由于恶意电脑黑客的流行,ISA Server 抵制攻击的能力成为您的网络保护能力的关键。默认的攻击缓解功能通过阻止尝试性攻击并对可疑行为发出警报来帮助您保护网络。
这种将检测和缓解相结合的功能有助于防止网络遭受各类潜在攻击,其中一些攻击如下表所示。
攻击描述
通过 TCP 进行的内部蠕虫传播 被感染的客户端计算机试图连接到某特定端口处的各随机地址,以传染存在已知安全漏洞的各主机。
连接表安全漏洞利用 攻击者使用多个 IP 地址或僵尸主机建立过多连接,这会耗尽 ISA Server 资源,以至于无法对 ISA Server 进行管理。
蠕虫传播期间的未决域名系统 (DNS) 安全漏洞利用 被感染的客户端试图连接到特定端口处的随机地址。由于 ISA Server 策略可能基于 DNS 名称执行,因此 ISA Server 需要反向解析这些随机地址。
淹没攻击期间的连续 TCP 连接 攻击者使用内部主机对 ISA Server 或支持 ISA Server 的另一服务器发起拒绝服务攻击(方法是连续打开再立即关闭多个 TCP 连接),以试图绕过限额机制。这将耗用大量资源。
使用现有连接的超文本传输协议 (HTTP) DDoS 攻击者通过持久(持续)的 TCP 连接以高发送率发送 HTTP 请求。ISA Server Web 代理需要批准每个请求。这将耗用 ISA Server 的大量资源。ISA Server 专为 HTTP 会话加入了此缓解功能,这些会话将持续一段既定时间,同时单个会话中包含大量连接。
考虑一下这样一种场景:公司网络中的数台计算机都受到蠕虫感染。这些计算机将该蠕虫病毒传播到整个网络。每个受感染主机都会生成对特定端口和随机 IP 地址的高连接率 TCP 连接请求,以试图找到其他易受攻击的计算机来传染病毒。
同时,ISA Server 会测量每个源 IP 地址的允许连接率,并引发有关某特定 IP 地址的警报,每个警报都与一个受感染主机关联。生成此警报的原因是,受感染主机超出了预配置的每分钟所允许和拒绝的连接数阈值。
在阻止这个可疑 IP 地址之前,ISA Server 会验证源 IP 地址是否不是假冒地址。如果发现源 IP 地址是恶意的,ISA Server 会触发警报,并附带有关攻击和攻击者的信息。从此时开始,ISA Server 将限制来自违规主机的通信量流出,时间为一分钟。一分钟之后,ISA Server 将再次允许来自该 IP 地址的通信量流出。当再次超出阈值时,如果您手动重置警报,将会再次触发警报并阻止通信量。
当触发此警报时,仅计算防火墙策略允许的连接尝试数。如果连接尝试被防火墙策略拒绝,则 ISA Server 会单独计算失败的连接,并触发另一个警报。
内置 ISA Server 日志记录机制会在某特定源 IP 地址超出阈值时引发警报,从而限制因记录蠕虫通信量所耗用的系统资源。对于被 ISA Server 策略阻止的通信量,这一机制也会限制每秒钟记录在日志中的记录总数。ISA Server 会一直记录拒绝的请求,直至不再具备足够资源时为止。此时,ISA Server 会停止记录拒绝的数据包。此外,ISA Server 可能会激活警报触发。为此,ISA Server 会限定自己每秒钟只触发特定数量的警报。
如果 IP 地址所属的用户并非是有意发起恶意攻击,则该用户可呼叫帮助台,投诉 Internet 连接中断情况。帮助台工程师会复查 ISA Server 警报,并注意到客户的主机违反了淹没策略。当检查计算机时,在计算机上发现了蠕虫病毒。在从该主机删除蠕虫后,它不会再用请求淹没 ISA Server。来自主机的通信量将不再受限,并且客户端可以访问 Internet。
 返回页首
ISA Server 网络保护功能ISA Server 可帮助缓解病毒爆发和随后的连接淹没,而这些都是公司中普遍存在的事实。
您可配置攻击缓解功能,详见“配置攻击缓解功能”部分。此外,ISA Server 还加入了用于防范恶意攻击的内置功能。这些功能都在 ISA Server 预配置攻击保护部分中进行了描述。
