攻击检测

所有网络管理员共同关心的问题都与攻击有关。下面列出了一些常见攻击：

• DNS 缓存中毒
• IP 欺骗
• DHCP 中毒
• SYN Flood 攻击

使用 ISA 服务器，可以配置预定义的警报，以便在有此类攻击出现时向您发出警告。有关警报的详细信息，请参阅警报。

DNS 缓存中毒

当 DNS 服务器受到欺骗，以致于相信所接收到的信息是可信的信息时，便会发生 DNS 缓存中毒。在 DNS 缓存中毒过程中，攻击者破坏 DNS 服务器缓存，以使您的 DNS 服务器提供包含攻击者选择的 IP 地址（而不是真正的 IP 地址）的错误应答。例如，假定攻击者使用了 DNS 缓存中毒向您的 DNS 服务器中的 www.microsoft.com 插入受感染的网站。试图访问 Microsoft 网站以下载最新的 Internet Explorer 修补程序的用户会在不知不觉中被重定向到攻击者的网站并下载蠕虫病毒。

IP 欺骗

在欺骗数据包时发生 IP 欺骗攻击。当在数据包中指定的源满足下列条件之一时被视为欺骗数据包：

• 源 IP 地址不能通过接收数据包的网络适配器进行路由。
• 源 IP 地址不是使用 ISA 服务器创建的网络的成员或与接收数据包的网络适配器关联的网络集的成员。
• 源 IP 地址不是单播地址。

DHCP 中毒

当恶意用户为防火墙上的网络适配器分配错误的地址，从而导致 IP 欺骗检测机制无法正常工作时，便会发生 DHCP 中毒。

SYN Flood 攻击

当试图通过有意地使用非法 TCP 连接请求来使网络过载，从而使得合法用户的服务请求被拒绝时，便会发生 SYN Flood 攻击。

在正常的 TCP 连接中，计算机发送 SYN 数据包。SYN 是“synchronize”（同步）的缩写，是一台计算机试图使用 TCP 连接到另一台计算机时所发送的第一个数据包。目标计算机确认连接尝试并返回 SYN 数据包。在接收到 SYN 数据包时，源计算机以 ACK 数据包响应。ACK 是“acknowledge”（确认）的缩写。

在 SYN Flood 攻击中，源计算机从不发送 ACK 数据包。目标计算机将一直等待，直到连接超时并中断。当发生多次这样的发送 ACK 数据包失败时，计算机便总是保持繁忙状态，从而达到了拒绝服务攻击的目的。

警报

为了帮助您检测到所尝试的攻击，ISA 服务器预配置并启用了下列警报：

• 无效 DHCP 提供。DHCP 提供的 IP 地址无效。
• IP 欺骗。IP 数据包源地址无效。
• 超大 UDP 数据包。ISA 服务器丢弃了一个 UDP 数据包，原因是它超过了在注册表项中定义的 UDP 数据包最大大小。
• SYN 攻击。ISA 服务器检测到 SYN 攻击。

入侵检测

可以配置入侵检测筛选器来检测特定的攻击。有关详细信息，请参阅入侵检测筛选器。

配置了下列警报：

• DNS 入侵。发生了主机名溢出、长度溢出或区域复制攻击。
• DNS 区域复制入侵。发生了区域复制攻击。
• 检测到入侵。外部用户曾尝试入侵。
• POP 入侵。检测到 POP 缓冲区溢出。

一般性攻击检测

此外，还可以检测到如下的一般性攻击：

• Windows 带外攻击 (WinNuke)
• Land 攻击
• 循环 Ping 攻击
• IP 半扫描攻击
• UDP 炸弹攻击
• 端口扫描攻击

有关这些攻击的详细信息，请参阅入侵检测筛选器。

---

请在 ISA Server Guides and Articles 获取最新的 ISA 服务器内容。