用MRTG在IIS上完成入侵检测功能

运维 系统运维
用MRTG在IIS上完成入侵检测功能:MRTG是什么?MRTG(Multi Router Traffic Grapher)是一个监控网络链路流量负载的工具软件,通过snmp协议得到设备的流量信息。本文讲述的是:用MRTG在IIS上完成入侵检测功能

  用MRTG在IIS上完成入侵检测功能

  MRTG(Multi Router Traffic Grapher)是一个跨平台的监控收集链路流量负载的对象软件,今朝它能够运转在大多半Unix系统和Windows NT之上。它经由过程snmp和谈从设备获得设备的流量信息,并将流量负载以包含PNG花样的图形的HTML 文档体式格局显现给用户,以异常直不雅的方式显现流量负载。

  或许你还不晓得,MRTG照样一个有用的入侵检测对象。人人都晓得,入侵者扫描与损坏后都能生成一些异常的收集流量,而人们在普通情形下是认识不到的。然则MRTG却能经由过程图形化的方式给治理员供应入侵的信息。并能够查出数周之前的入侵信息,以备治理员参考。

  一,进击行为对办事器形成的信息

  1,进击者利用CGI破绽扫描器对潜在的CGI破绽剧本停止扫描时,HTTP 404 Not Found errors的纪录会增进。

  2,进击者测验考试暴力破解办事器上的帐户,HTTP 401 Authorization Required errors 的纪录会增进。

  3,一种新的蠕虫泛起,某一个特定的和谈的流量会增进。

  4,蠕虫经由过程傀儡主机,进击其他的办事器,出外的流量增添,并增大CPU的负荷。

  5,入侵者测验考试SQL injection进击,HTTP 500 Server Errors纪录会增进。

  6,渣滓邮件发送者在收集上寻觅中继SMTP办事器来发送渣滓邮件,会形成SMTP的和DNS lookups流量大增,同时形成CPU负荷增大。

  7,进击者停止DDOS进击,会形成ICMP流量,TCP连接,子虚的IP,多播播送流量大增。形成虚耗大量的带宽。

  看完上面的,我们能够总结出,进击者要入侵必需会影响到办事器的这些资本:: CPU, RAM,磁盘空间,收集连接和带宽。入侵者还有可能对办事器竖立历程后门,开放端口,他们还对他们的入侵行为停止假装袒护,防止遭到入侵检测系统的看管。

  二,进击者利用以下的方式防止被检测到:

  1,探测扫描很长时候后,才停止真正的入侵进攻。

  2,从多个主机停止进击,防止单一的主机纪录。

  3,尽量防止入侵形成的CPU, RAM和驱动器的负荷。

  4,行使治理员无人职守时入侵,在周末或者节沐日提议进击。

  三,关于IIS 6,我们需求看管的是

  1,收集流量,包孕带宽,数据包,连接的数目等。

  2,收集和谈的异常错误。

  3,网站的表里流量,包孕用户的权限设置,外部恳求的错误流量等。

  4,线程和历程。

  四,在Windows 2003下装置MRTG

  在利用MRTG之前,你需求在你的办事器里装置SNMP 办事。详细步调如下:从控制面板当选择添加/删除法式,点击添加和删除windows组件。治理和看管对象中的具体材料里就能够找到简单收集治理和谈,即可装置。

  然则我们只是在当地利用SNMP,然则照样倡议你经由过程防火墙屏障SNMP的161与162端口和利用IPSec。而且要设置装备摆设为obscure community string。在治理对象中,在办事当选择平安,设为只读接见。虽然community string平安问题不多,然则你照样要防止利用community string为只读接见。

  MRTG是一个用Perl编译的C法式。你还要装置ActivePerl来处理支撑剧本的问题。下载最新的MRTG。留意要选择.zip的文件下载。把MRTG解压到C:\Program Files\MRTG目次下。

  装置Perl的过程其实很简单。起首翻开PERL的装置文件 ,点下一步,然后赞成软件利用权的和谈,下一个画面会让您确认能否利用[PPM3发送小我信息至ASPN],照样省着点儿,不要选它,直接按下一步。然后就是下一步纵贯车,直至Perl装置胜利。

  因为MRTG是一个Perl写的法式,不需求装置,稍后有些装置过程需求在DOS里面完成,所以倡议解压的途径为C:\MRTG。

  下面给出具体的装置步调:

  1. 运转cmd,进入DOS窗口;

  c:\>cd\MRTG\bin 进入适才解压的MRTG目次,预备执行敕令;

  利用perl MRTG 敕令测试MRTG能否准确;

  执行敕令行perl cfgmaker caacnetwork@10.3.0.20 --global "WorkDir: C:\Inetpub\wwwroot\MRTG" --output caacnetwork.cfg

  caacnetwork.cfg是输出设置装备摆设文件,位置在MRTG\bin。 workdir内是MRTG生成的网页文件。本例指定在IIS默许目次。

  caacnetwokr@10.3.0.20 注释: caacnetwork是整体名, 10.3.0.20是IP地址。

  当有多个设备要监控时,用下面的敕令:

  1.   perl cfgmaker caacnetwork@ip1 caacnetwork@IP2 community@ip3 --global "WorkDir: C:\Inetpub\wwwroot\MRTG" --output caacnetwork.cfg  
  2.  

  2.为了让MRTG每个五分钟看管一次,在DOS下MRTG\bin目次用下面的敕令:

  1.   (1)echo RunAsDaemon:yes>>caacnetwork.cfg  
  2.  
  3.   (2)echo Interval:5>>caacnetwork.cfg  
  4.  

  3.利用indexmaker生成报表首。

【编辑推荐】

FreeBsd下安装和配置MRTG

Mrtg流量监控

如何使用MRTG监控CPU温度

责任编辑:zhaolei 来源: ccw
相关推荐

2011-04-01 10:19:13

2011-04-01 15:00:35

2011-04-01 14:48:29

配置SNMPMRTG

2014-11-18 14:12:19

CentOS入侵检测系统

2011-03-30 15:05:19

RedHad安装MRTG

2010-09-08 13:49:36

2011-03-31 11:14:29

MRTG监测

2015-09-10 09:18:33

2009-03-23 10:04:46

Java Web入侵检Java Web应用EasyJWeb

2016-10-24 09:40:53

CentOS高级入侵检测

2015-01-27 10:18:38

入侵检测系统AIDECentOS

2011-03-30 13:40:21

MRTG

2011-03-30 13:29:51

MRTG

2009-07-16 08:55:08

Windows 7IIS日志记录

2010-08-25 14:58:37

2010-08-26 10:12:54

2010-08-26 09:12:01

2022-12-23 14:05:41

2011-10-28 16:03:06

2009-04-21 13:54:20

点赞
收藏

51CTO技术栈公众号