ISA Server 将根据您的配置来触发警报,您可使用这些警报来跟踪和缓解攻击。在“警报”部分中对这些警报进行了详细描述。
配置攻击缓解功能ISA Server 具备攻击缓解功能,您可对这些功能进行配置和监控,以帮助确保您的网络持续免受恶意攻击。根据您的特定部署,您可配置以下功能:
| • | 淹没攻击和蠕虫传播缓解功能
| | • | HTTP 连接限制
| | • | 防止特定攻击的保护功能,包括 IP 数据包保护、DHCP 防中毒和入侵检测
|
本部分将介绍攻击缓解功能。
淹没攻击和蠕虫传播缓解当恶意用户试图用各种演化方法攻击网络时,即会发生淹没攻击。淹没攻击可引起以下任一反应:
| • | 磁盘负载和防火墙的资源消耗巨大
| | • | CPU 负载较高
| | • | 内存消耗较高
| | • | 网络带宽消耗较高
|
通过配置缓解设置来防止淹没攻击和蠕虫传播,可限制恶意攻击者潜入公司网络的能力。
ISA Server 可限制任何特定时间的连接数。您可配置该限制,指定并发连接数上限。当达到连接数上限时,将拒绝所有新的客户端请求。
淹没缓解的默认配置设置有助于确保 ISA Server 即使在淹没攻击下也可继续运行。这是因为 ISA Server 会对通信量进行分类,针对不同类型的通信量提供不同级别的服务。被视为是恶意的(有意图引起淹没攻击)通信量可被拒绝,同时 ISA Server 继续伺服所有其他通信量。
下表列出了潜在的淹没攻击和蠕虫传播,并简要描述了 ISA Server 如何提供保护。
攻击ISA Server 缓解功能默认设置
淹没攻击。某特定 IP 地址尝试对多个不同 IP 地址建立过多连接,从而导致大量连接尝试和连接终止泛滥。 TCP connect requests per minute, per IP address(每个 IP 地址每分钟的 TCP 连接请求数)。SA Server 可缓解攻击方 IP 地址发送大量 TCP 连接请求时发生的淹没攻击。ISA Server 还会防范受感染主机扫描网络来寻找易受攻击主机时发生的蠕虫传播。 默认情况下,ISA Server 设定的每个客户端的 TCP 请求数上限为每分钟 600 个。
您还可为特定 IP 地址配置例外的自定义限制。默认情况下,该限制被设为每分钟 6,000 个请求。
淹没攻击。某特定 IP 地址试图通过同时保持大量 TCP 连接来淹没 ISA Server。 TCP concurrent connections per IP address(每个 IP 地址的 TCP 并发连接数)。ISA Server 可缓解违规主机与 ISA Server 或其他服务器保持大量 TCP 连接时发生的 TCP 淹没攻击。 默认情况下,ISA Server 设定的每个客户端的 TCP 并发连接数上限为 160 个。
您还可为特定 IP 地址配置例外的自定义限制。默认情况下,该限制被设为每个客户端 400 个并发连接。
SYN 攻击。有人尝试用大量半开放 TCP 连接来淹没 ISA Server。 TCP half-open connections(TCP 半开放连接数)。ISA Server 可缓解 SYN 攻击。在 SYN 攻击中,违规主机将发送 TCP SYN 消息而不完成 TCP 握手。 默认情况下,ISA Server 设定的并发半开放 TCP 连接数上限是为并发 TCP 连接所配置的并发连接数的一半。
您不能更改此默认值。
DoS 攻击 (HTTP)。某特定 IP 地址试图通过发送大量 HTTP 请求来发起拒绝服务攻击。 HTTP requests per minute, per IP address(每个 IP 地址每分钟的 HTTP 请求数)。ISA Server 可缓解 DoS 攻击。在 DoS 攻击中,违规主机在同一 TCP 连接上向受害网站发送大量 HTTP 请求。 默认情况下,ISA Server 设定的每个客户端的 HTTP 请求数上限为每分钟 600 个。
您还可为特定 IP 地址配置例外的自定义限制。默认情况下,该限制被设为每分钟 6,000 个请求。
