1.3.6  反击措施

　　（1）级别1攻击的处理方法主要是：过滤进入地址并与攻击者的ISP联系。对防范拒绝服务攻击的方法感兴趣的读者请查看徐一丁先生的文章"分布式拒绝服务攻击（DDoS）原理及防范"，http://www-900.ibm.com/developerWorks/cn/security/se-ddos/index.shtml，此处不再赘述。

　　（2）级别2攻击可以在内部处理。根据Gartner调查表明，目前，70%的攻击仍然来自组织内部。基本做法就是冻结或清除攻击者的账号。级别2攻击者一般常伴随使用内部嗅探器，防范方法可以参考"防范网络嗅探"，http://www-900.ibm.com/developerWorks/cn/security/se-profromsniff/index.shtml。

　　（3）对级别3、级别4和级别5、级别6攻击的反应，如果经历过高于级别2的攻击，问题就严重了。

　　- 首先备份重要的企业关键数据。

　　- 隔离该网络网段，使攻击行为仅出现在一个小范围内。

　　- 允许行为继续进行。如有可能，不要急于把攻击者赶出系统，为下一步做准备。

　　- 记录所有行为，收集证据。

　　收集的证据包括系统登录文件、应用登录文件、AAA（Authentication, Authorization, Accounting，即认证、授权、计费）登录文件、RADIUS（Remote Authentication Dial-In User Service）登录、网络单元登录（Network Element Logs）、防火墙登录、HIDS（Host-base IDS，基于主机的入侵检测系统）事件、NIDS（网络入侵检测系统）事件、磁盘驱动器、隐含文件等。

　　收集证据时要注意，在移动或拆卸任何设备之前都要拍照；在调查中要遵循两人法则，即在信息收集中要至少有两个人，以防止篡改信息；应记录所采取的所有步骤，以及对配置设置的任何改变，要把这些记录保存在安全的地方。

　　（4）进行各种尝试（使用网络的不同部分）以识别出攻击源。

　　（5）为了使用法律武器打击犯罪行为，必须保留证据。而形成证据需要时间，为了做到这一点，必须忍受攻击的冲击（虽然可以制定一些安全措施来确保攻击不损害网络）。对此情形，我们不但要采取一些法律手段，而且还要至少请一家权威的安全公司协助阻止这种犯罪。这类操作的最重要特点就是取得犯罪的证据，并查找犯罪者的地址，提供所拥有的日志。对于所搜集到的证据，应进行有效地保存。在开始时制作两份，一个用于评估证据，另一个用于法律验证。