我确信我的 Windows Server 2008 系统在网络层和 Web 应用程序层都持续受到攻击。
问题是我如何检测这些攻击?是否有任何轻量级软件可以监控服务器?
注意:我在 VPS 上运行它,因此监控程序必须在同一台服务器上运行。
答案1
在我看来,你永远不能完全信任被监控服务器上的软件来获取此类信息。你需要在所有流量和服务器之间建立一个透明层。你还可以通过镜像所有到达服务器的流量并对其进行分析来进行“边带”监控。但这确实没有提供太多的保护潜力。
我想您可以考虑在服务器上安装 Microsoft IAG 或 TMG,但这有点繁重。TMG 可以解决网络级攻击,而 IAG 可以专门解决 Web 应用层攻击。
答案2
我建议采取多管齐下的方法,利用 Snort 作为 NIDS(网络入侵检测系统),利用其他东西作为 HIDS(主机入侵检测系统)。
在 HIDS 方面,Pixelicious 已经提到了 Tripwire,但正如所提到的,这是一个非常昂贵的解决方案。
操作系统安全评估中心是一个功能强大的开源 HIDS,可能非常适合您的需求,并且如果需要,可以提供商业支持(通过趋势科技)。
Ionx Verisys是一款商业产品,但比 Tripwire 更轻量且更便宜的替代品。
答案3
我假设您没有资源使用任何企业级 IDS(如 tripwire?),这肯定是有效的。我建议您记录收到的所有请求,因此在 IIS 中一定要记录并检查您的 http 请求。您可以限制您期望连接的 IP 范围吗?
您能验证您的 Web 应用吗?如果您禁用匿名访问,您应该能够大大减少对您的应用的攻击。如果不能,请考虑降低 IIS 服务和应用池的权限。
如果您在网络上看到探测,请识别网络服务(netstat -an 会有所帮助),关闭所有可以关闭的服务。打开 Windows 防火墙;查看规则,将其限制在最低限度。
没有任何应用程序或设备可以安装后开机就能让一切正常。最好的防御措施是积极检查您的系统。