DoS 攻击(非 TCP)。某僵尸主机试图通过发送大量非 TCP 请求(这些请求被 ISA Server 规则拒绝)来发起拒绝服务攻击。 Non-TCP new sessions per minute, per rule(每个规则每分钟的非 TCP 新会话数)。ISA Server 可缓解非 TCP DoS 攻击。在非 TCP DoS 攻击中,恶意主机向受害服务器发送大量非 TCP 数据包。ISA Server 规则允许特定的非 TCP 通信量流出。 默认情况下,针对特定协议(规则),ISA Server 所设定的每分钟的非 TCP 会话数上限为 1,000 个。
用户数据报协议 (UDP) 淹没攻击。某特定 IP 地址试图通过打开大量 UDP 并发会话来发起拒绝服务攻击。 UDP concurrent sessions per IP address(每个 IP 地址的 UDP 并发会话数)。ISA Server 可缓解 UDP 淹没攻击。在 UDP 淹没攻击中,违规主机向受害主机发送大量 UDP 消息。
当发生 UDP 淹没攻击时,ISA Server 将放弃较早的会话,以便所允许并发建立的连接数不超过指定数量。
默认情况下,ISA Server 所设定的每个 IP 地址的 UDP 并发会话数上限为 160 个。
您还可为特定 IP 地址配置例外的自定义限制。默认情况下,该限制被设为每个客户端 400 个会话。
对于所配置的每个淹没缓解限制,ISA Server 将监控何时超过指定限制数。当超出该阈值时,ISA Server 将执行以下操作:
| • | 拒绝新连接请求。一分钟后,ISA Server 将重置此 IP 地址的限额。不再阻止通信量。如果客户端再次超出限额,ISA Server 将再次阻止通信量。
|
 注意:
对于 TCP 连接,在超出淹没缓解限制后将不再允许建立任何新连接。对于其他连接(原始 IP 和 UDP),当超出淹没缓解限制时将终止较早的连接,以便可建立新连接。
| • | 继续伺服现有连接的通信量。
| | • | 继续伺服来自本地主机的系统连接。
|
ISA Server 在阻止某特定 IP 地址之前,会验证该 IP 地址是否不是假冒地址。
当分析淹没攻击时,最关键的信息就是生成可疑通信量模式的客户端的 IP 地址。ISA Server 可识别这些 IP 地址,并使用警报通知您。为防止信息超载,ISA Server 将为每个违规 IP 地址都生成一个单个警报,即使该 IP 地址不断生成可疑通信量模式(对于受感染客户端来说,这是典型的通信量模式)。对于每个 IP 地址每分钟最多只生成一次警报,以表示已超出限制(或不再超出该限制)。
在 ISA Server Enterprise Edition 中,为淹没缓解所配置的自定义限制适用于所有阵列成员。当计算连接数时,计数将依据发起连接的连接端而递增。
对 ISA Server 资源的 DoS 攻击在一些 DoS 攻击中,恶意主机试图通过利用 ISA Server 的系统资源安全漏洞来攻击其防火墙。当非分页池内存较低时,ISA Server 可通过减少闲置连接暂停时间来缓解此攻击。如果攻击继续,当非分页池内存极低时,ISA Server 将阻止外来的新连接。ISA Server 还会断开已至少闲置六分钟的会话。
记录淹没缓解ISA Server 允许全局配置淹没缓解功能。对于所有淹没缓解功能,您可配置对淹没缓解功能所阻止的通信量进行日志记录。
下表显示了当您启用已阻止通信量的日志记录时,由 Microsoft 防火墙服务返回的可能出现在防火墙日志中的错误代码。
结果代码十六进制 ID详细信息
WSA_RWS_QUOTA 0x80074E23
FWX_E_RULE_QUOTA_EXCEEDED_DROPPED 0xC0040033 连接被拒绝,因为超出了此规则每秒钟所允许建立的连接数上限。
FWX_E_TCP_RATE_QUOTA_EXCEEDED_DROPPED 0xC0040037 连接被拒绝,因为超出了某单个客户端主机的最大连接率。
FWX_E_DNS_QUOTA_EXCEEDED 0xC0040035
启用日志记录1.
