網路入侵檢測的初步探測方法 [入侵檢測]

經過精心配置的Win2000伺服器可以防禦90%以上的入侵和滲透，但是，就象上一章結束時所提到的:系統安全是一個連續的過程，隨著新漏洞的出現和伺服器應用的變化，系統的安全狀況也在不斷變化著;同時由於攻防是矛盾的統一體，道消魔長和魔消道長也在不斷的轉換中，因此，
再高明的系統管理員也不能保證一台正在提供服務的伺服器長時間絕對不被入侵。

　　所以，安全配置伺服器並不是安全工作的結束，相反卻是漫長乏味的安全工作的開始，本文我們將初步探討Win2000伺服器入侵檢測的初步技巧，希望能幫助您長期維護伺服器的安全。

　　入侵的檢測主要還是根據應用來進行，提供了相應的服務就應該有相應的檢測分析系統來進行保護，對於一般的主機來說，主要應該注意以下幾個方面:

　　1.基於80端口入侵的檢測

　　WWW服務大概是最常見的服務之一了，而且由於這個服務面對廣大用戶，服務的流量和複雜度都很高，所以針對這個服務的漏洞和入侵技巧也最多。對於NT來說，IIS一直是系統管理員比較頭疼的一部分，不過好在IIS自帶的日誌功能從某種程度上可以成為入侵檢測的得力幫手。IIS自帶的日誌文件默認存放在System32/LogFiles目錄下，一般是按24小時滾動的，在IIS管理器中可以對它進行詳細的配置。

　　我們假設一台WEB伺服器，開放了WWW服務，你是這臺伺服器的系統管理員，已經小心地配置了IIS，使用W3C擴展的日誌格式，並至少記錄了時間(Time)、客戶端IP(Client IP)、方法(Method)、URI資源(URI Stem)、URI查詢(URI Query)，協議狀態(Protocol Status)，我們用最近比較流行的Unicode漏洞來進行分析:打開IE的窗口，在地址欄輸入:127.0.0.1/scripts/..%c1% 1c../winnt/system32/cmd.exe?/c+dir默認的情況下你可以看到目錄列表，讓我們來看看IIS的日誌都記錄了些什麼，打開Ex010318.log(Ex代表W3C擴展格式，後面的一串數字代表日誌的記錄日期):07:42:58 127.0.0.1 GET /scripts/..\../winnt/system32\cmd.exe /c+dir 200上面這行日誌表示在格林威治時間07:42:58(就是北京時間23:42:58)，有一個傢夥(入侵者)從127.0.0.1的IP在你的機器上利用Unicode漏洞(%c1%1c被解碼為“\”，實際的情況會因為Windows版本的不同而有略微的差別)運行了cmd.exe，參數是/c dir，運行結果成功(HTTP 200代表正確返回)。

　　大多數情況下，IIS的日誌會忠實地記錄它接收到的任何請求(也有特殊的不被IIS記錄的攻擊，這個我們以後再討論)。但是，IIS的日誌動輒數十兆、流量大的網站甚至數十G，人工檢查幾乎沒有可能，唯一的選擇就是使用日誌分析軟體，用任何語言編寫一個日誌分析軟體(其實就是文本過濾器)都非常簡單。

　　告訴大家一個簡單的方法，比方說你想知道有沒有人從80端口上試圖取得你的Global.asa文件，可以使用以下的命令:find “Global.asa” ex010318.log /i。這個命令使用的是NT自帶的find.exe工具，可以輕鬆的從文本文件中找到你想過濾的字符串，“Global.asa”是需要查詢的字符串，ex010318.log是待過濾的文本文件，/i代表忽略大小寫。因為我無意把這篇文章寫成微軟的Help文檔，所以關於這個命令的其他參數以及它的增強版FindStr.exe的用法請去查看Win2000的幫助文件。

　　無論是基於日誌分析軟體或者是Find命令，你都可以建立一張敏感字符串列表，包含已有的IIS漏洞(比如“+.htr”)以及未來將要出現的漏洞可能會調用的資源(比如Global.asa或者cmd.exe)，通過過濾這張不斷更新的字符串表，一定可以儘早了解入侵者的行動。

