深入解析入侵检测初步(3)

入侵检测注意事项分析:

终端服务的日志监控

单独将终端服务(Terminal Service)的日志监控分列出来是有原因的,微软Win2000服务器版中自带的终端服务Terminal Service是一个基于远程桌面协议(RDP)的工具,它的速度非常快,也很稳定,可以成为一个很好的远程管理软件,但是因为这个软件功能强大而且只受到密码的保护,所以也非常的危险,一旦入侵者拥有了管理员密码,就能够像本机一样操作远程服务器。

虽然很多人都在使用终端服务来进行远程管理,但是,并不是人人都知道如何对终端服务进行审核。大多数的终端服务器上并没有打开终端登录的日志。其实打开日志审核是很容易的,在管理工具中打开远程控制服务配置(Terminal Service Configration),点击“连接”,右击你想配置的RDP服务(比如RDP-TCP Microsoft RDP 5.0),选中书签“权限”,点击左下角的“高级”,看见上面那个“审核”了么?我们来加入一个Everyone组,这代表所有的用户,然后审核它的“连接”、“断开”、“注销”的成功和“登录”的成功和失败就足够了。

审核太多了反而不好,这个审核是记录在安全日志中的,可以从“管理工具”→“日志查看器”中查看。现在什么人什么时候登录我都一清二楚了,可是美中不足的是:这个破烂玩艺居然不记录客户端的IP(只能查看在线用户的IP),而是华而不实地记录什么机器名,倒!要是别人起个PIG的机器名你只好受他的嘲弄了,不知道微软是怎么想的,看来还是不能完全依赖微软呀,我们自己来吧,写个程序,一切搞定,你会C么?不会?VB呢?也不会?Delphi?……什么?你什么编程语言都不会?我倒,毕竟系统管理员不是程序员呀,别急别急,我给你想办法,我们来建立一个bat文件,叫做TSLog.bat。这个文件用来记录登录者的IP,内容如下:time /t >>TSLog.log netstat -n -p tcp | find “:3389”>>TSLog.logstart Explorer。

我来解释一下TSLog.bat这个文件的含义:第一行是记录用户登录的时间,time /t的意思是直接返回系统时间(如果不加/t,系统会等待你输入新的时间),然后我们用追加符号“>>”把这个时间记入TSLog.log作为日志的时间字段;第二行是记录用户的IP地址,netstat是用来显示当前网络连接状况的命令,-n表示显示IP和端口而不是域名、协议,-ptcp是只显示tcp协议,然后我们用管道符号“|”把这个命令的结果输出给find命令,从输出结果中查找包含“3389”的行(这就是我们要的客户的IP所在的行,如果你更改了终端服务的端口,这个数值也要作相应的更改)。最后我们同样把这个结果重定向到日志文件TSLog.log中去,于是在TSLog.log文件中,记录格式如下:

22:40 TCP192.168.12.28:3389

192.168.10.123:4903ESTABLISHED 22:54 TCP192.168.12.28:338

192.168.12.29:1039ESTABLISHED也就是说只要这个TSLog.bat文件一运行,所有连在3389端口上的IP都会被记录,那么如何让这个批处理文件自动运行呢?我们知道,终端服务允许我们为用户自定义起始的程序,在终端服务配置中,我们覆盖用户的登录脚本设置并指定TSLog.bat为用户登录时需要打开的脚本,这样每个用户登录后都必须执行这个脚本,因为默认的脚本(相当于shell环境)是Explorer(资源管理器),所以我在TSLog.bat的最后一行加上了启动Explorer的命令start Explorer。如果不加这一行命令,用户是没有办法进入桌面的!

当然,如果你只需要给用户特定的shell,例如:cmd.exe或者word.exe你也可以把start Explorer替换成任意的shell。这个脚本也可以有其他的写法,作为系统管理员,你完全可以自由发挥你的想象力、自由利用自己的资源,例如,写一个脚本把每个登录用户的IP发送到自己的信箱,对于重要的服务器也是一个很好的方法。

正常情况下一般的用户没有查看终端服务设置的权限,所以他不会知道你对登录进行了IP审核,只要把TSLog.bat文件和TSLog.log文件放在比较隐蔽的目录里就足够了。不过,需要注意的是这只是一个简单的终端服务日志策略,并没有太多的安全保障措施和权限机制。如果服务器有更高的安全要求,那还是需要通过编程或购买入侵监测软件来完成的。

陷阱技术

早期的陷阱技术只是一个伪装的端口服务用来监测扫描,随着“矛”和“盾”的不断升级,现在的陷阱服务或者陷阱主机已经越来越完善,越来越像真正的服务,不仅能截获半开式扫描,还能伪装服务器一端的回应并记录入侵者的行为,从而帮助判断入侵者的身份。

我本人对于陷阱技术并不是非常感兴趣,一来从技术人员角度来说,低调行事更符合安全的原则;二来陷阱主机反而成为入侵者跳板的情况并不仅仅出现在小说中,在现实生活中也屡见不鲜。如果架设了陷阱反而被用来入侵,那真是偷鸡不成了蚀把米。记得CoolFire说过一句话,可以用来作为对陷阱技术介绍的一个总结:在不了解情况时,不要随便进入别人的系统,因为你永远不能事先知道系统管理员是真的白痴或者是伪装成白痴的天才……

入侵监测的初步介绍就到这里,在实际运用中,系统管理员对基础知识掌握的情况直接关系到他的安全敏感度,只有身经百战知识丰富,仔细小心的系统管理员才能从一点点的蛛丝马迹中发现入侵者的影子,未雨绸缪,阻止入侵的行动。

入侵检测的初步实现的更多内容请读者阅读:

深入解析入侵检测初步(1)

深入解析入侵检测初步(2)

【编辑推荐】

  1. 网络安全城中城 七款入侵检测工具推荐
  2. 浅析几个著名的入侵检测系统 图示
  3. OSSEC HIDS:开源的基于主机的入侵检测系统
  4. Snort:一款广受欢迎的开源IDS(入侵检测系统)工具

 

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/137008.html<

(0)
管理的头像管理
上一篇2025-03-02 08:43
下一篇 2025-03-02 08:44

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注