Win2K入侵检测实例分析
你是否曾经有过这样的感觉,你的Web站点安全曾经受到威胁,但你又不能确定?
诚然,你可以紧跟补丁的速度,你可以保证所有的ACL(访问控制列表)都进行了正确的设置,但是现在每周都有许多新的攻击出现,还有许多攻击没有被公开,在这种情况下,如何才能确信你受到了保护?有些攻击者会让你明白你受到了黑客袭击,但是也确有一些人来去都不让你知道,但你会感觉到不对劲,怀疑自己受到了攻击,这种情况更加危险。
如何才能判断自己的安全是否受到了威胁?本文通过模拟实例来介绍一些在入侵发生时进行检测的技术,以及一些自我保护策略。有许多第三方应用程序能帮助我们实现入侵检测目的,但在这里我将演示使用Windows 2000的内置程序执行入侵检测。其实,最重要的是通过分析攻击者的行为方式,了解哪些技术对发现攻击最有效。
假设入侵行为1及应对措施
现在假设出于某种原因我决定要侵入你的网络。我将从哪里开始呢?首先,我要尽可能地收集你的网络信息,这可以通过一系列程序完成,如whois、dig、nslookup、tracert,还可以使用一些在Internet上公开的信息。假设通过这些操作,我发现你的网络中有一小部分没有被防火墙所保护。然后,通过执行端口扫描,我注意到有许多机器的135、139、389和445端口都是开放的。
445端口是Win2K的一个致命后门。在Win2K中,SMB(Server Message Block,用于文件和打印共享服务)除了基于NBT(NetBIOS over TCP/IP,使用端口137, UDP端口138 和TCP端口139来实现基于TCP/IP的NETBIOS网际互联)的实现,还有直接通过445端口实现。如果win2000服务器允许NBT, 那么UDP端口137, 138, TCP 端口 139, 445将开放。如果 NBT 被禁止, 那么只有445端口开放。445端口的使用方式有以下2种:
# 当Win2K在允许NBT情况下作为客户端连接SMB服务器时,它会同时尝试连接139和445端口,如果445端口有响应,那么就发送TCP RST包给139端口断开连接,以455端口通讯来继续;当445端口无响应时,才使用139端口。
# 当Win2K在禁止NBT情况下作为客户端来连接SMB服务器时,那么它只会尝试连接445端口,如果无响应,那么连接失败。
现在继续我的发现假设。我还注意到许多机器的端口80和443也是开放的,这可能是一个IIS 5 Web服务器。
|-page-|
Ok,我做了以上的窥视工作,你能检测到我的活动吗?下面来分析一下。首先,发生了端口扫描,在扫描的过程中,你应该注意到网络的通信量有一个突然的增加。端口扫描通常表现为持续数分钟的稳定的通信量增加,时间的长短取决于扫描端口的多少。如何发现网络通信量的突然增加呢?有许多程序都可以完成这个功能,以下介绍3种Win2K内置方法:
方法一
在Win2K中,可以启动“性能”程序,创建一个预设定流量限制的性能警报信息。例如,比较好的网络通信量指标包括TCP-Segments/Sec和Network Interface-Packets/Sec:
文章来源于领测软件测试网 https://www.ltesting.net/
版权所有(C) 2003-2010 TestAge(领测软件测试网)|领测国际科技(北京)有限公司|软件测试工程师培训网 All Rights Reserved
北京市海淀区中关村南大街9号北京理工科技大厦1402室 京ICP备10010545号-5
技术支持和业务联系:info@testage.com.cn 电话:010-51297073