中级通信互联网技术知识点精讲之Windows2000Server入侵检测

       下面是由希赛小编整理的中级通信互联网技术知识点精讲之Windows2000Server入侵检测，希望能帮助学友们。具体内容如下：

       Windows2000Server入侵检测

       Windows2000服务器经过精心配置以后可以防御90%以上的入侵和渗透，但是，系统安全往往随着新漏洞的出现和服务器应用的变化不断变化。系统管理员也不能保证一台正在提供服务的服务器长时间绝对不被入侵。入侵检测技术是对服务器进行动态安全管理的重要方法。

       不使用防火墙或入侵监测系统工具，利用Windows2000Server自身的功能，或者系统管理员自己编写一些简单的软件/脚本也能实现入侵检测。

       假定一台Windows2000Server的服务器经过了初步的安全配置，那么，大部分入侵者将被拒之门外，可以防御绝大多数的Scriptkid(脚本族，即只会用别人写的程序入侵服务器的人)，但是，遇到了真正的高手，还是不堪一击的。特别是在漏洞的发现与补丁的发布之间往往有一段时间的真空，任何知道漏洞资料的人都可以乘虚而入，这时，入侵检测技术就敁得非常重要。

       入侵的检测主要还是根据应用来进行，提供了相应的服务就应该有相应的检测分析系统来进行保护，对于一般的主机来说，主要应该注意以下几方面。

       1.基于80端口入侵的检测

       WWW服务是最常见的服务之一，而且由于这个服务面对广大用户，服务的流量和复杂度都很高，所以针对这个服务的漏洞和入侵技巧也最多。对于WindowsNT来说，IIS自带的

       日志功能从某种程度上可以成为入侵检测的得力帮手。HS自带的日志文件默认存放在System32/LogFiles目录下，一般按24小时滚动，在IIS管理器中可以对它进行详细的配置。

       假设Web服务器开放了WWW服务，已经正确地配S了IIS,使用W3C扩展的日志格式，至少记录了时间（Time)、客户端IP(ClientIP),方法（Method)、URI资源（URIStem)、URI查询（URIQuery)和协议状态（ProtocolStatus)。

       下面用基于Unicode漏洞的攻击来进行分析。

       打开IE浏览器，在地址栏输入：127.0.0.1/scripts/..%cl%1c../winnt/system32/cmd.exe?/c+dir,默认的情况下可以看到目录列表。

       下面查看IIS的日志记录，打开Ex010318.log(Ex代表W3C扩展格式，后面的一串数字代表日志的记录日期），看到记录为：

       07:42:58127.0.0.1GET/scripts/..\../winnt/system32\cmd.exe/c+dir200

       日志记录表示在格林威治时间07:42:58(即北京时间23:42:58),有一个入侵者从127.0.0.1的IP在你的机器上利用Unicode漏洞（％cl%lc被解码为实际的情况会因为Windows语言版本的不同而有略微的差别）运行了cmd.exe,参数是/cdir,运行结果成功，HTTP200代表正确返回。

       大多数情况下，ns的日志会忠实地记录它接收到的任何请求（也有特殊的不被IIS记录的攻击)，因此一个优秀的系统管理员应该擅长利用这项技术来发现入侵的企图，从而保护自己的系统。但是，IIS的日志数据童巨大，流量大的网站甚至数十G,人工检查几乎没有可能，

       选择就是使用日志分析软件，用某种语言编写一个日志分析软件来实现相关功能。也可以使用WindowsNT自带的功能来实现相关目标。

       例如，要知道有没有人从80端口上试围取得GlobaLasa文件，可以使用WindowsNT自带工具find.exe,运行CMD命令：

       find"Global.asa"ex010318.log/i

       从文本文件中找到字符串"Global.asa"

       无论是基于日志分析软件或者是Find命令，一般都要建立一张敏感字符串列表，包含已有的HS漏洞（如"+.htr")以及漏洞经常调用的资源（如GlobaLasa或者Cmd.exe),通过过滤这张不断更新的字符串表，一定可以尽早发现入侵者的行为。

       返回目录：中级通信互联网技术知识点精讲之网络安全技术汇总

       相关推荐：

       中级通信工程师互联网技术考试教材推荐

       中级通信工程师互联网技术考试培训视频推荐

       中级通信工程师互联网技术考试大纲