| 在 ISA Server Management 的控制台树中,单击“General”(常规)。
| 2.
| 在详细信息窗格中,单击“Configure Flood Mitigation Settings”(配置淹没缓解设置)。
| 3.
| 在“Flood Mitigation”(淹没缓解)选项卡上,选择“Log traffic blocked by flood mitigation settings”(记录被淹没缓解设置阻止的通信量)。
|
例外列表一些淹没缓解限额有两个值:
| • | 一个值适用于一组例外的 IP 地址。
| | • | 另一个值适用于所有其他 IP 地址。
|
对于这些淹没缓解,您可指定不该应用淹没缓解限制的 IP 地址。将对这些 IP 地址应用自定义限制。
您可为已发布服务器和阵列维护配置例外列表,也可在一些背靠背防火墙场景中配置例外列表。例如,例外列表可能适用于“远程管理计算机”计算机组和阵列成员(针对 ISA Server Enterprise Edition)。例外列表还可能包括上游或下游代理服务器或其他网络地址转换 (NAT) 设备(路由器)的 IP 地址。这些 IP 地址可能需要多个连接,从而就需要增加限制数。
对于以下淹没缓解,您可配置例外 IP 地址列表的限额:
| • | 每个 IP 地址每分钟的 TCP 连接请求数
| | • | 每个 IP 地址的 TCP 并发连接数
| | • | 每个 IP 地址每分钟的 HTTP 请求数
| | • | 每个 IP 地址的 UDP 并发会话数
|
 要点:
攻击者可通过使用例外列表中包含的假冒 IP 地址来生成淹没攻击。要缓解此威胁,建议在 ISA Server 和例外 IP 地址列表中包含的任意受信 IP 地址之间部署一个 Internet 协议安全 (IPsec) 策略。IPsec 策略将强制对这些 IP 地址的通信量进行身份验证,从而有效阻止假冒的通信量。
配置例外 IP1.
| 在 ISA Server Management 的控制台树中,单击“General”(常规)。
| 2.
| 在详细信息窗格中,单击“Configure Flood Mitigation Settings”(配置淹没缓解设置)。
| 3.
| 在“IP Exceptions”(例外 IP)选项卡上,单击“Add”(添加)。
| 4.
| 在“Computer sets”(计算机组)对话框中,添加所需的计算机组。
|
每个 IP 地址的已拒绝日志条目和警报如果来自某特定 IP 地址的已拒绝数据包的数量超出预配置阈值,则针对每个 IP 地址的警报机制就会引发警报。您可配置一个要应用于所有 IP 地址的常规限制。也可以为特定 IP 地址列表配置例外的自定义限制。
当您配置此功能时,对于所有淹没缓解均会触发警报。
为已阻止通信量配置警报1.
| 在 ISA Server Management 的控制台树中,单击“General”(常规)。
| 2.
| 在详细信息窗格中,单击“Configure Flood Mitigation Settings”(配置淹没缓解设置)。
| 3.
| 在“Flood Mitigation”(淹没缓解)选项卡上,单击“Set event trigger for denied packets”(为已拒绝数据包设置事件触发器)旁边的“Configure”(配置)。
| 4.