　　需要提醒的是，使用任何日誌分析軟體都會佔用一定的系統資源，因此，對於IIS日誌分析這樣低優先級的任務，放在夜裏空閒時自動執行會比較合適，如果再寫一段腳本把過濾後的可疑文本發送給系統管理員，那就更加完美了。同時，如果敏感字符串表較大，過濾策略複雜，我建議還是用C寫一個專用程式會比較合算。

　　2.基於安全日誌的檢測

　　通過基於IIS日誌的入侵監測，我們能提前知道窺伺者的行蹤(如果你處理失當，窺伺者隨時會變成入侵者)，但是IIS日誌不是萬能的，它在某種情況下甚至不能記錄來自80端口的入侵，根據我對IIS日誌系統的分析，IIS只有在一個請求完成後才會寫入日誌，換言之，如果一個請求中途失敗，日誌文件中是不會有它的蹤影的(這裡的中途失敗並不是指發生HTTP400錯誤這樣的情況，而是從TCP層上沒有完成HTTP請求，例如在POST大量數據時異常中斷)，對於入侵者來說，就有可能繞過日誌系統完成大量的活動。

　　而且，對於非80 Only的主機，入侵者也可以從其他的服務進入伺服器，因此，建立一套完整的安全監測系統是非常必要的。

　　Win2000自帶了相當強大的安全日誌系統，從用戶登錄到特權的使用都有非常詳細的記錄，可惜的是，默認安裝下安全審核是關閉的，以至於一些主機被黑後根本沒法追蹤入侵者。所以，我們要做的第一步是在管理工具-本地安全策略-本地策略-審核策略中打開必要的審核，一般來說，登錄事件與賬戶管理是我們最關心的事件，同時打開成功和失敗審核非常必要，其他的審核也要打開失敗審核，這樣可以使得入侵者步步維艱，一不小心就會露出馬腳。僅僅打開安全審核並沒有完全解決問題，如果沒有很好的配置安全日誌的大小及覆蓋方式，一個老練的入侵者就能夠通過洪水般的偽造入侵請求覆蓋掉他真正的行蹤。通常情況下，將安全日誌的大小指定為50MB並且只允許覆蓋7天前的日誌可以避免上述情況的出現。

　　除了安全日誌，系統日誌和應用程式日誌也是非常好的輔助監測工具，一般來說，入侵者除了在安全日誌中留下痕跡(如果他拿到了Admin許可權，那麼他一定會去清除痕跡的)，在系統和應用程式日誌中也會留下蛛絲馬跡，作為系統管理員，要有不放過任何異常的態度，這樣入侵者就很難隱藏他們的行蹤。

3.文件訪問日誌與關鍵文件保護

　　除了系統默認的安全審核外，對於關鍵的文件，我們還要加設文件訪問日誌，記錄對它們的訪問。

　　文件訪問有很多的選項:訪問、修改、執行、新建、屬性更改……一般來說，關注訪問和修改就能起到很大的監視作用。

　　例如，如果我們監視了系統目錄的修改、創建，甚至部分重要文件的訪問(例如cmd.exe，net.exe，system32目錄)，那麼，入侵者就很難在不引起我們注意的情況下安放後門。要注意的是，監視的關鍵文件和項目不能太多，否則不僅增加系統負擔，還會擾亂日常的日誌監測工作。關鍵文件不僅僅指的是系統文件，還包括有可能對系統管理員和其他用戶構成危害的任何文件，例如系統管理員的配置、桌面文件等等，這些都是有可能被用來竊取系統管理員資料和密碼的。

　　4.進程監控

　　進程監控技術是追蹤木馬後門的另一個有力武器，90%以上的木馬和後門是以進程的形式存在的。作為系統管理員，了解伺服器上運行的每個進程是職責之一(否則不要說安全，連系統優化都沒有辦法做)。做一份每台伺服器運行進程的列表非常必要，能幫助管理員一眼就發現入侵進程，異常的用戶進程或者異常的資源佔用都有可能是非法進程。除了進程外，dll也是危險的東西，例如把原本是exe類型的木馬改寫為dll後，使用rundll32運行就比較具有迷惑性。

