配置ISA Server以检测外部攻击和入侵（1）

　　 
　　配置ISA Server以检测外部攻击和入侵
   　可以通过配置ISA Server来检测常见的网络攻击。默认状态下，启用入侵检测后，ISA Server一检测到攻击，就会往Windows 2000事件日志中发消息。

也可以把ISA Server配置为对检测到的攻击做出其他的反应，例如给管理员发送电子邮件、启动一个特定的程序、以及启动或停止选定的ISA Server服务。

　　 本节学习目标
　　 描述ISA Server能检测到的网络攻击类型

　　 配置ISA Server来检测外部网络攻击和入侵

　　 估计学习时间：25分钟
　　 4.6.1　入侵类型和警报
　　 ISA Server的一个功能就是入侵检测。有人试图攻击您的网络时，入侵检测能够将其鉴别出来。检测到攻击(参见图4.14)后，ISA Server就会采取一系列预先配置的措施(或警报)。下面是一些入侵类型：

　　 端口扫描攻击

　　 IP 半扫描攻击

　　 登录攻击

　　 Ping of Death攻击

　　 UDP轰炸攻击

　　 Windows out-of-band攻击

　　 4.6.2　端口扫描攻击
　　 引发ISA Server警报的两种端口扫描攻击类型：全部端口扫描攻击和枚举端口扫描攻击。

　　 4.6.2.1 全部端口扫描攻击
　　 该警报通知您，有人试图访问的端口数目超过了您预先设定的数字。您可以规定一个极限值，指定允许访问的端口数目。

　　 4.6.2.2 枚举端口扫描攻击
　　 该警报通知您，有人通过探测每个端口的反应，试图统计计算机上所运行的服务。

　　 如果有该警报，您应该识别端口扫描的来源。将它与目标计算机上运行的服务进行对比。同时，鉴别扫描的来源和目的。检查访问日志，看有没有未经授权的访问。如果确实发现了未经授权的访问，您应该考虑到这可能会危及系统的安全，并采取适当的措施。

　　 4.6.3　IP 半扫描攻击
　　 该警报通知您，有人一再试图访问目的计算机，但却没有传送相应的ACK(确认)数据包。

　　 标准的TCP链接是通过给目的计算机发送一个SYN(同步/开始)数据包来建立的。如果该目的正在等待连接到某个端口，就会发送一个SYN/ACK (同步确认)数据包。最初的发送者回应一个ACK数据包，链接就建立起来了。如果该目的计算机的没有等待指定端口上的连接，就发送一个RST(重置)数据包。

　　 多数的系统日志收到源头发送的最终的ACK数据包之后，才将该链接记入日志。发送的是RST数据包而不是最终的ACK数据包，说明该链接没有真正建立起来，因此它不会记入日志中。因为源头能够鉴别目的计算机发送的是SYN/ACK数据包，还是RST数据包，所以黑客能够精确地判断哪个端口是公开连接的，而且目的计算机意识不到这是黑客的探测行为。

　　 如果发生了该警报，就将产生扫描的地址记入日志。适当的话，配置ISA Server策略规则或者IP数据包筛选器来阻止来自该扫描源的通信。

　　 4.6.4　登录攻击
　　 该警报通知您，发送的TCP SYN 数据包还带有与目的IP地址和端口匹配的伪源IP地址和端口数。如果该攻击成功了，它将使某些TCP执行程序陷入死循环而死机。

　　 如果发生了该警报，配置ISA Server策略规则或者IP数据包筛选器使其禁止来自该扫描源头的通信。

　　 4.6.5　Ping of Death攻击
　　 该警报通知您，Internet控制报文协议(ICMP)的回应请求(ping)数据包中附加有大量的信息。如果该攻击成功了，它将使计算机的内核缓冲区溢出而死机。

　　 如果发生了该警报，创建一个协议规则，明确地拒绝来自Internet的传入ICMP回应请求数　　据包。

　　 4.6.6　UDP轰炸攻击
　　 该警报通知您，有人试图给您发送非法的UDP数据包。这些UDP数据包的某些字段上有非法值。接收到这样的数据包时，会导致一些旧的操作系统崩溃。而一旦目标机器崩溃之后，通常就很难找出原因了。

　　 4.6.7　Windows Out-of-Band攻击(WinNuke)
　　 该警报通知您，有人试图通过OOB denia-of service(拒绝服务)攻击一台由ISA Server保护的计算机。如果该攻击成功了，它将导致计算机崩溃或者导致某些易受攻击的计算机失去网络链接。

　　 注意　入侵检测功能是基于美国亚特兰大Internet安全系统公司(Internet Security Systems, Inc., Atlanta, Georgia)的有关技术。

原文转自：http://www.ltesting.net