网络入侵检测初步探测的方法！

您现在的位置：猫头鹰病毒资讯网 >> 系统安全 >> 系统安全 >> 文章正文

网络入侵检测初步探测的方法！

作者：佚名文章来源：网络收集点击数：更新时间：2007-9-28

金山联盟百度打造中国互联网

国内知名的信息网络安全厂商金山联手全球最大的中文搜索引擎百度共同推出一款基于WEB的零客户端（网页方式）的安全解决方案——“百度……

金山联盟百度打造中国互联网第一免费杀毒平台

Nod32获得Avc本年度最佳反病毒产品殊荣

常见手机病毒分析

PPLive携手ESET NOD32发布免费版杀毒防毒软件

卡巴斯基7.0简体中文版上市

经过精心配置的Win2000服务器可以防御90%以上的入侵和渗透，但是，就象上一章结束时所提到的:系统安全是一个连续的过程，随着新漏洞的出现和服务器应用的变化，系统的安全状况也在不断变化着;同时由于攻防是矛盾的统一体，道消魔长和魔消道长也在不断的转换中，因此，再高明的系统管理员也不能保证一台正在提供服务的服务器长时间绝对不被入侵。

　　所以，安全配置服务器并不是安全工作的[/size]结束，相反却是漫长乏味的安全工作的开始，本文我们将初步探讨Win2000服务器入侵检测的初步技巧，希望能帮助您长期维护服务器的安全。

　　入侵的检测主要还是根据应用来进行，提供了相应的服务就应该有相应的检测分析系统来进行保护，对于一般的主机来说，主要应该注意以下几个方面:

　　1.基于80端口入侵的检测

　　WWW服务大概是最常见的服务之一了，而且由于这个服务面对广大用户，服务的流量和复杂度都很高，所以针对这个服务的漏洞和入侵技巧也最多。对于NT来说，IIS一直是系统管理员比较头疼的一部分，不过好在IIS自带的日志功能从某种程度上可以成为入侵检测的得力帮手。IIS自带的日志文件默认存放在System32/LogFiles目录下，一般是按24小时滚动的，在IIS管理器中可以对它进行详细的配置。

　　我们假设一台WEB服务器，开放了WWW服务，你是这台服务器的系统管理员，已经小心地配置了IIS，使用W3C扩展的日志格式，并至少记录了时间(Time)、客户端IP(Client IP)、方法(Method)、URI资源(URI Stem)、URI查询(URI Query)，协议状态(Protocol Status)，我们用最近比较[/size]流行的Unicode漏洞来进行分析:打开IE的窗口，在地址栏输入:127.0.0.1/scripts/..%c1% 1c../winnt/system32/cmd.exe?/c+dir默认的情况下你可以看到目录列表，让我们来看看IIS的日志都记录了些什么，打开Ex010318.log(Ex代表W3C扩展格式，后面的一串数字代表日志的记录日期):07:42:58 127.0.0.1 GET /scripts/..../winnt/system32cmd.exe /c+dir 200上面这行日志表示在格林威治时间07:42:58(就是北京时间23:42:58)，有一个家伙(入侵者)从127.0.0.1的IP在你的机器上利用Unicode漏洞(%c1%1c被解码为“”，实际的情况会因为Windows版本的不同而有略微的差别)运行了cmd.exe，参数是/c dir，运行结果成功(HTTP 200代表正确返回)。

文章录入：菜猫责任编辑：菜猫

上一篇文章： NewsBin Pro超长文件名栈溢出漏洞

下一篇文章：使用搜索引擎时也要注意保护自己隐私

热点文章