Win2K入侵检测实例分析（1）

　　 
　　Win2K入侵检测实例分析
??你是否曾经有过这样的感觉，你的Web站点安全曾经受到威胁，但你又不能确定？

诚然，你可以紧跟补丁的速度，你可以保证所有的ACL（访问控制列表）都进行了正确的设置，但是现在每周都有许多新的攻击出现，还有许多攻击没有被公开，在这种情况下，如何才能确信你受到了保护？有些攻击者会让你明白你受到了黑客袭击，但是也确有一些人来去都不让你知道，但你会感觉到不对劲，怀疑自己受到了攻击，这种情况更加危险。


如何才能判断自己的安全是否受到了威胁？本文通过模拟实例来介绍一些在入侵发生时进行检测的技术，以及一些自我保护策略。有许多第三方应用程序能帮助我们实现入侵检测目的，但在这里我将演示使用Windows 2000的内置程序执行入侵检测。其实，最重要的是通过分析攻击者的行为方式，了解哪些技术对发现攻击最有效。


假设入侵行为1及应对措施


现在假设出于某种原因我决定要侵入你的网络。我将从哪里开始呢？首先，我要尽可能地收集你的网络信息，这可以通过一系列程序完成，如whois、dig、nslookup、tracert，还可以使用一些在Internet上公开的信息。假设通过这些操作，我发现你的网络中有一小部分没有被防火墙所保护。然后，通过执行端口扫描，我注意到有许多机器的135、139、389和445端口都是开放的。


445端口是Win2K的一个致命后门。在Win2K中，SMB(Server Message Block，用于文件和打印共享服务)除了基于NBT（NetBIOS over TCP/IP，使用端口137, UDP端口138 和TCP端口139来实现基于TCP/IP的NETBIOS网际互联）的实现，还有直接通过445端口实现。如果win2000服务器允许NBT, 那么UDP端口137, 138, TCP 端口 139, 445将开放。如果 NBT 被禁止, 那么只有445端口开放。445端口的使用方式有以下2种：


＃ 当Win2K在允许NBT情况下作为客户端连接SMB服务器时，它会同时尝试连接139和445端口，如果445端口有响应，那么就发送TCP RST包给139端口断开连接，以455端口通讯来继续；当445端口无响应时，才使用139端口。


＃ 当Win2K在禁止NBT情况下作为客户端来连接SMB服务器时，那么它只会尝试连接445端口，如果无响应，那么连接失败。


现在继续我的发现假设。我还注意到许多机器的端口80和443也是开放的，这可能是一个IIS 5 Web服务器。

|-page-|

Ok，我做了以上的窥视工作，你能检测到我的活动吗？下面来分析一下。首先，发生了端口扫描，在扫描的过程中，你应该注意到网络的通信量有一个突然的增加。端口扫描通常表现为持续数分钟的稳定的通信量增加，时间的长短取决于扫描端口的多少。如何发现网络通信量的突然增加呢？有许多程序都可以完成这个功能，以下介绍3种Win2K内置方法：


方法一


在Win2K中，可以启动“性能”程序，创建一个预设定流量限制的性能警报信息。例如，比较好的网络通信量指标包括TCP-Segments/Sec和Network Interface-Packets/Sec：

原文转自：http://www.ltesting.net