電話線發(fā)現(xiàn)未受保護的主機，即刻就能訪問極為機密的數(shù)據(jù)。

�牐�6．禁止使用網(wǎng)絡(luò)訪問程序如Telnet、Ftp、Rsh、Rlogin和Rcp，以基于PKI的訪問程序如SSH取代。SSH不會在網(wǎng)上以明文格式傳送口令，而Telnet和Rlogin則正好相反，黑客能搜尋到這些口令，從而立即訪問網(wǎng)絡(luò)上的重要服務(wù)器。此外，在Unix上應(yīng)該將.rhost和hosts.equiv文件刪除，因為不用猜口令，這些文件就會提供登錄訪問！

�牐�7．限制在防火墻外與網(wǎng)絡(luò)文件共享。這會使黑客有機會截獲系統(tǒng)文件，并以特洛伊木馬替換它，文件傳輸功能無異將陷入癱瘓。

�牐�8．確保手頭有一張最新的網(wǎng)絡(luò)拓撲圖。這張圖應(yīng)該詳細標明TCP/IP地址、主機、路由器及其他網(wǎng)絡(luò)設(shè)備，還應(yīng)該包括網(wǎng)絡(luò)邊界、非軍事區(qū)（DMZ）及網(wǎng)絡(luò)的內(nèi)部保密部分。

�牐�9．在防火墻上運行端口映射程序或端口掃描程序。大多數(shù)事件是由于防火墻配置不當(dāng)造成的，使DoS/DDoS攻擊成功率很高，所以定要認真檢查特權(quán)端口和非特權(quán)端口。

�牐�10．檢查所有網(wǎng)絡(luò)設(shè)備和主機/服務(wù)器系統(tǒng)的日志。只要日志出現(xiàn)漏洞或時間出現(xiàn)變更，幾乎可以肯定：相關(guān)的主機安全受到了危脅。

�牐�11．利用DDoS設(shè)備提供商的設(shè)備。

�牐犨z憾的是，目前沒有哪個網(wǎng)絡(luò)可以免受DDoS攻擊，但如果采取上述幾項措施，能起到一定的預(yù)防作用。