用MRTG在IIS上完成入侵检测功能

　　用MRTG在IIS上完成入侵检测功能

　　MRTG(Multi Router Traffic Grapher)是一个跨平台的监控收集链路流量负载的对象软件，今朝它能够运转在大多半Unix系统和Windows NT之上。它经由过程snmp和谈从设备获得设备的流量信息，并将流量负载以包含PNG花样的图形的HTML 文档体式格局显现给用户，以异常直不雅的方式显现流量负载。

　　或许你还不晓得，MRTG照样一个有用的入侵检测对象。人人都晓得，入侵者扫描与损坏后都能生成一些异常的收集流量，而人们在普通情形下是认识不到的。然则MRTG却能经由过程图形化的方式给治理员供应入侵的信息。并能够查出数周之前的入侵信息，以备治理员参考。

　　一，进击行为对办事器形成的信息

　　1，进击者利用CGI破绽扫描器对潜在的CGI破绽剧本停止扫描时，HTTP 404 Not Found errors的纪录会增进。

　　2，进击者测验考试暴力破解办事器上的帐户，HTTP 401 Authorization Required errors 的纪录会增进。

　　3，一种新的蠕虫泛起，某一个特定的和谈的流量会增进。

　　4，蠕虫经由过程傀儡主机，进击其他的办事器，出外的流量增添，并增大CPU的负荷。

　　5，入侵者测验考试SQL injection进击，HTTP 500 Server Errors纪录会增进。

　　6，渣滓邮件发送者在收集上寻觅中继SMTP办事器来发送渣滓邮件，会形成SMTP的和DNS lookups流量大增，同时形成CPU负荷增大。

　　7，进击者停止DDOS进击，会形成ICMP流量，TCP连接，子虚的IP，多播播送流量大增。形成虚耗大量的带宽。

　　看完上面的，我们能够总结出，进击者要入侵必需会影响到办事器的这些资本：: CPU, RAM,磁盘空间，收集连接和带宽。入侵者还有可能对办事器竖立历程后门，开放端口，他们还对他们的入侵行为停止假装袒护，防止遭到入侵检测系统的看管。

　　二，进击者利用以下的方式防止被检测到：

　　1，探测扫描很长时候后，才停止真正的入侵进攻。

　　2，从多个主机停止进击，防止单一的主机纪录。

　　3，尽量防止入侵形成的CPU, RAM和驱动器的负荷。

　　4，行使治理员无人职守时入侵，在周末或者节沐日提议进击。

　　三，关于IIS 6，我们需求看管的是

　　1，收集流量，包孕带宽，数据包，连接的数目等。

　　2，收集和谈的异常错误。

　　3，网站的表里流量，包孕用户的权限设置，外部恳求的错误流量等。

　　4，线程和历程。

　　四，在Windows 2003下装置MRTG

　　在利用MRTG之前，你需求在你的办事器里装置SNMP 办事。详细步调如下：从控制面板当选择添加/删除法式，点击添加和删除windows组件。治理和看管对象中的具体材料里就能够找到简单收集治理和谈，即可装置。

　　然则我们只是在当地利用SNMP，然则照样倡议你经由过程防火墙屏障SNMP的161与162端口和利用IPSec。而且要设置装备摆设为obscure community string。在治理对象中，在办事当选择平安，设为只读接见。虽然community string平安问题不多，然则你照样要防止利用community string为只读接见。

　　MRTG是一个用Perl编译的C法式。你还要装置ActivePerl来处理支撑剧本的问题。下载最新的MRTG。留意要选择.zip的文件下载。把MRTG解压到C:\Program Files\MRTG目次下。

　　装置Perl的过程其实很简单。起首翻开PERL的装置文件 ，点下一步，然后赞成软件利用权的和谈，下一个画面会让您确认能否利用[PPM3发送小我信息至ASPN]，照样省着点儿，不要选它，直接按下一步。然后就是下一步纵贯车，直至Perl装置胜利。

　　因为MRTG是一个Perl写的法式，不需求装置，稍后有些装置过程需求在DOS里面完成，所以倡议解压的途径为C:\MRTG。

　　下面给出具体的装置步调：

　　1. 运转cmd，进入DOS窗口;

　　c:\>cd\MRTG\bin 进入适才解压的MRTG目次，预备执行敕令;

　　利用perl MRTG 敕令测试MRTG能否准确;

　　执行敕令行perl cfgmaker caacnetwork@10.3.0.20 --global "WorkDir: C:\Inetpub\wwwroot\MRTG" --output caacnetwork.cfg

　　caacnetwork.cfg是输出设置装备摆设文件，位置在MRTG\bin。 workdir内是MRTG生成的网页文件。本例指定在IIS默许目次。

　　caacnetwokr@10.3.0.20 注释: caacnetwork是整体名, 10.3.0.20是IP地址。

　　当有多个设备要监控时，用下面的敕令：

　　perl cfgmaker caacnetwork@ip1 caacnetwork@IP2 community@ip3 --global "WorkDir: C:\Inetpub\wwwroot\MRTG" --output caacnetwork.cfg  
 

　　2.为了让MRTG每个五分钟看管一次，在DOS下MRTG\bin目次用下面的敕令：

　　(1)echo RunAsDaemon:yes>>caacnetwork.cfg  
 
　　(2)echo Interval:5>>caacnetwork.cfg  
 

　　3.利用indexmaker生成报表首。

【编辑推荐】

FreeBsd下安装和配置MRTG

Mrtg流量监控

如何使用MRTG监控CPU温度