摘要:視頻教程在線輔導(dǎo)面授招生考試大綱指定教材報(bào)名時(shí)間9.6.3Windows2000Server的入侵檢測(cè)配置Windows2000服務(wù)器經(jīng)過精心配置以后可以防御90%以上的入侵和滲透,但是,系統(tǒng)安全往往隨著新漏洞的出現(xiàn)和服務(wù)器應(yīng)用的變化不斷變化。系統(tǒng)管理員也不能保證一臺(tái)正在提供服務(wù)的服務(wù)器長時(shí)間絕對(duì)不被入侵。入侵檢測(cè)技術(shù)是對(duì)服務(wù)器
在線輔導(dǎo) 面授招生 考試大綱 指定教材 報(bào)名時(shí)間
9.6.3 Windows2000Server的入侵檢測(cè)配置
Windows2000服務(wù)器經(jīng)過精心配置以后可以防御90%以上的入侵和滲透,但是,系統(tǒng)安全往往隨著新漏洞的出現(xiàn)和服務(wù)器應(yīng)用的變化不斷變化。系統(tǒng)管理員也不能保證一臺(tái)正在提供服務(wù)的服務(wù)器長時(shí)間絕對(duì)不被入侵。入侵檢測(cè)技術(shù)是對(duì)服務(wù)器進(jìn)行動(dòng)態(tài)安全管理的重要方法。
不使用防火墻或入侵監(jiān)測(cè)系統(tǒng)工具,利用Windows2000Server自身的功能,或者系統(tǒng)管理員自己編寫一些簡(jiǎn)單的軟件/腳本也能實(shí)現(xiàn)入侵檢測(cè)。
假定一臺(tái)Windows2000Server的服務(wù)器經(jīng)過了初步的安全配置,那么,大部分入侵者將被拒之門外,可以防御絕大多數(shù)的Scriptkid(腳本族,即只會(huì)用別人寫的程序入侵服務(wù)器的人),但是,遇到了真正的高手,還是不堪一擊的。特別是在漏洞的發(fā)現(xiàn)與補(bǔ)丁的發(fā)布之間往往有一段時(shí)間的真空,任何知道漏洞資料的人都可以乘虛而入,這時(shí),入侵檢測(cè)技術(shù)就敁得非常重要。
入侵的檢測(cè)主要還是根據(jù)應(yīng)用來進(jìn)行,提供了相應(yīng)的服務(wù)就應(yīng)該有相應(yīng)的檢測(cè)分析系統(tǒng)來進(jìn)行保護(hù),對(duì)于一般的主機(jī)來說,主要應(yīng)該注意以下幾方面。
1.基于80端口入侵的檢測(cè)
WWW服務(wù)是最常見的服務(wù)之一,而且由于這個(gè)服務(wù)面對(duì)廣大用戶,服務(wù)的流量和復(fù)雜度都很高,所以針對(duì)這個(gè)服務(wù)的漏洞和入侵技巧也最多。對(duì)于WindowsNT來說,IIS自帶的
日志功能從某種程度上可以成為入侵檢測(cè)的得力幫手。HS自帶的日志文件默認(rèn)存放在System32/LogFiles目錄下,一般按24小時(shí)滾動(dòng),在IIS管理器中可以對(duì)它進(jìn)行詳細(xì)的配置。
假設(shè)Web服務(wù)器開放了WWW服務(wù),已經(jīng)正確地配S了IIS,使用W3C擴(kuò)展的日志格式,至少記錄了時(shí)間(Time)、客戶端IP(ClientIP),方法(Method)、URI資源(URIStem)、URI查詢(URIQuery)和協(xié)議狀態(tài)(ProtocolStatus)。
下面用基于Unicode漏洞的攻擊來進(jìn)行分析。
打開IE瀏覽器,在地址欄輸入:127.0.0.1/scripts/..%cl%1c../winnt/system32/cmd.exe?/c+dir,默認(rèn)的情況下可以看到目錄列表。
下面查看IIS的日志記錄,打開Ex010318.log(Ex代表W3C擴(kuò)展格式,后面的一串?dāng)?shù)字代表日志的記錄日期),看到記錄為:
07:42:58127.0.0.1GET/scripts/..\../winnt/system32\cmd.exe/c+dir200
日志記錄表示在格林威治時(shí)間07:42:58(即北京時(shí)間23:42:58),有一個(gè)入侵者從127.0.0.1的IP在你的機(jī)器上利用Unicode漏洞(%cl%lc被解碼為實(shí)際的情況會(huì)因?yàn)閃indows語言版本的不同而有略微的差別)運(yùn)行了cmd.exe,參數(shù)是/cdir,運(yùn)行結(jié)果成功,HTTP200代表正確返回。
大多數(shù)情況下,ns的日志會(huì)忠實(shí)地記錄它接收到的任何請(qǐng)求(也有特殊的不被IIS記錄的攻擊),因此一個(gè)優(yōu)秀的系統(tǒng)管理員應(yīng)該擅長利用這項(xiàng)技術(shù)來發(fā)現(xiàn)入侵的企圖,從而保護(hù)自己的系統(tǒng)。但是,IIS的日志數(shù)據(jù)童巨大,流量大的網(wǎng)站甚至數(shù)十G,人工檢查幾乎沒有可能,
選擇就是使用日志分析軟件,用某種語言編寫一個(gè)日志分析軟件來實(shí)現(xiàn)相關(guān)功能。也可以使用WindowsNT自帶的功能來實(shí)現(xiàn)相關(guān)目標(biāo)。
例如,要知道有沒有人從80端口上試圍取得GlobaLasa文件,可以使用WindowsNT自帶工具find.exe,運(yùn)行CMD命令:
find"Global.asa"ex010318.log/i
從文本文件中找到字符串"Global.asa"
無論是基于日志分析軟件或者是Find命令,一般都要建立一張敏感字符串列表,包含已有的HS漏洞(如"+.htr")以及漏洞經(jīng)常調(diào)用的資源(如GlobaLasa或者Cmd.exe),通過過濾這張不斷更新的字符串表,一定可以盡早發(fā)現(xiàn)入侵者的行為。
返回目錄:通信工程師互聯(lián)網(wǎng)技術(shù)培訓(xùn)網(wǎng)絡(luò)安全匯總
編輯相關(guān)推薦:
互聯(lián)網(wǎng)技術(shù)考試局域網(wǎng)和城域網(wǎng)匯總
通信工程師考試培訓(xùn)互聯(lián)網(wǎng)技術(shù)重點(diǎn)匯總
通信工程師備考資料免費(fèi)領(lǐng)取
去領(lǐng)取
共收錄117.93萬道題
已有25.02萬小伙伴參與做題