Win2K入侵检测实例分析
假设入侵行为2及应对措施
再回到假设的环境中来。在发现了一些机器没有被防火墙保护以及扫描到一些开放端口后,现在有几条路摆在我面前。其一是寻找你的网络中的弱点。Windows网络口令用于使用Web服务器上的Web服务,这些网络登录信息对我来说是最有用的,因此我决定朝这个方向试一试。首先从一个机器下载帐号名列表,从中选出一个很少使用的,例如guest帐号。我用这个帐号尝试多次登录直到它被锁住,这样我就能推测设置的是什么帐号锁住策略了。然后我编写一个脚本对每个帐号都尝试多次登录,但不触发锁住条件。当然,管理员帐号一般是不会被锁住的。我启动脚本,并运行Whisker扫描器程序,它使用我为IIS服务器编写的一个脚本,来试探公共代理服务器信息。现在,可以坐等结果了。
在我的上述探测过程中,你那端应该从一些关键入侵检测记数器指标中接收到许多警报信息。第一个应该是Web Service-Connection Attempts/sec:
这个指标能显示出Web信息量的突然增加。
另一个非常重要的记数器是Web Service-Not Found Errors/sec:
由于类似于Whisker 的Web 扫描器要检查指定URL的存在,因此以上性能记数器就会显示出通信量的急剧增长和404 错误信息。因此,可以预先设定通信量的正常水平,然后一旦有针对你的扫描行为时,就会发出警报。
与此同时,在你的网络上也会有穷举法攻击(brute-force attack)。在这种情况下,能够帮助你的两个性能记数器分别是Server-Logon/sec和Server-Errors Logon:
对每秒两个以上的登录和五个以上的登录错误设置警报,这样就能知道是否有穷举攻击正在发生。同时,对安全事件日志进行检查,就能验证出大量的失败登录是否来自同一个计算机。
