如果你拥有投资某些功能强大的网络管理系统的时间和金钱，你可以投入到仅需按下几个按钮就能恢复你的网络的设备上。如果你在制定一个典型的中型网络的预算，这里列出了你发现故障后应该采取的措施。我这里所说的网络指的是路由器、交换机、防火墙等基础设施，不包括以不同方式连接到网络的服务器和PC。路由器、交换机和同类的产品仍然容易受到“rootkits”和恶意软件/固件的攻击。但是，路由器和交换机等产品并不像基于Windows、Linux或者OS X操作系统的设备那样容易受到攻击。最普通的攻击是针对协议实施的并且导致出现黑洞，添满你的交换机FDB地址，使交换机不能学习到新的的MAC地址，或者通过耗尽你的带宽来拒绝服务。

　　另一个需要指出的是，你在实施下列任务时，由于机构的性质的不同，执行的顺序可能有很大的不同。例如，在一个企业，你担心的主要问题是尽快恢复连接。而另一个企业也许管理非常严格和可以容忍暂时的断开连接，因此这样的企业将愿意花一些时间做收集法律证据的工作。

　　1.保留日志:几乎在每一个案例中，你都要保留每一台设备中的日志。如果你要得到更多的日志作证据，你还可以采取本指南范围以外的一些步骤。

　　2.通知有关当局:根据攻击的性质，你要通知某些人。根据你的机构的情况，这个需要通知的人也许是一位审查经理或者一位IT官员。你也许还要通知警察或者联邦调查局等有关当局。你也许还应该通知服务提供商和运营商。而且，你还需要通知你的用户，特别是通过你的网络实施的攻击中暴露的那些网络的用户。你有这些人上班时和下班后的联系方式信息，对吗?

　　3.检查你的基础设施是否被攻破:如果攻击的性质不是拒绝服务攻击，而且一个服务器管理员在几台使用P2P文件共享软件的PC中发现了“rootkit”，或者你的入侵检测系统通知你这些攻击来自于你的一台路由器的时候，你就需要检查你的路由器和交换机，确保这些设备没有被攻破。简单的方法是验证软件镜像的效验核是否与厂商提供的一致。

　　4.恢复你的设置:如果你确保你是正确的，你可以卸载这些软件镜像并且把设备恢复到厂商默认的设置，然后从备份资料中恢复你的设置。你确实对你的全部设置做过备份，对吗?

　　额外说一个小窍门:虽然大多数管理员都在他们的网络上的设置管理工具中保留他们的设备设置文件，但是，网络中断会使你在最需要这些信息的时候无法访问这些信息。好的方法是在U盘或者CD盘中保存全部的设置文件，以便在需要恢复操作台时使用。但是，你一定要采取措施保证这些备份设备的物理安全。你不要让这些备份文件落入坏人手中，因为在许多配置文件中很容易找到破解的口令。

　　5.分步骤防御攻击:如果这种攻击的实质是拒绝服务攻击，那么，你有很多种方法阻止这种攻击。你有可能不能在攻击一开始就阻止，因为像微软和联邦政府这样采取严格预算的公司也一直受到拒绝服务攻击。但是，你应该准备好采取一些常用的步骤，如手工分流防火墙的通信或者在你的屏蔽路由器上使用一些临时的ACL(访问控制列表)，或者干脆关闭被攻击的内部机器的端口。替代的方法是，你可以设置一个入侵防御系统自动做这些事情。

　　同以往一样，关键是有备无患。同保险一样，它令人讨厌，但是，偶尔会得到巨大的回报。

你也许还想了解这些

• 2005年09月24日 -- Cisco路由入侵艺术
• 2005年12月11日 -- 加强路由安全 防范黑客攻击
• 2005年09月18日 -- 基于Windows的入门级IDS构建过程详述
• 2006年01月6日 -- 巧妙收集入侵Windows系统的证据
• 2005年11月4日 -- TCP端口的作用、漏洞和操作建议
• 2005年10月17日 -- 黑客俘获计算机的攻击方法和防御详解
• 2005年10月17日 -- 黑客主要的运用手段和攻击方法
• 2006年05月8日 -- 成功网络管理员必备“软件”素质
• 2006年02月20日 -- 入侵渗透思路
• 2005年10月2日 -- TCP/IP各层的安全性和提高各层安全性的方法