中級(jí)通信互聯(lián)網(wǎng)技術(shù)知識(shí)點(diǎn)精講之Windows2000Server入侵檢測(cè)

       下面是由希賽小編整理的中級(jí)通信互聯(lián)網(wǎng)技術(shù)知識(shí)點(diǎn)精講之Windows2000Server入侵檢測(cè)，希望能幫助學(xué)友們。具體內(nèi)容如下：

       Windows2000Server入侵檢測(cè)

       Windows2000服務(wù)器經(jīng)過精心配置以后可以防御90%以上的入侵和滲透，但是，系統(tǒng)安全往往隨著新漏洞的出現(xiàn)和服務(wù)器應(yīng)用的變化不斷變化。系統(tǒng)管理員也不能保證一臺(tái)正在提供服務(wù)的服務(wù)器長(zhǎng)時(shí)間絕對(duì)不被入侵。入侵檢測(cè)技術(shù)是對(duì)服務(wù)器進(jìn)行動(dòng)態(tài)安全管理的重要方法。

       不使用防火墻或入侵監(jiān)測(cè)系統(tǒng)工具，利用Windows2000Server自身的功能，或者系統(tǒng)管理員自己編寫一些簡(jiǎn)單的軟件/腳本也能實(shí)現(xiàn)入侵檢測(cè)。

       假定一臺(tái)Windows2000Server的服務(wù)器經(jīng)過了初步的安全配置，那么，大部分入侵者將被拒之門外，可以防御絕大多數(shù)的Scriptkid(腳本族，即只會(huì)用別人寫的程序入侵服務(wù)器的人)，但是，遇到了真正的高手，還是不堪一擊的。特別是在漏洞的發(fā)現(xiàn)與補(bǔ)丁的發(fā)布之間往往有一段時(shí)間的真空，任何知道漏洞資料的人都可以乘虛而入，這時(shí)，入侵檢測(cè)技術(shù)就敁得非常重要。

       入侵的檢測(cè)主要還是根據(jù)應(yīng)用來(lái)進(jìn)行，提供了相應(yīng)的服務(wù)就應(yīng)該有相應(yīng)的檢測(cè)分析系統(tǒng)來(lái)進(jìn)行保護(hù)，對(duì)于一般的主機(jī)來(lái)說，主要應(yīng)該注意以下幾方面。

       1.基于80端口入侵的檢測(cè)

       WWW服務(wù)是最常見的服務(wù)之一，而且由于這個(gè)服務(wù)面對(duì)廣大用戶，服務(wù)的流量和復(fù)雜度都很高，所以針對(duì)這個(gè)服務(wù)的漏洞和入侵技巧也最多。對(duì)于WindowsNT來(lái)說，IIS自帶的

       日志功能從某種程度上可以成為入侵檢測(cè)的得力幫手。HS自帶的日志文件默認(rèn)存放在System32/LogFiles目錄下，一般按24小時(shí)滾動(dòng)，在IIS管理器中可以對(duì)它進(jìn)行詳細(xì)的配置。

       假設(shè)Web服務(wù)器開放了WWW服務(wù)，已經(jīng)正確地配S了IIS,使用W3C擴(kuò)展的日志格式，至少記錄了時(shí)間（Time)、客戶端IP(ClientIP),方法（Method)、URI資源（URIStem)、URI查詢（URIQuery)和協(xié)議狀態(tài)（ProtocolStatus)。

       下面用基于Unicode漏洞的攻擊來(lái)進(jìn)行分析。

       打開IE瀏覽器，在地址欄輸入：127.0.0.1/scripts/..%cl%1c../winnt/system32/cmd.exe?/c+dir,默認(rèn)的情況下可以看到目錄列表。

       下面查看IIS的日志記錄，打開Ex010318.log(Ex代表W3C擴(kuò)展格式，后面的一串?dāng)?shù)字代表日志的記錄日期），看到記錄為：

       07:42:58127.0.0.1GET/scripts/..\../winnt/system32\cmd.exe/c+dir200

       日志記錄表示在格林威治時(shí)間07:42:58(即北京時(shí)間23:42:58),有一個(gè)入侵者從127.0.0.1的IP在你的機(jī)器上利用Unicode漏洞（％cl%lc被解碼為實(shí)際的情況會(huì)因?yàn)閃indows語(yǔ)言版本的不同而有略微的差別）運(yùn)行了cmd.exe,參數(shù)是/cdir,運(yùn)行結(jié)果成功，HTTP200代表正確返回。

       大多數(shù)情況下，ns的日志會(huì)忠實(shí)地記錄它接收到的任何請(qǐng)求（也有特殊的不被IIS記錄的攻擊)，因此一個(gè)優(yōu)秀的系統(tǒng)管理員應(yīng)該擅長(zhǎng)利用這項(xiàng)技術(shù)來(lái)發(fā)現(xiàn)入侵的企圖，從而保護(hù)自己的系統(tǒng)。但是，IIS的日志數(shù)據(jù)童巨大，流量大的網(wǎng)站甚至數(shù)十G,人工檢查幾乎沒有可能，

       選擇就是使用日志分析軟件，用某種語(yǔ)言編寫一個(gè)日志分析軟件來(lái)實(shí)現(xiàn)相關(guān)功能。也可以使用WindowsNT自帶的功能來(lái)實(shí)現(xiàn)相關(guān)目標(biāo)。

       例如，要知道有沒有人從80端口上試圍取得GlobaLasa文件，可以使用WindowsNT自帶工具find.exe,運(yùn)行CMD命令：

       find"Global.asa"ex010318.log/i

       從文本文件中找到字符串"Global.asa"

       無(wú)論是基于日志分析軟件或者是Find命令，一般都要建立一張敏感字符串列表，包含已有的HS漏洞（如"+.htr")以及漏洞經(jīng)常調(diào)用的資源（如GlobaLasa或者Cmd.exe),通過過濾這張不斷更新的字符串表，一定可以盡早發(fā)現(xiàn)入侵者的行為。

       返回目錄：中級(jí)通信互聯(lián)網(wǎng)技術(shù)知識(shí)點(diǎn)精講之網(wǎng)絡(luò)安全技術(shù)匯總

       相關(guān)推薦：

       中級(jí)通信工程師互聯(lián)網(wǎng)技術(shù)考試教材推薦

       中級(jí)通信工程師互聯(lián)網(wǎng)技術(shù)考試培訓(xùn)視頻推薦

       中級(jí)通信工程師互聯(lián)網(wǎng)技術(shù)考試大綱