附录3：ISA2006入侵检测的部署与实现

一般攻击的入侵检测-4

常用端口：若常用端 口（well-known ports）中超过10个 被扫描，则视为攻击 行为。【1～2048 TCP/UDP】 所有端口：所有端口 中，只要有超过20个 端口被扫描，则视为 攻击行为。端口数目 可以自行调整

DNS攻击的入侵检测


DNS主机名溢出（DNS host name overflow） 查询DNS主机名的响应数据包内，其主机名的字段有固定 长度，而DNS主机名的溢出攻击行为就是故意让主机名超 过此长度。 DNS长度溢出（DNS length overflow） 查询IP地址的DNS响应数据包内，有一个正常为4Bytes 的长度字段，而DNS长度溢出的攻击就是故意让DNS响应数 据包超过长度，造成有些应用程序在执行DNS查询时发生 内部缓冲区溢出的现象，让入侵者有机会执行攻击程序代 码。

一般攻击的入侵检测-2

系统默认自动开启入侵检测功能，并且能够自动记录入侵 事件，进而执行相应操作（如发送电子邮件或执行指定程 序等）
一般攻击的入侵检测-3

Land Attack：这种攻击行为是入侵者将TCP数据包内的 源IP地址与端口改为欺骗的IP地址与端口，也就是说它会 将源IP地址、端口都改为与目的地址相同的IP地址和端口， 该类型的攻击可能会导致系统死机。 UDP bomb attack：入侵者会发送非法的UDP数据包， 导致某些系统死机。 Windows out-of-band attack：一个被成为WinNuke的 程序会发送out-of-band（OOB）数据包给被攻击者的 139端口，该攻击将导致网络阻塞或系统死机



阻止IP片段的数据包-3


注意事项 1. 启用该功能后可能会干扰音频/视频流 2. 可能无法建立L2TP/IPSEC VPN连接，因为执行证书交 换操作时肯能会有IP片段产生。

警报查看
警报查看-2
警报查看-3
警报查看-4
警报设置
警报设置-2
警报设置-3

发送电子邮件
阻止IP选项与IP片段数据包
ISA2006入侵检测的部署与实现
ISA Server支持的入侵检测项目

一般攻击的入侵检测 DNS攻击的入侵检测


Pop入侵检测
阻止包含IP选项的数据包和IP片段的数据包 淹没缓解


一般攻击的入侵检测

All ports scan attack ISA Server会检测入侵者扫描端口（port）的行为，可以 指定端口的数量，只要扫描的端口超过该阈值，则发出警 报。

DNS攻击的入侵检测-2

DNS区域转移（DNS Zone transfer） 它是发生在DNS客户端 应用程序与内部DNS服 务器执行区域转移操作 的时候。内部DNS服务器 的区域内一般都包含有 内部网络的重要信息， 不应该被利用区域转移 的方式发送到外部
POP入侵Leabharlann 测POP入侵检测：ISA的POP入侵检测筛选器会拦截与分析 送到内部网络的POP流量，来检测是否有POP缓冲区溢 出的攻击行为【默认自动开启】
阻止包含IP选项的数据包

有些入侵行为 是通过IP头内 的IP选项来实 现攻击的，尤 其是通过源路 由（source routing）选 项来攻击内部 网络的计算机。 可以设置ISA Server拒绝包 含此类IP选项 的数据包。
阻止IP片段的数据包

概述：一个IP数据包可以被分解为多个较小的数据包进行 发送，这些较小的数据包称之为IP片段（或分片）。当目 的计算机接收到这些IP片段之后，会根据数据包内部的 offset（间距）数据进行重组。


例如：正常的IP片段的offset数据为 IP片段1：offset 100 – 300 IP片段2：offset 301 – 600
上述表示第一个IP片段占用原始数据包的第100至300的 位置，而第二个IP片段占用原始数据包的第301至600的 位置
阻止IP片段的数据包-2

IP片段的攻击方式就是故意让offset数据重叠 例如： IP片段1：offset 100 – 300 IP片段2：offset 200 – 400 当目地计算机收到数据后，无法进行IP片段重组，因此可 能导致计算机死机或重启