　　5.註冊表校驗

　　一般來說，木馬或者後門都會利用註冊表來再次運行自己，所以，校驗註冊表來發現入侵也是常用的手法之一。一般來說，如果一個入侵者只懂得使用流行的木馬，那麼由於普通木馬只能寫入特定的幾個鍵值(比如Run、Runonce等等)，搜尋起來是相對容易的，但是對於可以自己編寫或改寫木馬的人來說，註冊表的任何地方都可以藏身，靠手工搜尋就沒有可能了。應對的方法是監控註冊表的任何改動，這樣改寫註冊表的木馬就沒有辦法遁形了。監控註冊表的軟體非常多，很多追查木馬的軟體都帶有這樣的功能，一個監控軟體加上定期對註冊表進行備份，萬一註冊表被非授權修改，系統管理員也能在最短的時間內恢復。

　　6.端口監控

　　雖然說不使用端口的木馬已經出現，但是大部分的後門和木馬還是使用TCP連接的，監控端口的狀況對於由於種種原因不能封鎖端口的主機來說就是非常重要的了。對於系統管理員來說，了解自己伺服器上開放的端口甚至比對進程的監控更加重要，常常使用netstat查看伺服器的端口狀況是一個良好的習慣，但是並不能24小時這樣做，而且NT的安全日誌有一個缺陷，喜歡記錄機器名而不是IP，如果你既沒有防火牆又沒有入侵檢測軟體，倒是可以用腳本來進行IP日誌記錄的，看著這個命令:netstat -n -p tcp 10>>Netstat.log，這個命令每10秒鐘自動查看一次TCP的連接狀況，基於這個命令我們做一個Netlog.bat文件:time /t>>Netstat.log Netstat -n -p tcp 10>>Netstat.log。這個腳本將會自動記錄時間和TCP連接狀態，需要注意的是:如果網站訪問量比較大，這樣的操作是需要消耗一定的CPU時間的，而且日誌文件將越來越大，所以請慎之又慎。

　　一旦發現異常的端口，可以使用特殊的程式來關聯端口、可執行文件和進程(如inzider就有這樣的功能，它可以發現伺服器監聽的端口並找出與該端口關聯的文件，inzider可以從http://www.nttoolbox.com下載)，這樣無論是使用TCP還是UDP的木馬都無處藏身。

　　7.終端服務的日誌監控

　　單獨將終端服務(Terminal Service)的日誌監控分列出來是有原因的，微軟Win2000伺服器版中自帶的終端服務Terminal Service是一個基於遠程桌面協議(RDP)的工具，它的速度非常快，也很穩定，可以成為一個很好的遠程管理軟體，但是因為這個軟體功能強大而且只受到密碼的保護，所以也非常的危險，一旦入侵者擁有了管理員密碼，就能夠像本機一樣操作遠程伺服器。雖然很多人都在使用終端服務來進行遠程管理，但是，並不是人人都知道如何對終端服務進行審核。大多數的終端伺服器上並沒有打開終端登錄的日誌。其實打開日誌審核是很容易的，在管理工具中打開遠程式控制制服務配置(Terminal Service Configration)，點擊“連接”，右擊你想配置的RDP服務(比如RDP-TCP Microsoft RDP 5.0)，選中書籤“許可權”，點擊左下角的“高級”，看見上面那個“審核”了麼?我們來加入一個Everyone組，這代表所有的用戶，然後審核它的“連接”、“斷開”、“登出”的成功和“登錄”的成功和失敗就足夠了。審核太多了反而不好，這個審核是記錄在安全日誌中的，可以從“管理工具”→“日誌查看器”中查看。現在什麼人什麼時候登錄我都一清二楚了，可是美中不足的是:這個破爛玩藝居然不記錄客戶端的IP(只能查看線上用戶的IP)，而是華而不實地記錄什麼機器名，倒!要是別人起個PIG的機器名你只好受他的嘲弄了，不知道微軟是怎麼想的，看來還是不能完全依賴微軟呀，我們自己來吧，寫個程式，一切搞定，你會C麼?不會?VB呢?也不會?Delphi?……什麼?你什麼編程語言都不會?我倒，畢竟系統管理員不是程式員呀，別急別急，我給你想辦法，我們來建立一個bat文件，叫做TSLog.bat。這個文件用來記錄登錄者的IP，內容如下:time /t >>TSLog.log netstat -n -p tcp 　 find “:3389”>>TSLog.logstart Explorer。我來解釋一下這個文件的含義:第一行是記錄用戶登錄的時間，time /t的意思是直接返回系統時間(如果不加/t，系統會等待你輸入新的時間)，然後我們用追加符號“>>”把這個時間記入TSLog.log作為日誌的時間字段;第二行是記錄用戶的IP地址，netstat是用來顯示當前網路連接狀況的命令，-n表示顯示IP和端口而不是域名、協議，-ptcp是只顯示tcp協議，然後我們用管道符號“　”把這個命令的結果輸出給find命令，從輸出結果中搜尋包含“3389”的行(這就是我們要的客戶的IP所在的行，如果你更改了終端服務的端口，這個數值也要作相應的更改)。最後我們同樣把這個結果重定向到日誌文件TSLog.log中去，於是在TSLog.log文件中，記錄格式如下:

　　22:40 TCP192.168.12.28:3389

　　192.168.10.123:4903ESTABLISHED 22:54 TCP192.168.12.28:338

　　192.168.12.29:1039ESTABLISHED也就是說只要這個TSLog.bat文件一運行，所有連在3389端口上的IP都會被記錄，那麼如何讓這個批處理文件自動運行呢?我們知道，終端服務允許我們為用戶自定義起始的程式，在終端服務配置中，
我們覆蓋用戶的登錄腳本設置並指定TSLog.bat為用戶登錄時需要打開的腳本，這樣每個用戶登錄後都必須執行這個腳本，因為默認的腳本(相當於shell環境)是Explorer(資源管理器)，所以我在TSLog.bat的最後一行加上了啟動Explorer的命令start Explorer。如果不加這一行命令，用戶是沒有辦法進入桌面的!當然，如果你只需要給用戶特定的shell，例如:cmd.exe或者word.exe你也可以把start Explorer替換成任意的shell。這個腳本也可以有其他的寫法，作為系統管理員，你完全可以自由發揮你的想像力、自由利用自己的資源，例如，寫一個腳本把每個登錄用戶的IP發送到自己的信箱，對於重要的伺服器也是一個很好的方法。正常情況下一般的用戶沒有查看終端服務設置的許可權，所以他不會知道你對登錄進行了IP審核，只要把TSLog.bat文件和TSLog.log文件放在比較隱蔽的目錄裏就足夠了。不過，需要注意的是這只是一個簡單的終端服務日誌策略，並沒有太多的安全保障措施和許可權機制。如果伺服器有更高的安全要求，那還是需要通過編程或購買入侵監測軟體來完成的。

　　8.陷阱技術

　　早期的陷阱技術只是一個偽裝的端口服務用來監測掃描，隨著“矛”和“盾”的不斷升級，現在的陷阱服務或者陷阱主機已經越來越完善，越來越像真正的服務，不僅能截獲半開式掃描，還能偽裝伺服器一端的回應並記錄入侵者的行為，從而幫助判斷入侵者的身份。我本人對於陷阱技術並不是非常感興趣，一來從技術人員角度來說，低調行事更符合安全的原則;二來陷阱主機反而成為入侵者跳板的情況並不僅僅出現在小說中，在現實生活中也屢見不鮮。如果架設了陷阱反而被用來入侵，那真是偷雞不成了蝕把米。記得CoolFire說過一句話，可以用來作為對陷阱技術介紹的一個總結:在不了解情況時，不要隨便進入別人的系統，因為你永遠不能事先知道系統管理員是真的白癡或者是偽裝成白癡的天才……

　　入侵監測的初步介紹就到這裡，在實際運用中，系統管理員對基礎知識掌握的情況直接關係到他的安全敏感度，只有身經百戰知識豐富，仔細小心的系統管理員才能從一點點的蛛絲馬跡中發現入侵者的影子，未雨綢繆，阻止入侵的行動。

嗯...不錯的文章
至少知道入侵檢測是怎麼回事

很久沒有使用上述的os系統了
目前使用xp好幾年了 不知道有沒有這方面的資訊可以參考呢謝謝

win2k是舊了一點
但是IIS在win2k3還是有阿
而且裡面觀念很不錯
希望能加油努力
多PO一些文章