日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁(yè) > 云知道 > >

Windows2003服務(wù)器入侵前兆檢測(cè)技巧

云知道

入侵檢測(cè)系統(tǒng)(IDS)是防火墻的合理補(bǔ)充 , 它幫助安全系統(tǒng)發(fā)現(xiàn)可能的入侵前兆 , 并對(duì)付網(wǎng)絡(luò)攻擊 。入侵檢測(cè)系統(tǒng)能在不影響網(wǎng)絡(luò)性能的情況下對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè) , 提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù) , 能夠擴(kuò)展系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)) , 提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性 。但是 , 入侵檢測(cè)系統(tǒng)并不是萬(wàn)能的 , 高昂的價(jià)格也讓人退卻 , 而且 , 單個(gè)服務(wù)器或者小型網(wǎng)絡(luò)配置入侵檢測(cè)系統(tǒng)或者防火墻等投入也太大了 。

一、對(duì)于WWW服務(wù)入侵的前兆檢測(cè)

對(duì)于網(wǎng)絡(luò)上開(kāi)放的服務(wù)器來(lái)說(shuō) , WWW服務(wù)是最常見(jiàn)的服務(wù)之一 ?;?0端口的入侵也因此是最普遍的 。很多sceipt;kids就對(duì)修改WEB頁(yè)面非常熱衷 。WWW服務(wù)面對(duì)的用戶多 , 流量相對(duì)來(lái)說(shuō)都很高 , 同時(shí)WWW服務(wù)的漏洞和相應(yīng)的入侵方法和技巧也非常多 , 并且也相對(duì)容易 , 很多“安全”使用的漏洞掃描器就能夠掃描80端口的各種漏洞 , 比如wwwscan;、X-scanner等 , 甚至也有只針對(duì)80端口的漏洞掃描器 。Windows系統(tǒng)上提供WWW服務(wù)的IIS也一直漏洞不斷 , 成為系統(tǒng)管理員頭疼的一部分 。

雖然80端口入侵和掃描很多 , 但是80端口的日志記錄也非常容易 。IIS提供記錄功能很強(qiáng)大的日志記錄功能 。在“Internet;服務(wù)管理器”中站點(diǎn)屬性可以啟用日志記錄 。默認(rèn)情況下日志都存放在%WinDir%System32LogFiles , 按照每天保存在exyymmdd.log文件中 。這些都可以進(jìn)行相應(yīng)配置 , 包括日志記錄的內(nèi)容 。

在配置IIS的時(shí)候應(yīng)該讓IIS日志盡量記錄得盡量詳細(xì) , 可以幫助進(jìn)行入侵判斷和分析 。現(xiàn)在我們要利用這些日志來(lái)發(fā)現(xiàn)入侵前兆 , 或者來(lái)發(fā)現(xiàn)服務(wù)器是否被掃描 。打開(kāi)日志文件 , 我們能夠得到類(lèi)似這樣的掃描記錄(以Unicode漏洞舉例):

2002-03-10;05:42:27;192.168.1.2;-;192.168.1.1;80;HEAD;/script/..蠟../..蠟../..;

蠟../winnt/system32/cmd.exe;/c dir;404;-;

2002-03-10;05:42:28;192.168.1.2;-;192.168.1.1;80;

GET;/script/..?../..?../..?../winnt/system32/cmd.exe;/c dir;404;-

需要注意類(lèi)似這樣的內(nèi)容:

/script/..?../..?../..?../winnt/system32/cmd.exe;/c dir;404

如果是正常用戶 , 那么他是不會(huì)發(fā)出這樣的請(qǐng)求的 , 這些是利用IIS的Unicode漏洞掃描的結(jié)果 。后面的404表示并沒(méi)有這樣的漏洞 。如果出現(xiàn)的是200 , 那么說(shuō)明存在Unicode漏洞 , 也說(shuō)明它已經(jīng)被別人掃描到了或者已經(jīng)被人利用了 。不管是404或者200 , 這些內(nèi)容出現(xiàn)在日志中 , 都表示有人在掃描(或者利用)服務(wù)器的漏洞 , 這就是入侵前兆 。日志也記錄下掃描者的來(lái)源:192.168.1.2這個(gè)IP地址 。

再比如這個(gè)日志:

2002-03-10;06:17:50;192.168.1.2;-;192.168.1.1;80;HEAD;/;-;400;-

這是一個(gè)使用HEAD請(qǐng)求來(lái)掃描WWW服務(wù)器軟件類(lèi)型的記錄 , 攻擊者能夠通過(guò)了解WWW使用的軟件來(lái)選擇掃描工具掃描的范圍 。

IIS通常都能夠記錄下所有的請(qǐng)求 , 這里面包含很多正常用戶的請(qǐng)求記錄 , 這也讓IIS的日志文件變得非常龐大 , 上十兆或者更大 , 人工瀏覽分析就變得不可取 。這時(shí)可以使用一些日志分析軟件 , 幫助日志分析 ?;蛘呤褂孟旅孢@個(gè)簡(jiǎn)單的命令來(lái)檢查是否有Unicode漏洞的掃描事件存在:

find;/I;"winnt/system32/cmd.exe";C:logex020310.log

“find”這個(gè)命令就是在文件中搜索字符串的 。我們可以根據(jù)掃描工具或者漏洞情況建立一個(gè)敏感字符串列表 , 比如“HEAD”、“cmd.exe”(Unicode漏洞)、“.ida”“.idq”(IDA/IDQ遠(yuǎn)程溢出漏洞)、“.printer”(Printer遠(yuǎn)程溢出漏洞)等等 。

二、對(duì)于FTP等服務(wù)入侵的前兆檢測(cè)

根據(jù)前面對(duì)于WWW服務(wù)入侵前兆的檢測(cè) , 我們可以照樣來(lái)檢測(cè)FTP或者其他服務(wù)(POP、SMTP等) 。以FTP服務(wù)來(lái)舉例 , 對(duì)于FTP服務(wù) , 通常最初的掃描或者入侵必然是進(jìn)行帳號(hào)的猜解 。對(duì)于IIS提供的FTP服務(wù) , 也跟WWW服務(wù)一樣提供了詳盡的日志記錄(如果使用其他的FTP服務(wù)軟件 , 它們也應(yīng)該有相應(yīng)的日志記錄) 。

推薦閱讀