| 在“Limit”(限制)中,键入淹没缓解限制值。
|
配置 HTTP 连接限制除淹没攻击和蠕虫传播缓解外,您还可限制所允许的同时连接到 ISA Server 计算机的 Web 代理连接数量。您可防范淹没系统资源的攻击。这在发布 Web 服务器时特别有帮助。您可限制连接的计算机数量,同时还允许特定客户端持续连接(即使在超出限制时)。
在 ISA Server Management 中,您可为已发布服务器(在 Web 侦听器上)和外出的 Web 请求(在特定网络上)配置 Web 代理连接限制。
您可为特定 Web 侦听器指定连接限制。Web 侦听器用于 Web 发布规则中,一个 Web 侦听器可具有多个规则。对 Web 侦听器指定连接限制后,将限制与使用特定侦听器发布的网站之间所允许建立的连接数量。
您可对特定网络对象的 Web 代理属性指定连接限制。Web 代理过滤器可处理端口 80 上的外出 HTTP 通信量。当您对某特定网络指定此连接限制后,您即限制了任何特定时间在特定网络上所允许的并发外出 Web 连接数量。
配置攻击保护除淹没攻击和蠕虫传播缓解以及 HTTP 连接限制外,ISA Server 还包含多种机制,您可配置这些机制以帮助保护网络免受攻击:
| • | IP 数据包保护
| | • | 广播保护
| | • | DHCP 防中毒保护
| | • | 入侵检测
| | • | 电子欺骗检测
|
以下几部分详细介绍了这些机制。
配置 IP 数据包保护您可通过配置以下方面来配置 ISA Server 处理 IP 数据包的方式:
| • | IP 碎片过滤
| | • | IP 路由
| | • | IP 选项
|
配置 IP 碎片过滤单个 IP 数据报可被分成多个更小型的数据报,这些数据报被称为 IP 碎片。ISA Server 可对这些碎片进行过滤。
当 ISA Server 过滤数据包碎片时,所有分片数据包都被丢弃。泪滴攻击及其变体涉及到发送分片数据包,然后以可能危害到系统的方式将其重新组合。泪滴攻击与死亡之 Ping 攻击的执行方式稍有不同,但结果类似。
泪滴程序可创建 IP 碎片,这些碎片为原始数据包通过 Internet 传送时被分成的 IP 数据包片段。问题是,这些碎片中的偏移字段发生重叠,这些字段应该指出原始数据包中被碎片包含的部分(以字节计)。
例如,通常两个碎片中的偏移字段可能如下所示:
Fragment 1: (offset) 100 - 300Fragment 2: (offset) 301 - 600这表明第一个碎片包含原始数据包中第 100 到 300 个字节,第二个碎片包含第 301 到 600 个字节。
重叠的偏移字段将如下所示:
Fragment 1: (offset) 100 - 300Fragment 2: (offset) 200 - 400当目的地计算机尝试重新组合这些数据包时,它无法完成。它可能失败、停止响应或重新启动。
阻止 IP 碎片1.
| 在 ISA Server Management 的控制台树中,单击“General”(常规)。
| 2.
| 在详细信息窗格中,单击“Define IP Preferences”(定义 IP 首选项)。
| 3.
| 在“IP Fragments”(IP 碎片)选项卡上,选择“Block IP fragments”(阻止 IP 碎片)。
|
注意:
碎片过滤可能会干扰流音频和流视频。此外,可能无法成功建立 IPsec 上的第二层隧道协议 (L2TP) 连接,这是因为在证书交换期间可能发生数据包分片。如果流媒体和基于 IPsec 的虚拟专用网络 (VPN) 连接出现问题,请禁用碎片过滤。
配置 IP 路由要防止无正当理由的连接终止,ISA Server 将执行以下选项:
| • | 连接淹没缓解。ISA Server 验证序列中所需的三向握手数据包是否有效。这可避免向假冒源 IP 地址建立 TCP 连接,或通过 ISA Server 从假冒源 IP 地址建立 TCP 连接。
| | • | RST 攻击缓解。ISA Server 会验证 RST 和 SYN 数据包上的序列号。这削弱了攻击者从其他客户端终止现有连接的能力。
|
基础操作系统也包含一个类似机制。要启用在服务器发布或链接场景中非常有用的操作系统机制,请禁用 ISA Server IP 路由功能。
当禁用 IP 路由后,ISA Server 仅将数据(而不是原始网络数据包)发送到目的地。另外,当禁用 IP 路由后,ISA Server 还会复制每个数据包,然后以用户模式通过驱动程序将其重新发送。
要点:
当禁用 IP 路由后,ISA Server 将为每个连接都创建两个附加套接字,这会导致耗用更多的 ISA Server 防火墙资源,并增加了 ISA Server 受到淹没攻击的风险性。因此,如果您禁用 IP 路由,则建议您部署一个路由器,以防止 ISA Server 受到 TCP 连接淹没攻击。
当启用 IP 路由后,ISA Server 将用作路由器。在通信量流经 ISA Server 时,驱动程序将以用户模式执行一些过滤操作。
当启用 IP 路由后,ISA Server 会在客户端与服务器之间建立不同的连接。ISA Server 会充分解析再重新构造 IP 和 TCP 标头,并仅传送数据部分。如果恶意客户端尝试利用 IP 或 TCP 安全漏洞,ISA Server 会阻止该通信量,因此该通信量不会到达受 ISA Server 保护的目的地计算机。
禁用 IP 路由1.
