用MRTG在IIS上完成入侵檢測功能

　　MRTG(Multi Router Traffic Grapher)是一個跨平臺的監控收集鏈路流量負載的對象軟件，今朝它能夠運轉在大多半Unix系統和Windows NT之上。它經由過程snmp和談從設備獲得設備的流量信息，并將流量負載以包含PNG花樣的圖形的HTML 文檔體式格局顯現給用戶，以異常直不雅的方式顯現流量負載。

　　或許你還不曉得，MRTG照樣一個有用的入侵檢測對象。人人都曉得，入侵者掃描與損壞后都能生成一些異常的收集流量，而人們在普通情形下是認識不到的。然則MRTG卻能經由過程圖形化的方式給治理員供應入侵的信息。并能夠查出數周之前的入侵信息，以備治理員參考。

　　一，進擊行為對辦事器形成的信息

　　1，進擊者利用CGI破綻掃描器對潛在的CGI破綻劇本停止掃描時，HTTP 404 Not Found errors的紀錄會增進。

　　2，進擊者測驗考試暴力破解辦事器上的帳戶，HTTP 401 Authorization Required errors 的紀錄會增進。

　　3，一種新的蠕蟲泛起，某一個特定的和談的流量會增進。

　　4，蠕蟲經由過程傀儡主機，進擊其他的辦事器，出外的流量增添，并增大CPU的負荷。

　　5，入侵者測驗考試SQL injection進擊，HTTP 500 Server Errors紀錄會增進。

　　6，渣滓郵件發送者在收集上尋覓中繼SMTP辦事器來發送渣滓郵件，會形成SMTP的和DNS lookups流量大增，同時形成CPU負荷增大。

　　7，進擊者停止DDOS進擊，會形成ICMP流量，TCP連接，子虛的IP，多播播送流量大增。形成虛耗大量的帶寬。

　　看完上面的，我們能夠總結出，進擊者要入侵必需會影響到辦事器的這些資本：: CPU, RAM,磁盤空間，收集連接和帶寬。入侵者還有可能對辦事器豎立歷程后門，開放端口，他們還對他們的入侵行為停止假裝袒護，防止遭到入侵檢測系統的看管。

　　二，進擊者利用以下的方式防止被檢測到：

　　1，探測掃描很長時候后，才停止真正的入侵進攻。

　　2，從多個主機停止進擊，防止單一的主機紀錄。

　　3，盡量防止入侵形成的CPU, RAM和驅動器的負荷。

　　4，行使治理員無人職守時入侵，在周末或者節沐日提議進擊。

　　三，關于IIS 6，我們需求看管的是

　　1，收集流量，包孕帶寬，數據包，連接的數目等。

　　2，收集和談的異常錯誤。

　　3，網站的表里流量，包孕用戶的權限設置，外部懇求的錯誤流量等。

　　4，線程和歷程。

　　四，在Windows 2003下裝置MRTG

　　在利用MRTG之前，你需求在你的辦事器里裝置SNMP 辦事。詳細步調如下：從控制面板當選擇添加/刪除法式，點擊添加和刪除windows組件。治理和看管對象中的具體材料里就能夠找到簡單收集治理和談，即可裝置。

　　然則我們只是在當地利用SNMP，然則照樣倡議你經由過程防火墻屏障SNMP的161與162端口和利用IPSec。而且要設置裝備擺設為obscure community string。在治理對象中，在辦事當選擇平安，設為只讀接見。雖然community string平安問題不多，然則你照樣要防止利用community string為只讀接見。

　　MRTG是一個用Perl編譯的C法式。你還要裝置ActivePerl來處理支撐劇本的問題。下載最新的MRTG。留意要選擇.zip的文件下載。把MRTG解壓到C:\Program Files\MRTG目次下。

　　裝置Perl的過程其實很簡單。起首翻開PERL的裝置文件 ，點下一步，然后贊成軟件利用權的和談，下一個畫面會讓您確認能否利用[PPM3發送小我信息至ASPN]，照樣省著點兒，不要選它，直接按下一步。然后就是下一步縱貫車，直至Perl裝置勝利。

　　因為MRTG是一個Perl寫的法式，不需求裝置，稍后有些裝置過程需求在DOS里面完成，所以倡議解壓的途徑為C:\MRTG。

　　下面給出具體的裝置步調：

　　1. 運轉cmd，進入DOS窗口;

　　c:\>cd\MRTG\bin 進入適才解壓的MRTG目次，預備執行敕令;

　　利用perl MRTG 敕令測試MRTG能否準確;

　　執行敕令行perl cfgmaker caacnetwork@10.3.0.20 --global "WorkDir: C:\Inetpub\wwwroot\MRTG" --output caacnetwork.cfg

　　caacnetwork.cfg是輸出設置裝備擺設文件，位置在MRTG\bin。 workdir內是MRTG生成的網頁文件。本例指定在IIS默許目次。

　　caacnetwokr@10.3.0.20 注釋: caacnetwork是整體名, 10.3.0.20是IP地址。

　　當有多個設備要監控時，用下面的敕令：

　　perl cfgmaker caacnetwork@ip1 caacnetwork@IP2 community@ip3 --global "WorkDir: C:\Inetpub\wwwroot\MRTG" --output caacnetwork.cfg  
 

　　2.為了讓MRTG每個五分鐘看管一次，在DOS下MRTG\bin目次用下面的敕令：

　　(1)echo RunAsDaemon:yes>>caacnetwork.cfg  
 
　　(2)echo Interval:5>>caacnetwork.cfg  
 

　　3.利用indexmaker生成報表首。

【編輯推薦】

FreeBsd下安裝和配置MRTG

Mrtg流量監控

如何使用MRTG監控CPU溫度