有些入侵監(jiān)測(cè)程序，例如Network Associates’ Sting，允許你建立虛假賬號(hào)甚至是虛假的網(wǎng)絡(luò)來(lái)引起攻擊者的興趣。這種目標(biāo)使攻擊者把時(shí)間花費(fèi)在不存在的資源上，另外提醒網(wǎng)絡(luò)管理員網(wǎng)絡(luò)中存在可疑的活動(dòng)。

　　反擊的系統(tǒng)通常包括建立一臺(tái)服務(wù)器作為目標(biāo)。它們可以包括下列內(nèi)容：

　　·混雜模式掃描
　　·虛假的數(shù)據(jù)庫(kù)
　　·虛假的賬號(hào)文件
　　·虛假文件
　　·虛假的管理員賬號(hào)
　　·自動(dòng)將攻擊者引入虛假網(wǎng)絡(luò)中的防火墻配置
　　·報(bào)警或懲罰黑客行為的Tripwire賬號(hào)
　　·物理線路追蹤（試圖確定黑客使用的端口或電話線路）
　　·數(shù)據(jù)包追蹤（試圖了解包的起源）

　　檢測(cè)工作在混雜模式的網(wǎng)卡

　　你可以實(shí)施遠(yuǎn)程掃描來(lái)確定一塊網(wǎng)卡是否工作在混雜模式。象AntiSniff這樣的程序使用三種主要的方法來(lái)檢測(cè)網(wǎng)卡是否工作于混雜模式：

　　檢測(cè)網(wǎng)卡電子方面的變化來(lái)確定網(wǎng)卡的工作模式。發(fā)送各種包（ARP請(qǐng)求，ICMP包，DNS請(qǐng)求，TCP SYN floods，等等）。如果從某臺(tái)主機(jī)返回的包等待了一段不正常的時(shí)間，而且沒有被主機(jī)處理過(guò)的跡象，則程序便推斷出該主機(jī)的網(wǎng)卡可能出于混雜模式。將錯(cuò)誤的ICMP請(qǐng)求包含在無(wú)效的以太網(wǎng)地址頭中。所有沒有工作在混雜模式的系統(tǒng)將忽略這些請(qǐng)求，而那些回復(fù)錯(cuò)誤的ICMP請(qǐng)求的主機(jī)將有可能出于混雜模式。

　　像AntiSniff這樣的程序通過(guò)推論來(lái)判斷網(wǎng)卡是否工作在混雜模式。由于這些程序只是根據(jù)有限的數(shù)據(jù)來(lái)下結(jié)論，所以容易出現(xiàn)誤報(bào)。通常明智的做法是定時(shí)進(jìn)行混雜模式檢測(cè)的掃描。例如，L0pht包含其自身的調(diào)度。使用WindwosNT Scheduler或UNIX的cron程序，你可以自動(dòng)實(shí)施所有掃描。L0pht還提供的UNIX版本的AntiSniff。然而你需要編譯它，并且只能運(yùn)行在FreeBSD和Solaris操作系統(tǒng)下。

　　在Linux下阻止你的系統(tǒng)響應(yīng)任何從外部/內(nèi)部來(lái)的ping請(qǐng)求

　　既然沒有人能ping通你的機(jī)器并收到響應(yīng)，你可以大大增強(qiáng)你的站點(diǎn)的安全性。你可以加下面的一行命令到/etc/rc.d/rc.local，以使每次啟動(dòng)后自動(dòng)運(yùn)行。

　　echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

　　不要顯示出操作系統(tǒng)和版本信息

　　如果你希望某個(gè)人遠(yuǎn)程登錄到你的服務(wù)器時(shí)不要顯示操作系統(tǒng)和版本信息，你能改變

　　/etc/inetd.conf中的一行象下面這樣：

　　telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -h

　　加-h標(biāo)志在最后使得telnet后臺(tái)不要顯示系統(tǒng)信息，而僅僅顯示login:

　　在Linux下對(duì)于linux single的保護(hù)

　　The /etc/lilo.conf file

　　a) Add: restricted

　　加這一行到每一個(gè)引導(dǎo)映像下面，就這表明如果你引導(dǎo)時(shí)用(linux single),則需要一個(gè)password.

　　b) Add: password=some_password

　　當(dāng)與restricted聯(lián)合用，且正常引導(dǎo)時(shí)，需要用戶輸入密碼，你也要確保lilo.conf文件不能被不屬于root的用戶可讀，也免看到密碼明文。下面是例子：

　　編輯/etc/lilo.conf加：

　　boot=/dev/sda
　　map=/boot/map
　　install=/boot/boot.b
　　prompt
　　timeout=50
　　Default=linux
　　restricted ?add this line.
　　password=some_password ?add this line.
　　image=/boot/vmlinuz-2.2.12-20
　　label=linux
　　initrd=/boot/initrd-2.2.12-10.img
　　root=/dev/sda6
　　read-only
　　[root@deep]# chmod 600 /etc/lilo.conf (不再能被其他用戶可讀).
　　[root@deep]# /sbin/lilo -v (更新lilo配置).
　　[root@deep]# chattr +i /etc/lilo.conf（阻止該文件被修改）

　　禁止 Control-Alt-Delete 重啟動(dòng)機(jī)器命令

　　[root@deep]# vi /etc/inittab
　　ca::ctrlaltdel:/sbin/shutdown -t3 -r now
　　To
　　#ca::ctrlaltdel:/sbin/shutdown -t3 -r now
　　[root@deep]# /sbin/init q