ISA2006入侵检测的部署与实现..ppt

ISA2006入侵检测的部署与实现 ISA Server支持的入侵检测项目 一般攻击的入侵检测 DNS攻击的入侵检测 Pop入侵检测 阻止包含IP选项的数据包和IP片段的数据包 淹没缓解 一般攻击的入侵检测 All ports scan attack ISA Server会检测入侵者扫描端口（port）的行为，可以指定端口的数量，只要扫描的端口超过该阈值，则发出警报。 一般攻击的入侵检测-2 系统默认自动开启入侵检测功能，并且能够自动记录入侵事件，进而执行相应操作（如发送电子邮件或执行指定程序等） 一般攻击的入侵检测-3 Land Attack：这种攻击行为是入侵者将TCP数据包内的源IP地址与端口改为欺骗的IP地址与端口，也就是说它会将源IP地址、端口都改为与目的地址相同的IP地址和端口，该类型的攻击可能会导致系统死机。 UDP bomb attack：入侵者会发送非法的UDP数据包，导致某些系统死机。 Windows out-of-band attack：一个被成为WinNuke的程序会发送out-of-band（OOB）数据包给被攻击者的139端口，该攻击将导致网络阻塞或系统死机 一般攻击的入侵检测-4 常用端口：若常用端口（well-known ports）中超过10个被扫描，则视为攻击行为。【1～2048 TCP/UDP】 所有端口：所有端口中，只要有超过