入侵檢測注意事項分析：

終端服務的日志監控

單獨將終端服務（Terminal Service）的日志監控分列出來是有原因的，微軟Win2000服務器版中自帶的終端服務Terminal Service是一個基于遠程桌面協議（RDP）的工具，它的速度非?？?，也很穩定，可以成為一個很好的遠程管理軟件，但是因為這個軟件功能強大而且只受到密碼的保護，所以也非常的危險，一旦入侵者擁有了管理員密碼，就能夠像本機一樣操作遠程服務器。

雖然很多人都在使用終端服務來進行遠程管理，但是，并不是人人都知道如何對終端服務進行審核。大多數的終端服務器上并沒有打開終端登錄的日志。其實打開日志審核是很容易的，在管理工具中打開遠程控制服務配置（Terminal Service Configration），點擊“連接”，右擊你想配置的RDP服務（比如RDP-TCP Microsoft RDP 5.0），選中書簽“權限”，點擊左下角的“高級”，看見上面那個“審核”了么？我們來加入一個Everyone組，這代表所有的用戶，然后審核它的“連接”、“斷開”、“注銷”的成功和“登錄”的成功和失敗就足夠了。

審核太多了反而不好，這個審核是記錄在安全日志中的，可以從“管理工具”→“日志查看器”中查看?，F在什么人什么時候登錄我都一清二楚了，可是美中不足的是：這個破爛玩藝居然不記錄客戶端的IP（只能查看在線用戶的IP），而是華而不實地記錄什么機器名，倒！要是別人起個PIG的機器名你只好受他的嘲弄了，不知道微軟是怎么想的，看來還是不能完全依賴微軟呀，我們自己來吧，寫個程序，一切搞定，你會C么？不會？VB呢？也不會？Delphi？……什么？你什么編程語言都不會？我倒，畢竟系統管理員不是程序員呀，別急別急，我給你想辦法，我們來建立一個bat文件，叫做TSLog.bat。這個文件用來記錄登錄者的IP，內容如下：time /t >>TSLog.log netstat -n -p tcp ｜ find “:3389”>>TSLog.logstart Explorer。

我來解釋一下TSLog.bat這個文件的含義：第一行是記錄用戶登錄的時間，time /t的意思是直接返回系統時間（如果不加/t，系統會等待你輸入新的時間），然后我們用追加符號“>>”把這個時間記入TSLog.log作為日志的時間字段；第二行是記錄用戶的IP地址，netstat是用來顯示當前網絡連接狀況的命令，-n表示顯示IP和端口而不是域名、協議，-ptcp是只顯示tcp協議，然后我們用管道符號“｜”把這個命令的結果輸出給find命令，從輸出結果中查找包含“3389”的行（這就是我們要的客戶的IP所在的行，如果你更改了終端服務的端口，這個數值也要作相應的更改）。最后我們同樣把這個結果重定向到日志文件TSLog.log中去，于是在TSLog.log文件中，記錄格式如下：

22:40 TCP192.168.12.28:3389

192.168.10.123:4903ESTABLISHED 22:54 TCP192.168.12.28:338

192.168.12.29:1039ESTABLISHED也就是說只要這個TSLog.bat文件一運行，所有連在3389端口上的IP都會被記錄，那么如何讓這個批處理文件自動運行呢？我們知道，終端服務允許我們為用戶自定義起始的程序，在終端服務配置中，我們覆蓋用戶的登錄腳本設置并指定TSLog.bat為用戶登錄時需要打開的腳本，這樣每個用戶登錄后都必須執行這個腳本，因為默認的腳本（相當于shell環境）是Explorer（資源管理器），所以我在TSLog.bat的最后一行加上了啟動Explorer的命令start Explorer。如果不加這一行命令，用戶是沒有辦法進入桌面的！

當然，如果你只需要給用戶特定的shell，例如:cmd.exe或者word.exe你也可以把start Explorer替換成任意的shell。這個腳本也可以有其他的寫法，作為系統管理員，你完全可以自由發揮你的想象力、自由利用自己的資源，例如，寫一個腳本把每個登錄用戶的IP發送到自己的信箱，對于重要的服務器也是一個很好的方法。

正常情況下一般的用戶沒有查看終端服務設置的權限，所以他不會知道你對登錄進行了IP審核，只要把TSLog.bat文件和TSLog.log文件放在比較隱蔽的目錄里就足夠了。不過，需要注意的是這只是一個簡單的終端服務日志策略，并沒有太多的安全保障措施和權限機制。如果服務器有更高的安全要求，那還是需要通過編程或購買入侵監測軟件來完成的。

陷阱技術

早期的陷阱技術只是一個偽裝的端口服務用來監測掃描，隨著“矛”和“盾”的不斷升級，現在的陷阱服務或者陷阱主機已經越來越完善，越來越像真正的服務，不僅能截獲半開式掃描，還能偽裝服務器一端的回應并記錄入侵者的行為，從而幫助判斷入侵者的身份。

我本人對于陷阱技術并不是非常感興趣，一來從技術人員角度來說，低調行事更符合安全的原則；二來陷阱主機反而成為入侵者跳板的情況并不僅僅出現在小說中，在現實生活中也屢見不鮮。如果架設了陷阱反而被用來入侵，那真是偷雞不成了蝕把米。記得CoolFire說過一句話，可以用來作為對陷阱技術介紹的一個總結：在不了解情況時，不要隨便進入別人的系統，因為你永遠不能事先知道系統管理員是真的白癡或者是偽裝成白癡的天才……

入侵監測的初步介紹就到這里，在實際運用中，系統管理員對基礎知識掌握的情況直接關系到他的安全敏感度，只有身經百戰知識豐富，仔細小心的系統管理員才能從一點點的蛛絲馬跡中發現入侵者的影子，未雨綢繆，阻止入侵的行動。

入侵檢測的初步實現的更多內容請讀者閱讀：

深入解析入侵檢測初步（1）

深入解析入侵檢測初步（2）

【編輯推薦】

1. 網絡安全城中城 七款入侵檢測工具推薦
2. 淺析幾個著名的入侵檢測系統 圖示
3. OSSEC HIDS：開源的基于主機的入侵檢測系統
4. Snort：一款廣受歡迎的開源IDS(入侵檢測系統)工具