入侵检测筛选器
入侵检测筛选器入侵检测筛选器Microsoft Internet Security and Acceleration (ISA) Server 2004 中包括入侵检测筛选器:
DNS 入侵检测筛选器与 DNS 服务器发布规则一起工作。筛选器拦截并分析发往内部网络的所有入站 DNS 通讯。 POP3 应用程序筛选器检查邮局协议版本 3 (POP3) 缓冲区溢出攻击。
DNS 筛选器随 ISA 服务器安装的 DNS 应用程序筛选器拦截并分析发往内部网络的 DNS 通讯。DNS 筛选器是 ISA 服务器入侵检测机制的主体。当有人试图对您的网络发起攻击时,入侵检测能够加以识别,并且在攻击发生时能够执行一组配置好的操作或者发出相应的警报。为检测到不受欢迎的入侵者,ISA 服务器将网络通讯和日志项与已知攻击方法进行比较。可疑的活动会触发警报。操作包括连接终止、服务终止、电子邮件警报、日志记录及其他。
有关说明,请参阅启用一般性攻击的入侵检测和启用 DNS 攻击的入侵检测。
如果启用入侵检测,可以配置下列哪些入侵会触发警报:
所有端口扫描攻击 枚举端口扫描攻击 IP 半扫描攻击 Land 攻击 循环 Ping 攻击UDP炸弹攻击 Windows 带外攻击 另外,可以配置下列哪些 DNS 攻击会触发警报:
DNS 主机名溢出。当主机名的 DNS 响应超出某个固定长度(255 字节)时,将发生 DNS主机名溢出。当复制此主机名时,不检查主机名长度的应用程序可能溢出内部缓冲区,使远程攻击者可以在目标计算机上执行任意命令。DNS 长度溢出。Internet 协议 (IP) 地址的 DNS 响应包含应为 4 字节的长度字段。通过使用较大的值设置 DNS 响应的格式,某些执行 DNS 查找的应用程序将会溢出内部缓冲区,使远程攻击者可以在目标计算机上执行任意命令。
ISA 服务器还会检查 RDLength 的值是否超过 DNS 响应其余部分的大小。DNS 区域传输。当客户端系统使用 DNS 客户端应用程序从内部 DNS 服务器、通过任意源端口传输区域时,将发生 DNS 区域传输。所有端口扫描攻击此警报通知您:某人试图访问的端口数超出了预配置的值。您可以指定一个阈值,以便指出允许访问的端口数。枚举端口扫描攻击此警报通知您:有人试图通过逐个探测端口要求响应的方法来对计算机上运行的服务进行计数。
如果发生此警报,您应该确定端口扫描的来源。将其与目标计算机上运行的服务相比较。同时,确定扫描的来源和意向。检查访问日志以便找出未经授权的访问迹象。如果确实检测到未经授权的访问迹象,应该认为系统已受到威胁并应采取相应的措施。IP 半扫描攻击该警报通知您有人反复尝试发送带有无效标志的传输控制协议 (TCP)数据包。
在正常的 TCP 连接中,源系统通过向目标系统上的端口发送 SYN 数据包来初始化连接。如果有服务正在该端口上侦听,该服务将发出 SYN/ACK 数据包作为响应。然后初始化连接的客户端发出 ACK 数据包作为响应,从而建立连接。如果目标主机等待的不是指定端口上的连接,将发出 RST 数据包作为响应。在收到来自源系统的最后一个 ACK 数据包之前,大多数系统日志都不会记录完成的连接。不按照此顺序发送其他类型的数据包会导致目标主机发出有用的响应,但不会导致连接被记入日志中。这称为 TCP 半扫描或秘密扫描,因为它不在所扫描的主机上生成日志条目。
如果发生此警报,则记录扫描发生的来源地址。如果适用,请配置 ISA 服务器规则以阻止来自该扫描来源的通讯。Land 攻击此警报通知您:有人使用伪造的与目标 IP 地址和端口相同的源 IP 地址和端口号发送 TCP SYN 数据包。如果攻击成功,将导致某些 TCP 实现进入循环,从而引起计算机故障。循环 Ping 攻击此警报通知您:接收到的 IP 片段数据大于 IP 数据包的最大大小。如果攻击成功,则内核缓冲区将溢出,导致计算机出现故障。UDP 炸弹攻击此警报通知您:有人试图发送非法的用户数据报协议 (UDP) 数据包。在某些字段中使用非法值构造的 UDP 数据包将导致某些早期操作系统在接收到数据包时出现故障。如果目标机器确实出现故障,通常很难确定原因。Windows 带外攻击此警报通知您:有人试图对受 ISA 服务器保护的计算机进行带外拒绝服务攻击。如果攻击成功,将导致计算机出现故障,或导致受害计算机的网络连接丢失。POP 筛选器邮局协议 (POP)筛选器拦截并分析发往内部网络的 POP 通讯。不仅如此,应用程序筛选器还检查 POP 缓冲区溢出攻击。
当远程攻击者试图通过造成 POP 服务器上的内部缓冲区溢出而获取此服务器的根访问权时,就发生了 POP 缓冲区溢出攻击。