| 在 ISA Server Management 的控制台树中,单击“General”(常规)。
| 2.
| 在详细信息窗格中,单击“Define IP Preferences”(定义 IP 首选项)。
| 3.
| 在“IP Routing”(IP 路由)选项卡上,清除“Enable IP routing”(启用 IP 路由)复选框。
|
配置 IP 选项可以将 ISA Server 配置为拒绝标头中包含标志“IP 选项”的数据包。
最有问题的选项是源路由选项。TCP/IP 支持源路由,这是一种允许网络数据发送方通过网络上某特定点传递数据包的方法。有两种类型的源路由:
| • | 精确源路由。数据发送方可指定精确路由(很少使用)。
| | • | 非精确源记录路由。发送方可指定数据包必须经过的某些路由器(跳点)。
|
IP 标头中的源路由选项允许发送方覆盖通常由源计算机与目的地计算机之间的路由器所做出的路由决策。可以使用源路由来映射网络或者排除路由和通讯故障。还可以使用源路由通过提供最佳性能的路由来强制执行通信量。
可惜的是,攻击者可以利用源路由安全漏洞。例如,入侵者可使用源路由来访问内部网络中通常从其他网络无法访问的地址,方法是通过从其他网络和内部网络都可以访问的另一台计算机来路由通信量。这实质上会导致淹没。通过禁用 IP 选项过滤,您可提高淹没期间 ISA Server 的性能。
禁用 IP 选项过滤1.
| 在 ISA Server Management 的控制台树中,单击“General”(常规)。
| 2.
| 在详细信息窗格中,单击“Define IP Preferences”(定义 IP 首选项)。
| 3.
| 在“IP Options”(IP 选项)选项卡上,清除“Enable IP options filtering”(启用 IP 选项过滤)复选框。
|
配置 DHCP 防中毒保护ISA Server 可检测出无效的 DHCP offer 数据包。只有当 DHCP offer 数据包包含在与分配 IP 地址的网络适配器相关联的网络对象范围内,才能被视为有效。当检测出无效的 DHCP offer 数据包时,ISA Server 将触发“Invalid DHCP offer”(无效 DHCP offer 数据包)警报,并忽略无效的 DHCP offer 数据包。
即使在您确认此警报后,ISA Server 也会继续防范 DHCP offer 数据包攻击。
注意:
对于 ISA Server Enterprise Edition,如果您为内部网络接受一个新 IP 地址,请验证是否可通过此 IP 地址访问配置存储服务器。
ISA Server 为每个 DHCP 网络适配器都保留了允许的 IP 地址列表。所允许的地址源于包含适配器地址的网络地址集。当 ISA Server 收到 DHCP offer 数据包时,它会检查该数据包是否在允许地址范围内。如果验证失败,将丢弃该数据包,并触发“Invalid DHCP offer”(无效 DHCP offer 数据包)警报。
如果网络适配器收到提供的地址,则您可更新 DHCP 地址。在您执行此操作时,将暂时禁用强制机制,并发出新的 ipconfig/renew 命令。在此期间,ISA Server 不会丢弃任何提供的地址。在适配器收到它们的地址后,ISA Server 将重新激活该机制。
在下列场景中,可能会丢弃 DHCP offer 数据包:
| • | 如果在两个 DHCP 适配器之间切换。例如,在连接到内部网络的适配器与连接到外部网络的适配器之间切换。
| | • | DHCP 适配器被移到另一个网络。例如,在将某路由器连接到 Internet 之后,将 ISA Server 外部网络适配器连接到本地网络。当用 ISA Server 外部网络适配器更换该路由器时,必须更新 DHCP 地址以允许 DHCP 分配。
|
允许分配后,不必再次允许它。
在某些情况下,您可能想使用从 DHCP 服务器接收的某地址将网络适配器从一个网络移到另一个网络。您想接受 ISA Server 通常都认为无效的 offer 数据包。
接受 DHCP offer 数据包1.
