下面是由希賽小編整理的中級通信互聯網技術知識點精講之Windows2000Server入侵檢測，希望能幫助學友們。具體內容如下：

       Windows2000Server入侵檢測

       Windows2000服務器經過精心配置以后可以防御90%以上的入侵和滲透，但是，系統安全往往隨著新漏洞的出現和服務器應用的變化不斷變化。系統管理員也不能保證一臺正在提供服務的服務器長時間絕對不被入侵。入侵檢測技術是對服務器進行動態安全管理的重要方法。

       不使用防火墻或入侵監測系統工具，利用Windows2000Server自身的功能，或者系統管理員自己編寫一些簡單的軟件/腳本也能實現入侵檢測。

       假定一臺Windows2000Server的服務器經過了初步的安全配置，那么，大部分入侵者將被拒之門外，可以防御絕大多數的Scriptkid(腳本族，即只會用別人寫的程序入侵服務器的人)，但是，遇到了真正的高手，還是不堪一擊的。特別是在漏洞的發現與補丁的發布之間往往有一段時間的真空，任何知道漏洞資料的人都可以乘虛而入，這時，入侵檢測技術就敁得非常重要。

       入侵的檢測主要還是根據應用來進行，提供了相應的服務就應該有相應的檢測分析系統來進行保護，對于一般的主機來說，主要應該注意以下幾方面。

       1.基于80端口入侵的檢測

       WWW服務是最常見的服務之一，而且由于這個服務面對廣大用戶，服務的流量和復雜度都很高，所以針對這個服務的漏洞和入侵技巧也最多。對于WindowsNT來說，IIS自帶的

       日志功能從某種程度上可以成為入侵檢測的得力幫手。HS自帶的日志文件默認存放在System32/LogFiles目錄下，一般按24小時滾動，在IIS管理器中可以對它進行詳細的配置。

       假設Web服務器開放了WWW服務，已經正確地配S了IIS,使用W3C擴展的日志格式，至少記錄了時間（Time)、客戶端IP(ClientIP),方法（Method)、URI資源（URIStem)、URI查詢（URIQuery)和協議狀態（ProtocolStatus)。

       下面用基于Unicode漏洞的攻擊來進行分析。

       打開IE瀏覽器，在地址欄輸入：127.0.0.1/scripts/..%cl%1c../winnt/system32/cmd.exe?/c+dir,默認的情況下可以看到目錄列表。

       下面查看IIS的日志記錄，打開Ex010318.log(Ex代表W3C擴展格式，后面的一串數字代表日志的記錄日期），看到記錄為：

       07:42:58127.0.0.1GET/scripts/..\../winnt/system32\cmd.exe/c+dir200

       日志記錄表示在格林威治時間07:42:58(即北京時間23:42:58),有一個入侵者從127.0.0.1的IP在你的機器上利用Unicode漏洞（％cl%lc被解碼為實際的情況會因為Windows語言版本的不同而有略微的差別）運行了cmd.exe,參數是/cdir,運行結果成功，HTTP200代表正確返回。

       大多數情況下，ns的日志會忠實地記錄它接收到的任何請求（也有特殊的不被IIS記錄的攻擊)，因此一個優秀的系統管理員應該擅長利用這項技術來發現入侵的企圖，從而保護自己的系統。但是，IIS的日志數據童巨大，流量大的網站甚至數十G,人工檢查幾乎沒有可能，

       選擇就是使用日志分析軟件，用某種語言編寫一個日志分析軟件來實現相關功能。也可以使用WindowsNT自帶的功能來實現相關目標。

       例如，要知道有沒有人從80端口上試圍取得GlobaLasa文件，可以使用WindowsNT自帶工具find.exe,運行CMD命令：

       find"Global.asa"ex010318.log/i

       從文本文件中找到字符串"Global.asa"

       無論是基于日志分析軟件或者是Find命令，一般都要建立一張敏感字符串列表，包含已有的HS漏洞（如"+.htr")以及漏洞經常調用的資源（如GlobaLasa或者Cmd.exe),通過過濾這張不斷更新的字符串表，一定可以盡早發現入侵者的行為。

       返回目錄：中級通信互聯網技術知識點精講之網絡安全技術匯總

       相關推薦：

       中級通信工程師互聯網技術考試教材推薦

       中級通信工程師互聯網技術考試培訓視頻推薦

       中級通信工程師互聯網技術考試大綱