 请在 ISA Server Guides and Articles 获取最新的 ISA 服务器内容。
|
ISA Server 2004 包括入侵检测筛选器:
随 ISA 服务器安装的 DNS 应用程序筛选器拦截并分析发往内部网络的 DNS 通讯。DNS 筛选器是 ISA 服务器入侵检测机制的中枢。当有人试图对您的网络发起攻击时,入侵检测能够加以识别,并且在攻击发生时能够执行一组配置好的操作或者发出警报。为检测到不受欢迎的入侵者,ISA 服务器将网络通讯和日志项与已知攻击方法进行比较。可疑的活动会触发警报。操作包括连接终止、服务终止、电子邮件警报、日志记录及其他。
有关说明,请参阅启用一般性攻击的入侵检测和启用 DNS 攻击的入侵检测。
如果启用入侵检测,可以配置下列哪些入侵会触发警报:
另外,可以配置下列哪些 DNS 攻击会触发警报:
此警报通知您:某人试图访问的端口数超出了预配置的值。您可以指定一个阈值,以便指出允许访问的端口数。
此警报通知您:有人试图通过逐个探测端口要求响应的方法来对计算机上运行的服务进行计数。
如果发生此警报,您应该确定端口扫描的来源。将其与目标计算机上运行的服务相比较。同时,确定扫描的来源和意向。检查访问日志以便找出未经授权的访问的迹象。如果确实检测到存在未经授权的访问的迹象,应该认为系统已受到威胁并应采取适当的操作。
此警报通知您:曾有人多次尝试发送带有无效标志的 TCP 数据包。
在正常 TCP 连接过程中,通过将 SYN 数据包发送到目标系统上的端口,源发起连接。如果某个服务正在侦听该端口,则该服务将使用 SYN/ACK 数据包进行响应。然后发起连接的客户端使用 ACK 数据包进行响应,从而建立连接。如果目标主机没有等待特定端口上的某个连接,那么它将通过 RST 数据包进行响应。在接收到来自源的最终 ACK 数据包之前,大多数系统日志不记录完整的连接。发送不遵从此顺序的其他类型的数据包可以引起来自目标主机的有用响应,而不会导致记录连接。这被认为是 TCP 半扫描(或者秘密扫描),原因是它不生成有关已扫描主机上的日志项。
如果发生此警报,则记录扫描发生的来源地址。如果适用,请配置 ISA 服务器规则以阻止来自该扫描来源的通讯。
此警报通知您:有人使用与目标 IP 地址和端口相匹配的假的源 IP 地址和端口号发送了 TCP SYN 数据包。如果攻击成功,将导致某些 TCP 实现进入循环,从而引起计算机故障。
此警报通知您:接收到的 IP 片段数据大于 IP 数据包的最大大小。如果攻击成功,则内核缓冲区将溢出,导致计算机出现故障。
此警报通知您:有人试图发送非法的用户数据报协议 (UDP) 数据包。在某些字段中使用非法值而构建的 UDP 数据包将导致某些早期操作系统在接收到数据包时出现故障。如果目标机器确实出现故障,通常很难确定原因。
此警报通知您:有人试图对受 ISA 服务器保护的计算机进行带外拒绝服务攻击。如果攻击成功,将导致计算机出现故障,或导致受害计算机的网络连接丢失。
邮局协议 (POP) 筛选器拦截并分析发往内部网络的 POP 通讯。不仅如此,应用程序筛选器还检查 POP 缓冲区溢出攻击。
当远程攻击者试图通过造成 POP 服务器上的内部缓冲区溢出来获取此服务器的根访问权时,就发生了 POP 缓冲区溢出攻击。
|
请在 ISA Server Guides and Articles 获取最新的 ISA 服务器内容。
|