网络入侵检测初步探测的方法!
时间:2007-03-12 11:42:27 来源:站长资讯收集整理 作者:佚名
192.168.12.29:1039 ESTABLISHED也就是说只要这个TSLog.bat文件一运行,所有连在3389端口上的IP都会被记录,那么如何让这个批处理文件自动运行呢?我们知道,终端服务允许我们为用户自定义起始的程序,在终端服务配置中,我们覆盖用户的登录脚本设置并指定TSLog.bat为用户登录时需要打开的脚本,这样每个用户登录后都必须执行这个脚本,因为默认的脚本(相当于shell环境)是Explorer(资源管理器),所以我在TSLog.bat的最后一行加上了启动Explorer的命令start Explorer。如果不加这一行命令,用户是没有办法进入桌面的!当然,如果你只需要给用户特定的shell,例如:cmd.exe或者word.exe你也可以把start Explorer替换成任意的shell。这个脚本也可以有其他的写法,作为系统管理员,你完全可以自由发挥你的想象力、自由利用自己的资源,例如,写一个脚本把每个登录用户的IP发送到自己的信箱,对于重要的服务器也是一个很好的方法。正常情况下一般的用户没有查看终端服务设置的权限,所以他不会知道你对登录进行了IP审核,只要把TSLog.bat文件和TSLog.log文件放在比较隐蔽的目录里就足够了。不过,需要注意的是这只是一个简单的终端服务日志策略,并没有太多的安全保障措施和权限机制。如果服务器有更高的安全要求,那还是需要通过编程或购买入侵监测软件来完成的。
8.陷阱技术
早期的陷阱技术只是一个伪装的端口服务用来监测扫描,随着“矛”和“盾”的不断升级,现在的陷阱服务或者陷阱主机已经越来越完善,越来越像真正的服务,不仅能截获半开式扫描,还能伪装服务器一端的回应并记录入侵者的行为,从而帮助判断入侵者的身份。我本人对于陷阱技术并不是非常感兴趣,一来从技术人员角度来说,低调行事更符合安全的原则;二来陷阱主机反而成为入侵者跳板的情况并不仅仅出现在小说中,在现实生活中也屡见不鲜。如果架设了陷阱反而被用来入侵,那真是偷鸡不成了蚀把米。记得CoolFire说过一句话,可以用来作为对陷阱技术介绍的一个总结:在不了解情况时,不要随便进入别人的系统,因为你永远不能事先知道系统管理员是真的白痴或者是伪装成白痴的天才……
入侵监测的初步介绍就到这里,在实际运用中,系统管理员对基础知识掌握的情况直接关系到他的安全敏感度,只有身经百战知识丰富,仔细小心的系统管理员才能从一点点的蛛丝马迹中发现入侵者的影子,未雨绸缪,阻止入侵的行动。
8.陷阱技术
早期的陷阱技术只是一个伪装的端口服务用来监测扫描,随着“矛”和“盾”的不断升级,现在的陷阱服务或者陷阱主机已经越来越完善,越来越像真正的服务,不仅能截获半开式扫描,还能伪装服务器一端的回应并记录入侵者的行为,从而帮助判断入侵者的身份。我本人对于陷阱技术并不是非常感兴趣,一来从技术人员角度来说,低调行事更符合安全的原则;二来陷阱主机反而成为入侵者跳板的情况并不仅仅出现在小说中,在现实生活中也屡见不鲜。如果架设了陷阱反而被用来入侵,那真是偷鸡不成了蚀把米。记得CoolFire说过一句话,可以用来作为对陷阱技术介绍的一个总结:在不了解情况时,不要随便进入别人的系统,因为你永远不能事先知道系统管理员是真的白痴或者是伪装成白痴的天才……
入侵监测的初步介绍就到这里,在实际运用中,系统管理员对基础知识掌握的情况直接关系到他的安全敏感度,只有身经百战知识丰富,仔细小心的系统管理员才能从一点点的蛛丝马迹中发现入侵者的影子,未雨绸缪,阻止入侵的行动。
文章评论
共有 位CH网友发表了评论 查看完整内容