2001年5月3日
Internet Security and Acceleration (ISA) Server提供了集成的入侵检测机制。可以识别出试图入侵网络的恶意攻击。防火墙管理员可以进行设置,使之在检查到入侵信息时触发报警信息。还可以指定当检测到攻击时,系统需要执行的操作。您可以在可扩展报警页了解有关报警的更多信息。这可以包括给管理员发送电子邮件或者页面信息、停止Firewall 服务、写入系统事件日志或运行程序和脚本。ISA Server可以在包过滤层和应用程序过滤器层实施入侵检测。
包过滤器入侵
在包过滤器层,ISA Server可以检测到下列攻击:
- 所有的端口扫描攻击:当攻击者试图访问的端口数量超过预定义端口数量时,将发生这类攻击。管理员可以指定一个阈值,规定可以访问的端口数量。
- 列举端口扫描攻击:攻击者试图通过探测每个端口,观察返回的消息,获取运行在计算机上的服务信息。
- IP半扫描攻击: 不断重复的尝试连接目标计算机,不建立相应的连接。这就意味着攻击者试图探测开放的端口,同时逃避系统的日志记录。
- Land攻击: Land攻击利用与目的IP地址和端口匹配的伪造IP地址和端口号发起TCP连接请求。如果攻击成功的建立,就可以引起一些TCP连接进入循环,直到使计算机崩溃。
- 连续Ping攻击:在ICMP的echo请求/ping数据包中附加大量的额外信息。如果攻击成功,当计算机试图做出回应时,内核缓冲区将会溢出,导致计算机崩溃。
- UDP炸弹攻击: 这种攻击试图发送非法的UDP包。如果UDP数据包在特定的域中包含了非法数据,将会使得一些旧版本的操作系统在接受数据包时崩溃。
- Windows 带外攻击:对于ISA Server保护的服务器,使用带外的、拒绝服务的攻击方式。如果攻击成功,将会引起计算机崩溃或者丢失很多其他用户的连接。
注意:您可以在多层防火墙页了解更多有关包过滤的信息。
POP和DNS应用程序过滤器
ISA Server还包括邮局协议(Post Office Protocol,POP)和域名系统(Domain Name System,DNS)应用程序过滤器,它们可以对所有入站流量进行分析,防止对服务器的入侵攻击。有关应用程序过滤器的详细信息,请参阅多层防火墙页。DNS入侵检测过滤器可以帮助您截获和分析进入内部网的DNS数据包。POP入侵检测过滤器可以拦截和分析进入内部网的POP数据包。管理员可以配置过滤器,检测如下入侵情况:
- DNS主机名溢出:所谓DNS主机名溢出是指当DNS处理主机名超过规定长度的情况。不检测主机名长度的应用程序可能在复制这个名字的时候,导致内部缓冲区溢出,这样攻击者就可以在目标计算机上执行任何命令。
- DNS长度溢出:DNS可以处理在一定长度范围之内的IP地址,一般情况下这应该是四个字节。通过超过四个字节的值格式化DNS响应信息,一些执行DNS查询的应用程序将会发生内部缓冲区溢出,这样远程的攻击者就可以在目标计算机上执行任何命令。
- 从专用端口(1-1024)进行的DNS区域传输:如果客户端系统使用DNS客户端应用程序通过特权端口(1-1024)从内部DNS服务器传输区域数据时,就会发生DNS区域传输。源端口号是一个特权端口号(1到1024之间),表明是客户端进程。
- 从高端口(高于 1024)进行DNS区域传输:如果客户端系统使用DNS应用程序从内部DNS服务器传输数据,就发生高端口DNS区域传输。源端口是一个特殊的端口号(1到1024之间),表明这是一个客户端进程。
- POP缓冲区溢出:如果远程攻击者试图通过使服务器内部缓冲区溢出获得POP服务器的root访问,这就是POP缓冲区溢出攻击。
注意:ISA Server入侵检测基于Internet安全系统技术。