网络入侵检测初步探测的方法！

•     而且，对于非80 Only的主机，入侵者也可以从其它的服务进入服务器，因此，建立一套完整的安全监测系统是非常必要的。

      Win2000自带了相当强大的安全日志系统，从用户登录到特权的使用都有非常详细的记录，可惜的是，默认安装下安全审核是关闭的，以至于一些主机被黑后根本没法追踪入侵者。所以，我们要做的第一步是在管理工具-本地安全策略-本地策略-审核策略中打开必要的审核，一般来说，登录事件与账户管理是我们最关心的事件，同时打开成功和失败审核非常必要，其他的审核也要打开失败审核，这样可以使得入侵者步步维艰，一不小心就会露出马脚。仅仅打开安全审核并没有完全解决问题，如果没有很好的配置安全日志的大小及覆盖方式，一个老练的入侵者就能够通过洪水般的伪造入侵请求覆盖掉他真正的行踪。通常情况下，将安全日志的大小指定为50MB并且只允许覆盖7天前的日志可以避免上述情况的出现。

      除了安全日志，系统日志和应用程序日志也是非常好的辅助监测工具，一般来说，入侵者除了在安全日志中留下痕迹(如果他拿到了Admin权限，那么他一定会去清除痕迹的)，在系统和应用程序日志中也会留下蛛丝马迹，作为系统管理员，要有不放过任何异常的态度，这样入侵者就很难隐藏他们的行踪。

      3.文件访问日志与关键文件保护

      除了系统默认的安全审核外，对于关键的文件，我们还要加设文件访问日志，记录对它们的访问。

      文件访问有很多的选项:访问、修改、执行、新建、属性更改……一般来说，关注访问和修改就能起到很大的监视作用。

      例如，如果我们监视了系统目录的修改、创建，甚至部分重要文件的访问(例如cmd.exe，net.exe，system32目录)，那么，入侵者就很难在不引起我们注意的情况下安放后门。要注意的是，监视的关键文件和项目不能太多，否则不仅增加系统负担，还会扰乱日常的日志监测工作。关键文件不仅仅指的是系统文件，还包括有可能对系统管理员和其他用户构成危害的任何文件，例如系统管理员的配置、桌面文件等等，这些都是有可能被用来窃取系统管理员资料和密码的。

      4.进程监控

      进程监控技术是追踪木马后门的另一个有力武器，90%以上的木马和后门是以进程的形式存在的。作为系统管理员，了解服务器上运行的每个进程是职责之一(否则不要说安全，连系统优化都没有办法做)。做一份每台服务器运行进程的列表非常必要，能帮助管理员一眼就发现入侵进程，异常的用户进程或者异常的资源占用都有可能是非法进程。除了进程外，dll也是危险的东西，例如把原本是exe类型的木马改写为dll后，使用rundll32运行就比较具有迷惑性。

      5.注册表校验 　

      一般来说，木马或者后门都会利用注册表来再次运行自己，所以，校验注册表来发现入侵也是常用的手法之一。一般来说，如果一个入侵者只懂得使用流行的木马，那么由于普通木马只能写入特定的几个键值(比如Run、Runonce等等)，查找起来是相对容易的，但是对于可以自己编写或改写木马的人来说，注册表的任何地方都可以藏身，靠手工查找就没有可能了。应对的方法是监控注册表的任何改动，这样改写注册表的木马就没有办法遁形了。监控注册表的软件非常多，很多追查木马的软件都带有这样的功能，一个监控软件加上定期对注册表进行备份，万一注册表被非授权修改，系统管理员也能在最短的时间内恢复。

      6.端口监控

      虽然说不使用端口的木马已经出现，但是大部分的后门和木马还是使用TCP连接的，监控端口的状况对于由于种种原因不能封锁端口的主机来说就是非常重要的了。对于系统管理员来说，了解自己服务器上开放的端口甚至比对进程的监控更加重要，常常使用netstat查看服务器的端口状况是一个良好的习惯，但是并不能24小时这样做，而且NT的安全日志有一个缺陷，喜欢记录机器名而不是IP，如果你既没有防火墙又没有入侵检测软件，倒是可以用脚本来进行IP日志记录的，看着这个命令:netstat -n -p tcp 10>>Netstat.log，这个命令每10秒钟自动查看一次TCP的连接状况，基于这个命令我们做一个Netlog.bat文件:time /t>>Netstat.log Netstat -n -p tcp 10>>Netstat.log。这个脚本将会自动记录时间和TCP连接状态，需要注意的是:如果网站访问量比较大，这样的操作是需要消耗一定的CPU时间的，而且日志文件将越来越大，所以请慎之又慎。

  
  

• 上一页 [1] [2] [3] [4] 下一页 
• 复制本页网址和标题，发送给你QQ/Msn的好友一起分享
  
  
• 网络入侵检测初步探测的方法！ 相关文章：
• ·网络入侵检测初步探测的方法！
• 网络入侵检测初步探测的方法！ 相关软件

上一篇:脱俗!让Live Messenger有所不同

下一篇:Vista安装后越来越慢的四大原因

• 特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作
• 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转
• 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源：http://www.hackhome.com

精品推荐

热点TOP10

特别推荐