网络安全参考 | UNIX参考 | GPS参考 | 无线参考 | 在线手册 | OSBUG.ORG | SUNNY-NETWORK.COM
网站地图 RSS订阅
高级搜索 收藏本站
Home | 业界动态 | 防火墙 | IDS/IPS | VPN | PKI | Honeypot | Hacker/Intruder | 黑客技术 | 破解技术 | 加密技术 | 病毒防护 | 木马 | 反垃圾邮件 | 反流氓软件 | 漏洞 | 无线安全 | UNIX | Windows | 安全编程 | 安全软件 | TPM/TCG | 数据恢复 | 企业信息安全 | 个人信息安全
 当前位置: Home > IDS/IPS > 文章  
用MRTG在IIS 6.0上实现入侵检测功能
文章来源: 安全中国 文章作者: 刘震宇 发布时间: 2006-03-28   字体: [ ]
 

  MRTG(Multi Router Traffic Grapher)是一个跨平台的监控网络链路流量负载的工具软件,目前它可以运行在大多数Unix 系统和Windows NT之上。它通过snmp协议从设备得到设备的流量信息,并将流量负载以包含PNG格式的图形的HTML 文档方式显示给用户,以非常直观的形式显示流量负载。

  或许你还不知道,MRTG还是一个有效的入侵检测工具。大家都知道,入侵者扫描与破坏后都能生成一些异常的网络流量,而人们在一般情况下是意识不到的。但是MRTG却能通过图形化的形式给管理员提供入侵的信息。并可以查出数周之前的入侵信息,以备管理员参考。

  一,攻击行为对服务器造成的信息

  1,攻击者使用CGI漏洞扫描器对潜在的CGI漏洞脚本进行扫描时,HTTP 404 Not Found errors的记录会增长。

  2,攻击者尝试暴力破解服务器上的帐户,HTTP 401 Authorization Required errors 的记录会增长。

  3,一种新的蠕虫出现,某一个特定的协议的流量会增长。

  4,蠕虫通过傀儡主机,攻击其他的服务器,出外的流量增加,并增大CPU的负荷。

  5,入侵者尝试SQL injection攻击,HTTP 500 Server Errors记录会增长。

  6,垃圾邮件发送者在网络上寻找中继SMTP服务器来发送垃圾邮件,会造成SMTP的和DNS lookups流量大增,同时造成CPU负荷增大。

  7,攻击者进行DDOS攻击,会造成ICMP流量,TCP连接,虚假的IP,多播广播流量大增。造成浪费大量的带宽。

  看完上面的,我们可以总结出,攻击者要入侵必须会影响到服务器的这些资源:: CPU, RAM,磁盘空间,网络连接和带宽。入侵者还有可能对服务器建立进程后门,开放端口,他们还对他们的入侵行为进行伪装掩盖,避免遭到入侵检测系统的监视。

  二,攻击者使用以下的方法避免被检测到

  1,探测扫描很长时间后,才进行真正的入侵进攻。

  2,从多个主机进行攻击,避免单一的主机记录。

  3,尽量避免入侵造成的CPU, RAM和驱动器的负荷。

  4,利用管理员无人职守时入侵,在周末或者节假日发起攻击。

  三,对于IIS 6,我们需要监视的是

  1,网络流量,包括带宽,数据包,连接的数量等。

  2,网络协议的异常错误。

  3,网站的内外流量,包括用户的权限设置,外部请求的错误流量等。

  4,线程和进程。

  四,在Windows 2003下安装MRTG

  在使用MRTG之前,你需要在你的服务器里安装SNMP 服务。具体步骤如下:从控制面板中选择添加/删除程序,点击添加和删除windows组件。管理和监视工具中的详细资料里就可以找到简单网络管理协议,即可安装。

   安装成功后,你需要立刻安全配置一下,我们大家都知道,SNMP在网络上决不是一个安全的协议,你可以通过http: //support.microsoft.com/?kbid=324261这个连接来具体了解。但是我们只是在本地使用SNMP,但是还是建议你通过防火墙屏蔽SNMP的161与162端口和使用IPSec。并且要配置为obscure community string。在管理工具中,在服务中选择安全,设为只读访问。尽管community string安全问题不多,但是你还是要避免使用community string为只读访问。

  MRTG是一个用Perl编译的C程序。你还要安装ActivePerl来解决支持脚本的问题。下载最新的MRTG。可以到http://people.ee.ethz.ch/~oetiker/webtools/mrtg/pub/下载,注意要选择.zip的文件下载。这篇文章所使用的版本请到http://securityfocus.com/microsoft/images/burnett_MRTG_files.zip下载。把MRTG解压到C:\Program Files\MRTG目录下。

 
推荐文章
·谁在误导群众 Vista评分工具深入
·100%中招 亲身“体验”Vista蓝屏
·BIOS引发的血案 10分钟完美破解V
·轻松应对偷偷跑进来的自启动程序
·普通人不知道的20个WinXP秘密
·防范非法用户入侵Win 2K/XP系统
·Vista发布 对SOA带来什么影响
·安全性不是购买Vista的理由
·Vista并不安全 九成以上病毒均可
·Windows Vista操作系统安全性能
·Vista的安全措施有何具体意义?
·专家问诊 排除网上邻居使用4大常
·Vista被曝重大隐患 电脑极易被远
·技术知识入门:反NIDS技术应用介
 

 
共2页: 上一页 1 [2] 下一页
↑返回顶部   打印本页   关闭窗口↓  

Google
 
Web oldhand.org unixreference.net meshmea.org
热点文章
·BIOS引发的血案 10分钟
·如何删掉“删不掉”的文
·几种Windows系统实现远
·谁在误导群众 Vista评分
·零起步搞定DNS(网络域名
·Windows Vista兼容性问
·IPS vs. IDS 势不两立还
·防止黑客入侵 网络端口
相关分类
相关文章
·入侵检测系统逃避技术和
·技术知识入门:反NIDS技
·网络向导之IDS/IPS的购
·有效使用IDS/IPS的最佳
·新型蜜罐提高入侵检测准
·四项下一代入侵检测关键
·分析筛选IPS的八大定律
·警钟再鸣 防御在入侵的
更多...
 
 

Copyright(c) 2001-2008 OLDHAND ORGANIZATION, All Rights reserved.
Power by DedeCms 织梦内容管理系统
$Id: article_article.html,v 1.3 2007/02/10 12:00:37 yjs Exp $