入侵檢測系統并不是萬能的,高昂的價格也讓人退卻,而且,單個服務器或者小型網絡配置入侵檢測系統或者防火墻等投入也太大了。在以前的文章中我們已經介紹了一部分Windows2000服務器入侵檢測是怎樣的過程的內容,今天我們繼續介紹。
對于WWW服務入侵的前兆檢測
對于網絡上開放的服務器來說,WWW服務是最常見的服務之一。基于80端口的入侵也因此是最普遍的。很多sceipt kids就對修改WEB頁面非常熱衷。WWW服務面對的用戶多,流量相對來說都很高,同時WWW服務的漏洞和相應的入侵方法和技巧也非常多,并且也相對容易,很多“黑客”使用的漏洞掃描器就能夠掃描80端口的各種漏洞,比如wwwscan 、X-scanner等,甚至也有只針對80端口的漏洞掃描器。Windows系統上提供WWW服務的IIS也一直漏洞不斷,成為系統管理員頭疼的一部分。
雖然80端口入侵和掃描很多,但是80端口的日志記錄也非常容易。IIS提供記錄功能很強大的日志記錄功能。在“Internet 服務管理器”中站點屬性可以啟用日志記錄。默認情況下日志都存放在%WinDir%System32LogFiles,按照每天保存在exyymmdd.log文件中。這些都可以進行相應配置,包括日志記錄的內容。
在配置IIS的時候應該讓IIS日志盡量記錄得盡量詳細,可以幫助進行入侵判斷和分析。現在我們要利用這些日志來發現入侵前兆,或者來發現服務器是否被掃描。打開日志文件,我們能夠得到類似這樣的掃描記錄(以Unicode漏洞舉例):
- 2002-03-10 05:42:27 192.168.1.2 - 192.168.1.1 80 HEAD /script/..蠟../..蠟../..
- 蠟../winnt/system32/cmd.exe /c+dir 404 -
- 2002-03-10 05:42:28 192.168.1.2 - 192.168.1.1 80
- GET /script/..?../..?../..?../winnt/system32/cmd.exe /c+dir 404 -
需要注意類似這樣的內容:
/script/..?../..?../..?../winnt/system32/cmd.exe /c+dir 404
如果是正常用戶,那么他是不會發出這樣的請求的,這些是利用IIS的Unicode漏洞掃描的結果。后面的404表示并沒有這樣的漏洞。如果出現的是200,那么說明存在Unicode漏洞,也說明它已經被別人掃描到了或者已經被人利用了。不管是404或者200,這些內容出現在日志中,都表示有人在掃描(或者利用)服務器的漏洞,這就是入侵前兆。日志也記錄下掃描者的來源:192.168.1.2這個IP地址。
再比如這個日志:
2002-03-10 06:17:50 192.168.1.2 - 192.168.1.1 80 HEAD / - 400 -
這是一個使用HEAD請求來掃描WWW服務器軟件類型的記錄,攻擊者能夠通過了解WWW使用的軟件來選擇掃描工具掃描的范圍。
IIS通常都能夠記錄下所有的請求,這里面包含很多正常用戶的請求記錄,這也讓IIS的日志文件變得非常龐大,上十兆或者更大,人工瀏覽分析就變得不可取。這時可以使用一些日志分析軟件,幫助日志分析。或者使用下面這個簡單的命令來檢查是否有Unicode漏洞的掃描事件存在:
find /I "winnt/system32/cmd.exe" C:logex020310.log
“find”這個命令就是在文件中搜索字符串的。我們可以根據掃描工具或者漏洞情況建立一個敏感字符串列表,比如“HEAD”、“cmd.exe”(Unicode漏洞)、“.ida”“.idq”(IDA/IDQ遠程溢出漏洞)、“.printer”(Printer遠程溢出漏洞)等等。
對于FTP等服務入侵的前兆檢測
根據前面對于WWW服務入侵前兆的檢測,我們可以照樣來檢測FTP或者其他服務(POP、SMTP等)。以FTP服務來舉例,對于FTP服務,通常最初的掃描或者入侵必然是進行帳號的猜解。對于IIS提供的FTP服務,也跟WWW服務一樣提供了詳盡的日志記錄(如果使用其他的FTP服務軟件,它們也應該有相應的日志記錄)。
我們來分析這些日志:
- 2002-03-10 06:41:19 192.168.21.130 administrator [36]USER administrator 331
- 2002-03-10 06:41:19 192.168.21.130 - [36]PASS - 530
這表示用戶名administrator請求登錄,但是登錄失敗了。當在日志中出現大量的這些登錄失敗的記錄,說明有人企圖進行FTP的帳號猜解。這就是從FTP服務來入侵的入侵前兆。
分析這些日志的方法也跟前面分析WWW服務的日志方法類似。因為FTP并不能進行帳號的枚舉,所以,如果發現有攻擊者猜測的用戶名正好和你使用的帳號一致,那么就需要修改帳號并加強密碼長度。
入侵檢測是防火墻的合理補充,幫助系統對付網絡攻擊,擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高了信息安全基礎結構的完整性。希望大家多多掌握入侵檢測的知識,以有效地保護自己的計算機。
原文鏈接:http://netsecurity.51cto.com/art/201103/249240.htm
