入侵偵測系統(IDS)是防火牆的合理補充,它協助安全系統發現可能的入侵前兆,並對付網路攻擊。入侵偵測系統能在不影響網路效能的情況下對網路進行監測,提供對內部攻擊、外部攻擊和誤操作的即時保護,能夠擴充系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高了資訊安全基礎結構的完整性。但是,入侵偵測系統並不是萬能的,高昂的價格也讓人退卻,而且,單個伺服器或者小型網路設定入侵偵測系統或者防火牆等投入也太大了。
一、對於WWW服務入侵的前兆檢測
對於網路上開放的伺服器來說,WWW服務是最常見的服務之一。基於80連接埠的入侵也因此是最普遍的。很多sceipt kids就對修改WEB頁面非常熱衷。WWW服務面對的使用者多,流量相對來說都很高,同時WWW服務的漏洞和相應的入侵方法和技巧也非常多,並且也相對容易,很多“駭客”使用的漏洞掃描器就能夠掃描80連接埠的各種漏洞,比如wwwscan 、X-scanner等,甚至也有只針對80連接埠的漏洞掃描器。Windows系統上提供WWW服務的IIS也一直漏洞不斷,成為系統管理員頭疼的一部分。
雖然80連接埠入侵和掃描很多,但是80連接埠的日誌記錄也非常容易。IIS提供記錄功能很強大的日誌記錄功能。在“網際網路服務管理員”中網站屬性可以啟用日誌記錄。預設情況下日誌都存放在%WinDir%System32LogFiles,按照每天儲存在exyymmdd.log檔案中。這些都可以進行相應配置,包括日誌記錄的內容。
在配置IIS的時候應該讓IIS日誌盡量記錄得盡量詳細,可以協助進行入侵判斷和分析。現在我們要利用這些日誌來發現入侵前兆,或者來探索服務器是否被掃描。開啟記錄檔,我們能夠得到類似這樣的掃描記錄(以Unicode漏洞舉例):
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
