Windows server 2003 有哪些入侵检测技术
基于80端口入侵的检测
WWW服务是最常见的服务之一,而且由于这个服务面对广大用户,服务的流量和复杂度都很高,所以针对这个服务的漏洞和入侵技巧也最多。对于Windows2000/2003 Server来说,IIS一直是系统管理员比较头疼的一部分,幸好IIS自带的日志功能从某种程度上可以成为入侵检测的得力帮手。大多数情况下,IIS的日志会忠实地记录它接收到的任何请求(也有特殊的不被IIS记录的攻击),所以,一个优秀的系统管理员应该擅长利用这点来发现入侵的企图,从而保护自己的系统。但是,IIS的日志一般数十兆,流量大的网站甚至数十吉,人工检查几乎没有可能,唯一的选择就是使用日志分析软件(其实就是文本过滤器)。
需要提醒的是,使用任何日志分析软件都会占用一定的系统资源,因此,对于IIS日志分析这样低优先级的任务,放在夜里空闲时自动执行会比较合适,如果再写一段脚本把过滤后的可疑文本发送给系统管理员,那就更加完美了。同时,如果敏感字符串表较大,过滤策略复杂,建议还是用C语言写一个专用程序会比较好。
基于安全日志的检测
通过基于IIS日志的入侵检测,能提前知道窥伺者的行踪,但是IIS日志不是万能的,它在某种情况下甚至不能记录来自80端口的入侵,通过对IIS日志系统的分析,IIS只有在一个请求完成后才会写入日志,换而言之,如果一个请求中途失败,日志文件中是不会有它的踪影的(这里的中途失败并不是指发生HTTP400错误这样的情况,而是从TCP层上没有完成HTTP请求,例如在POST大量数据时异常中断),对于入侵者来说,就有可能绕过日志系统完成大量的活动。
Windows 2000/2003 Server自带了相当强大的安全日志系统,从用户登录到特权的使用都有非常详细的记录,可惜的是,默认安装下安全审核是关闭的,以至于一些主机被黑客袭击后根本没法追踪入侵者。所以,用户要做的第一步是打开必要的审核,一般来说,应同时打开登录事件与账户管理的成功和失败审核,而其他的审核也要打开失败审核,这样可以使得入侵者一不小心就会暴露。
文件访问日志与关键文件保护
文件访问有很多的选项:访问、修改、执行、新建、属性更改……一般来说,关注访问和修改就能起到很大的监视作用。例如,如果用户监视了系统目录的修改、创建,甚至部分重要文件的访问(例如cmd.exe,net.exe,system32目录),那么,入侵者就很难安放后门而不引起用户的注意,要注意的是,监视的关键文件和项目不能太多,否则不仅增加系统负担,还会扰乱日常的日志监测工作。关键文件不仅仅指的是系统文件,还包括有可能对系统管理员/其他用户构成危害的任何文件,例如系统管理员的配置、桌面文件等,这些都是有可能用来窃取系统管理员资料/密码的。
进程监控
进程监控技术是追踪木马后门的另一个有力武器,90%以上的木马和后门是以进程的形式存在的,作为系统管理员,了解服务器上运行的每个进程是职责之一,做一份每台服务器运行进程的列表非常必要,能帮助管理员一眼就发现入侵进程,异常的用户进程或者异常的资源占用都有可能是非法进程。除了进程外,DLL也是危险的东西,例如把原本是exe类型的木马改写为dll后,使用rundll32运行就具有一些迷惑性。
注册表校验
一般来说,木马或者后门都会利用注册表来再次运行自己,所以,校验注册表来发现入侵也是常用的手法之一。一般来说,如果一个入侵者只懂得使用流行的木马,那么由于普通木马只能写入特定的几个键值(比如Run、Runonce等),查找起来是相对容易的。但是对于可以自己编写/改写木马的人来说,注册表的任何地方都可以藏身,靠手工查找就没有可能了。应对的方法是监控注册表的任何改动,这样改写注册表的木马就没有办法遁形了。监控注册表的软件非常多,很多追查木马的软件都带有这样的功能,一个监控软件加上定期对注册表进行备份,万一注册表被非授权修改,系统管理员也能在最短的时间内恢复。
端口监控
虽然说不使用端口的木马已经出现,但是大部分的后门和木马还是使用TCP连接的。监控端口的状况对于由于种种原因不能封锁端口的主机来说是非常重要的,对于系统管理员来说,了解自己服务器上开放的端口甚至比对进程的监控更加重要。常常使用netstat查看服务器的端口状况是一个良好的习惯,一旦发现异常的端口,可以使用特殊的程序来关联端口、可执行文件和进程(如inzider就有这样的功能,它可以发现服务器监听的端口并找出与该端口关联的文件,这样无论是使用TCP还是UDP的木马都无处藏身。
终端服务的日志监控
单独将终端服务的日志监控分列出来是有原因的,微软Windows 2000/2003Server服务器版本中自带的终端服务Terminal Service是一个基于远程桌面协议(RDP)的工具,它的速度非常快,也很稳定,可以成为一个很好的远程管理软件,但是因为这个软件功能强大而且只受到密码的保护,所以也非常危险,一旦入侵者拥有了管理员密码,就能够像本机一样操作远程服务器。虽然很多人都在使用终端服务来进行远程管理,但是,并不是人人都知道如何对终端服务进行审核,大多数的终端服务器上并没有打开终端登录的日志,其实打开日志审核是很容易的,在管理工具中打开远程控制服务配置,单击“连接”,右击想配置的RDP服务,依次选中书签“权限”→“高级”→“审核”,加入一个Everyone组,这代表所有的用户,然后审核他的“连接”、“断开”、“注销”、“登录”的成功和失败就足够了,这个审核是记录在安全日志中的,可以从“管理工具”→“日志查看器”中查看。
陷阱技术
早期的陷阱技术只是一个伪装的端口服务用来监测扫描,随着矛盾的不断升级,现在的陷阱服务或者陷阱主机已经越来越完善,越来越像真正的服务,不仅能截获半开式扫描,还能伪装服务的回应并记录入侵者的行为,从而帮助判断入侵者的身份。