入侵檢測(cè)系統(tǒng)并不是萬(wàn)能的，高昂的價(jià)格也讓人退卻，而且，單個(gè)服務(wù)器或者小型網(wǎng)絡(luò)配置入侵檢測(cè)系統(tǒng)或者防火墻等投入也太大了。在以前的文章中我們已經(jīng)介紹了一部分Windows2000服務(wù)器入侵檢測(cè)是怎樣的過(guò)程的內(nèi)容，今天我們繼續(xù)介紹。

對(duì)于WWW服務(wù)入侵的前兆檢測(cè)

對(duì)于網(wǎng)絡(luò)上開(kāi)放的服務(wù)器來(lái)說(shuō)，WWW服務(wù)是最常見(jiàn)的服務(wù)之一。基于80端口的入侵也因此是最普遍的。很多sceipt kids就對(duì)修改WEB頁(yè)面非常熱衷。WWW服務(wù)面對(duì)的用戶多，流量相對(duì)來(lái)說(shuō)都很高，同時(shí)WWW服務(wù)的漏洞和相應(yīng)的入侵方法和技巧也非常多，并且也相對(duì)容易，很多“黑客”使用的漏洞掃描器就能夠掃描80端口的各種漏洞，比如wwwscan 、X-scanner等，甚至也有只針對(duì)80端口的漏洞掃描器。Windows系統(tǒng)上提供WWW服務(wù)的IIS也一直漏洞不斷，成為系統(tǒng)管理員頭疼的一部分。

雖然80端口入侵和掃描很多，但是80端口的日志記錄也非常容易。IIS提供記錄功能很強(qiáng)大的日志記錄功能。在“Internet 服務(wù)管理器”中站點(diǎn)屬性可以啟用日志記錄。默認(rèn)情況下日志都存放在%WinDir%System32LogFiles，按照每天保存在exyymmdd.log文件中。這些都可以進(jìn)行相應(yīng)配置，包括日志記錄的內(nèi)容。

在配置IIS的時(shí)候應(yīng)該讓IIS日志盡量記錄得盡量詳細(xì)，可以幫助進(jìn)行入侵判斷和分析。現(xiàn)在我們要利用這些日志來(lái)發(fā)現(xiàn)入侵前兆，或者來(lái)發(fā)現(xiàn)服務(wù)器是否被掃描。打開(kāi)日志文件，我們能夠得到類似這樣的掃描記錄(以Unicode漏洞舉例)：

2002-03-10 05:42:27 192.168.1.2 - 192.168.1.1 80 HEAD /script/..蠟../..蠟../..  
 
蠟../winnt/system32/cmd.exe /c+dir 404 -  
 
2002-03-10 05:42:28 192.168.1.2 - 192.168.1.1 80  
 
GET /script/..?../..?../..?../winnt/system32/cmd.exe /c+dir 404 - 

需要注意類似這樣的內(nèi)容：

/script/..?../..?../..?../winnt/system32/cmd.exe /c+dir 404

如果是正常用戶，那么他是不會(huì)發(fā)出這樣的請(qǐng)求的，這些是利用IIS的Unicode漏洞掃描的結(jié)果。后面的404表示并沒(méi)有這樣的漏洞。如果出現(xiàn)的是200，那么說(shuō)明存在Unicode漏洞，也說(shuō)明它已經(jīng)被別人掃描到了或者已經(jīng)被人利用了。不管是404或者200，這些內(nèi)容出現(xiàn)在日志中，都表示有人在掃描(或者利用)服務(wù)器的漏洞，這就是入侵前兆。日志也記錄下掃描者的來(lái)源：192.168.1.2這個(gè)IP地址。

再比如這個(gè)日志：

2002-03-10 06:17:50 192.168.1.2 - 192.168.1.1 80 HEAD / - 400 -

這是一個(gè)使用HEAD請(qǐng)求來(lái)掃描WWW服務(wù)器軟件類型的記錄，攻擊者能夠通過(guò)了解WWW使用的軟件來(lái)選擇掃描工具掃描的范圍。

IIS通常都能夠記錄下所有的請(qǐng)求，這里面包含很多正常用戶的請(qǐng)求記錄，這也讓IIS的日志文件變得非常龐大，上十兆或者更大，人工瀏覽分析就變得不可取。這時(shí)可以使用一些日志分析軟件，幫助日志分析。或者使用下面這個(gè)簡(jiǎn)單的命令來(lái)檢查是否有Unicode漏洞的掃描事件存在：

find /I "winnt/system32/cmd.exe" C:logex020310.log

“find”這個(gè)命令就是在文件中搜索字符串的。我們可以根據(jù)掃描工具或者漏洞情況建立一個(gè)敏感字符串列表，比如“HEAD”、“cmd.exe”(Unicode漏洞)、“.ida”“.idq”(IDA/IDQ遠(yuǎn)程溢出漏洞)、“.printer”(Printer遠(yuǎn)程溢出漏洞)等等。

對(duì)于FTP等服務(wù)入侵的前兆檢測(cè)

根據(jù)前面對(duì)于WWW服務(wù)入侵前兆的檢測(cè)，我們可以照樣來(lái)檢測(cè)FTP或者其他服務(wù)(POP、SMTP等)。以FTP服務(wù)來(lái)舉例，對(duì)于FTP服務(wù)，通常最初的掃描或者入侵必然是進(jìn)行帳號(hào)的猜解。對(duì)于IIS提供的FTP服務(wù)，也跟WWW服務(wù)一樣提供了詳盡的日志記錄(如果使用其他的FTP服務(wù)軟件，它們也應(yīng)該有相應(yīng)的日志記錄)。

我們來(lái)分析這些日志：

2002-03-10 06:41:19 192.168.21.130 administrator [36]USER administrator 331  
 
2002-03-10 06:41:19 192.168.21.130 - [36]PASS - 530 

這表示用戶名administrator請(qǐng)求登錄，但是登錄失敗了。當(dāng)在日志中出現(xiàn)大量的這些登錄失敗的記錄，說(shuō)明有人企圖進(jìn)行FTP的帳號(hào)猜解。這就是從FTP服務(wù)來(lái)入侵的入侵前兆。

分析這些日志的方法也跟前面分析WWW服務(wù)的日志方法類似。因?yàn)镕TP并不能進(jìn)行帳號(hào)的枚舉，所以，如果發(fā)現(xiàn)有攻擊者猜測(cè)的用戶名正好和你使用的帳號(hào)一致，那么就需要修改帳號(hào)并加強(qiáng)密碼長(zhǎng)度。

入侵檢測(cè)是防火墻的合理補(bǔ)充，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。希望大家多多掌握入侵檢測(cè)的知識(shí)，以有效地保護(hù)自己的計(jì)算機(jī)。

原文鏈接：http://netsecurity.51cto.com/art/201103/249240.htm