附录3：ISA2006入侵检测的部署与实现

ISA2006入侵检测的部署与实现ISAServer支持的入侵检测项目一般攻击的入侵检测DNS攻击的入侵检测Pop入侵检测阻止包含IP选项的数据包和IP片段的数据包淹没缓解一般攻击的入侵检测AllportsscanattackISAServer会检测入侵者扫描端口（port）的行为，可以指定端口的数量，只要扫描的端口超过该阈值，则发出警报。一般攻击的入侵检测-2系统默认自动开启入侵检测功能，并且能够自动记录入侵事件，进而执行相应操作（如发送电子邮件或执行指定程序等）一般攻击的入侵检测-3LandAttack：这种攻击行为是入侵者将TCP数据包内的源IP地址与端口改为欺骗的IP地址与端口，也就是说它会将源IP地址、端口都改为与目的地址相同的IP地址和端口，该类型的攻击可能会导致系统死机。UDPbombattack：入侵者会发送非法的UDP数据包，导致某些系统死机。Windowsout-of-bandattack：一个被成为WinNuke的程序会发送out-of-band（OOB）数据包给被攻击者的139端口，该攻击将导致网络阻塞或系统死机一般攻击的入侵检测-4常用端口：若常用端口（well-knownports）中超过10个被扫描，则视为攻击行为。【1～2048TCP/UDP】所有端口：所有端口中，只要有超过20个端口被扫描，则视为攻击行为。端口数目可以自行调整DNS攻击的入侵检测DNS主机名溢出（DNShostnameoverflow）查询DNS主机名的响应数据包内，其主机名的字段有固定长度，而DNS主机名的溢出攻击行为就是故意让主机名超过此长度。DNS长度溢出（DNSlengthoverflow）查询IP地址的DNS响应数据包内，有一个正常为4Bytes的长度字段，而DNS长度溢出的攻击就是故意让DNS响应数据包超过长度，造成有些应用程序在执行DNS查询时发生内部缓冲区溢出的现象，让入侵者有机会执行攻击程序代码。DNS攻击的入侵检测-2DNS区域转移（DNSZonetransfer）它是发生在DNS客户端应用程序与内部DNS服务器执行区域转移操作的时候。内部DNS服务器的区域内一般都包含有内部网络的重要信息，不应该被利用区域转移的方式发送到外部POP入侵检测POP入侵检测：ISA的POP入侵检测筛选器会拦截与分析送到内部网络的POP流量，来检测是否有POP缓冲区溢出的攻击行为【默认自动开启】阻止包含IP选项的数据包有些入侵行为是通过IP头内的IP选项来实现攻击的，尤其是通过源路由（sourcerouting）选项来攻击内部网络的计算机。可以设置ISAServer拒绝包含此类IP选项的数据包。阻止IP片段的数据包概述：一个IP数据包可以被分解为多个较小的数据包进行发送，这些较小的数据包称之为IP片段（或分片）。当目的计算机接收到这些IP片段之后，会根据数据包内部的offset（间距）数据进行重组。例如：正常的IP片段的offset数据为IP片段1：offset100–300IP片段2：offset301–600上述表示第一个IP片段占用原始数据包的第100至300的位置，而第二个IP片段占用原始数据包的第301至600的位置阻止IP片段的数据包-2IP片段的攻击方式就是故意让offset数据重叠例如：IP片段1：offset100–300IP片段2：offset200–400当目地计算机收到数据后，无法进行IP片段重组，因此可能导致计算机死机或重启阻止IP片段的数据包-3注意事项1.启用该功能后可能会干扰音频/视频流2.可能无法建立L2TP/IPSECVPN连接，因为执行证书