【IT168 专稿】一般黑客如果要对一个网站发动攻击,首先都要扫描目标服务器的端口,确定服务器上开启的服务,然后做出相应的入侵方式。 入侵检测功能能够在黑客扫描网站的时候就能检测到并报警,这样在就能提前将黑客拒之于门外。入侵检测功能在检测到有黑客扫描服务器端口的时候会立即在攻击者的视野中消失,从而使黑客无法进行后面的攻击。入侵检测功能根据配置文件监控任何和tcp,udp端口的连接。 可以对全部端口同时进行监控,同时也可以忽略指定的端口。这样就能满足不同的需求方式。
方正8000-FG-NP防火墙可以防范2000余种攻击方式
1.检测多种dos攻击
dos(拒绝服务攻击) 包括很多不同的方式。在这些方式中,三种最流行的方式为使服务失效、独占或盗用资源以及删除数据。最常见的就是服务失效方式,通过dos攻击可以使一个服务器停止服务,从而造成巨大的损失。
攻击。从而使被托管的服务器处于安全的保护之中。和其它一样, 入侵检测功能一旦发现有dos攻击,立即在线报警,记录日志。
2.检测多种ddos攻击
yahoo、cnn等著名网站被黑客攻击使得防黑客成了大家关注的热点。ddos(分布式拒绝服务)是本次攻击的主要手段。ddos 攻击的原理是入侵者控制了一些节点,将它们设计成控制点,这些控制点控制了internet大量的主机,将它们设计成攻击点,攻击点中装载了攻击程序,正是由这些攻击点计算机对攻击目标发动的攻击。这种结构使入侵者远离攻击的目标,隐藏了入侵者的具体位置。
入侵检测功能能够检测包括tfn,trin00,shaft synflood等多种ddos工具的攻击。而这些攻击都是进行ddos攻击的主要工具。
3.检测保护子网中是否存在后门和木马程序
后门和木马程序如果存在于网络中,会造成严重的后果,有些后门程序导致管理员的密码被盗取,因此检测保护子网中是否存在后门和木马程序成为入侵检测的一个重要的组成部分。
入侵检测功能能够检测网络中是否存在流行的bo,bo2000,netsphere, deepthroat,wincrash,backconstruction等多种后门或木马程序。
4.检测多种针对finger服务的攻击
finger服务于查询用户的信息,包括网上成员的真实姓名、用户名、最近的登录时间、地点等,也可以用来显示当前登录在机器上的所有用户名,这对于入侵者来说是无价之宝,因为它能告诉他在本机上的有效的登录名。
入侵检测功能能够检测针对finger服务攻击的如finger bomb,finger search,finger-probenull等扫描和攻击。
5.检测多种针对ftp服务的攻击
入侵检测功能能够检测针对不同ftp server,包括aix ftpd,wuftp,proftpd,serv-u ftpd,ncftpd,msftpd发起的ftp-site-exec, ftp-user-root,buffer overflow等多种尝试和攻击行为。
6.检测基于netbios的攻击
入侵检测功能能够对基于netbios的如netbios-smb-ipc$access,netbios-smb-admin$access,netbios-snmp-nt-userlist等多种尝试和攻击行为进行检测。
7.检测缓冲区溢出类型攻击
入侵检测功能能够对overflow-x86-solaris-nlps,overflow-x86-windows-mailmax, overflow-x86-linux-ntalkd,overflow-dns-sparc等近百种堆栈溢出攻击进行检测。
8.检测基于rpc的攻击
入侵检测功能能够对基于rpc的如portmap-request-amountd, portmap-request-bootparam, rpc info query, portmap-request-ypserv, rpc ttdbserv solaris overflow等多种尝试和攻击行为进行检测。
9.检测基于smtp的攻击
入侵检测功能能够对针对多种smtp server,包括sendmail,exchange server,qmail等所发起的smtp-expn-root,smtp relaying denied等试探和攻击进行检测。
10.检测基于telnet的攻击
入侵检测功能能针对基于telnet的包括attempted su from wrong group,set ld_preload,set ld_library_path, login incorrect等多种尝试和攻击。
11.检测网络上传输的病毒和蠕虫
入侵检测功能能在计算机病毒和蠕虫传输到宿主机之前检测出来,包括流行的happy99,iloveu, prettypark等百种蠕虫和病毒,防患于未然。
12.检测cgi攻击
入侵检测功能能检测出包括针对phf,nph, pfdisplay。cgi等已知上百种的有安全隐患的cgi进行的探测和攻击方式。
13.检测针对web server的frontpage扩展进行的攻击
14.检测针对web server的coldfusion扩展进行的攻击
15.检测针对 microsoft iis server进行的攻击
入侵检测功能能检测view source exploit, iis-exec-srch, iis-asp-srch等已知的漏洞和弱点的攻击行为。
16.检测利用icmp进行的扫描和攻击
入侵检测功能能对利用这种方式进行的网络拓扑探测所产生的ping-icmp destination unreachable,ping-icmp time exceeded等icmp包进行检测。
17.检测利用traceroute对网络的探测
18.检测activex,javeapplet的传输
入侵检测功能能通过匹配网络包内容,可以检测特定的activex, javeapplet等程序在网络上的传输。
19.检测对其他可能的网络服务进行的攻击
在线升级和实时报警
由于入侵检测系统的库文件需要不断的更新,因此防火墙提供了非常方便的升级接口,可以通过我们的网站进行在线升级,而且我们提供了非常方便的用户升级界面,使升级工作可以非常方便的完成。
报警是否能够及时是衡量一个入侵检测系统的重要因素之一,如果在黑客刚刚进行攻击的时候就能够做出响应,那么管理员会有足够的时间进行防护。 防火墙的报警系统和入侵检测系统的协调工作几乎是一致的,一旦入侵检测系统检测到攻击,报警系统会马上做出反应,通过email或手机通知管理员。同时会启动自动防范系统进行防范。
入侵检测和防火墙的互动
通过通信行为跟踪,防火墙能够检测到对网络的多种扫描,检测到对网络的攻击行为,并能够对攻击行为进行响应,包括自动防范及用户自定义安全响应策略等。