中級通信互聯(lián)網(wǎng)技術(shù)知識點(diǎn)精講之Windows2000Server入侵檢測

       下面是由希賽小編整理的中級通信互聯(lián)網(wǎng)技術(shù)知識點(diǎn)精講之Windows2000Server入侵檢測，希望能幫助學(xué)友們。具體內(nèi)容如下：

       Windows2000Server入侵檢測

       Windows2000服務(wù)器經(jīng)過精心配置以后可以防御90%以上的入侵和滲透，但是，系統(tǒng)安全往往隨著新漏洞的出現(xiàn)和服務(wù)器應(yīng)用的變化不斷變化。系統(tǒng)管理員也不能保證一臺正在提供服務(wù)的服務(wù)器長時間絕對不被入侵。入侵檢測技術(shù)是對服務(wù)器進(jìn)行動態(tài)安全管理的重要方法。

       不使用防火墻或入侵監(jiān)測系統(tǒng)工具，利用Windows2000Server自身的功能，或者系統(tǒng)管理員自己編寫一些簡單的軟件/腳本也能實(shí)現(xiàn)入侵檢測。

       假定一臺Windows2000Server的服務(wù)器經(jīng)過了初步的安全配置，那么，大部分入侵者將被拒之門外，可以防御絕大多數(shù)的Scriptkid(腳本族，即只會用別人寫的程序入侵服務(wù)器的人)，但是，遇到了真正的高手，還是不堪一擊的。特別是在漏洞的發(fā)現(xiàn)與補(bǔ)丁的發(fā)布之間往往有一段時間的真空，任何知道漏洞資料的人都可以乘虛而入，這時，入侵檢測技術(shù)就敁得非常重要。

       入侵的檢測主要還是根據(jù)應(yīng)用來進(jìn)行，提供了相應(yīng)的服務(wù)就應(yīng)該有相應(yīng)的檢測分析系統(tǒng)來進(jìn)行保護(hù)，對于一般的主機(jī)來說，主要應(yīng)該注意以下幾方面。

       1.基于80端口入侵的檢測

       WWW服務(wù)是最常見的服務(wù)之一，而且由于這個服務(wù)面對廣大用戶，服務(wù)的流量和復(fù)雜度都很高，所以針對這個服務(wù)的漏洞和入侵技巧也最多。對于WindowsNT來說，IIS自帶的

       日志功能從某種程度上可以成為入侵檢測的得力幫手。HS自帶的日志文件默認(rèn)存放在System32/LogFiles目錄下，一般按24小時滾動，在IIS管理器中可以對它進(jìn)行詳細(xì)的配置。

       假設(shè)Web服務(wù)器開放了WWW服務(wù)，已經(jīng)正確地配S了IIS,使用W3C擴(kuò)展的日志格式，至少記錄了時間（Time)、客戶端IP(ClientIP),方法（Method)、URI資源（URIStem)、URI查詢（URIQuery)和協(xié)議狀態(tài)（ProtocolStatus)。

       下面用基于Unicode漏洞的攻擊來進(jìn)行分析。

       打開IE瀏覽器，在地址欄輸入：127.0.0.1/scripts/..%cl%1c../winnt/system32/cmd.exe?/c+dir,默認(rèn)的情況下可以看到目錄列表。

       下面查看IIS的日志記錄，打開Ex010318.log(Ex代表W3C擴(kuò)展格式，后面的一串?dāng)?shù)字代表日志的記錄日期），看到記錄為：

       07:42:58127.0.0.1GET/scripts/..\../winnt/system32\cmd.exe/c+dir200

       日志記錄表示在格林威治時間07:42:58(即北京時間23:42:58),有一個入侵者從127.0.0.1的IP在你的機(jī)器上利用Unicode漏洞（％cl%lc被解碼為實(shí)際的情況會因?yàn)閃indows語言版本的不同而有略微的差別）運(yùn)行了cmd.exe,參數(shù)是/cdir,運(yùn)行結(jié)果成功，HTTP200代表正確返回。

       大多數(shù)情況下，ns的日志會忠實(shí)地記錄它接收到的任何請求（也有特殊的不被IIS記錄的攻擊)，因此一個優(yōu)秀的系統(tǒng)管理員應(yīng)該擅長利用這項(xiàng)技術(shù)來發(fā)現(xiàn)入侵的企圖，從而保護(hù)自己的系統(tǒng)。但是，IIS的日志數(shù)據(jù)童巨大，流量大的網(wǎng)站甚至數(shù)十G,人工檢查幾乎沒有可能，

       選擇就是使用日志分析軟件，用某種語言編寫一個日志分析軟件來實(shí)現(xiàn)相關(guān)功能。也可以使用WindowsNT自帶的功能來實(shí)現(xiàn)相關(guān)目標(biāo)。

       例如，要知道有沒有人從80端口上試圍取得GlobaLasa文件，可以使用WindowsNT自帶工具find.exe,運(yùn)行CMD命令：

       find"Global.asa"ex010318.log/i

       從文本文件中找到字符串"Global.asa"

       無論是基于日志分析軟件或者是Find命令，一般都要建立一張敏感字符串列表，包含已有的HS漏洞（如"+.htr")以及漏洞經(jīng)常調(diào)用的資源（如GlobaLasa或者Cmd.exe),通過過濾這張不斷更新的字符串表，一定可以盡早發(fā)現(xiàn)入侵者的行為。

       返回目錄：中級通信互聯(lián)網(wǎng)技術(shù)知識點(diǎn)精講之網(wǎng)絡(luò)安全技術(shù)匯總

       相關(guān)推薦：

       中級通信工程師互聯(lián)網(wǎng)技術(shù)考試教材推薦

       中級通信工程師互聯(lián)網(wǎng)技術(shù)考試培訓(xùn)視頻推薦

       中級通信工程師互聯(lián)網(wǎng)技術(shù)考試大綱