| 在命令提示符处,键入 ipconfig/renew。(您将收到一个错误消息。)
| 2.
| 在 ISA Server Management 中,配置无效 DHCP offer 数据包警报。
| 3.
| 验证网络适配器的 IP 地址是否分配正确。
| 4.
| 检查与网络适配器相关联的网络对象是否反映了新 IP 地址。
|
配置入侵检测当您的网络将要受到攻击时,ISA Server 入侵检测机制将进行识别,并在网络受到攻击时执行一组已配置操作或警报。为检测恶意入侵者,ISA Server 会将网络通信量和日志条目与众所周知的攻击方法进行对比。可疑活动将触发警报。操作包括连接终止、服务终止、电子邮件警报和日志记录。
下表列出了启用入侵检测时 ISA Server 可触发的警报。
攻击说明
所有端口扫描攻击 此警报通知您,某人试图访问的端口数量超出了预配置端口数量。您可指定阈值,指出可访问的端口数量。
枚举端口扫描攻击 此警报通知您,有人试图通过探测每个端口是否有响应来对计算机上运行的服务进行计数。
如果发生此警报,您应确定端口扫描的来源。将其与目标计算机上运行的服务数相比较。同时,确定扫描的来源和意图。检查访问日志以查找未经授权的访问的迹象。如果检测到未经授权的访问的迹象,则应认为系统已受到威胁并应采取相应操作。
IP 半扫描攻击 此警报通知您,有人试图反复发送带有无效标志的 TCP 数据包。在正常的 TCP 连接过程中,源系统通过向目的地系统上的某端口发送一个 SYN 数据包来发起连接。如果某服务正在侦听该端口,则此服务将用一个 SYN/ACK 数据包进行响应。然后,发起连接的客户端使用 ACK 数据包进行响应,之后即建立了连接。如果目的地主机没有在指定端口上等待连接,则它将使用 RST 数据包进行响应。在收到来自源系统的最终 ACK 数据包之前,多数系统日志不会记录已完成连接。发送未遵循此顺序的其他类型数据包可引出来自目标主机的有用响应,而不会导致连接被记录。这被称为 TCP 半扫描(或者秘密扫描),因为它不生成有关已扫描主机的日志条目。
陆地攻击 此警报通知您,有人使用与目的地 IP 地址和端口号相匹配的假冒源 IP 地址和端口号发送了 TCP SYN 数据包。如果攻击发动成功,将导致一些 TCP 实现进入一个可导致计算机出现故障的循环。
死亡之 Ping 攻击 此警报通知您,接收到的 IP 碎片数据大小超出 IP 数据包大小上限。如果攻击发动成功,则内核缓冲区将溢出,从而导致计算机出现故障。
UDP 炸弹攻击 此警报通知您,有人试图发送非法的 UDP 数据包。如果收到在某些字段中使用非法值而构建的 UDP 数据包,将导致一些早期操作系统出现故障。如果目标计算机出现故障,通常很难确定原因。
Windows 带外攻击 此警报通知您,有人试图对受 ISA Server 保护的计算机进行带外拒绝服务攻击。如果攻击成功,将导致计算机出现故障,或导致易受攻击的计算机的网络连接中断。
ISA Server 包含入侵检测过滤器:
| • | DNS 入侵检测过滤器与 DNS 服务器发布规则配合工作。过滤器会拦截并分析目的地为已发布网络的所有入站 DNS 通信量。
| | • | POP 入侵检测过滤器会进行检查以确定是否存在 POP3 缓冲区溢出攻击。
|
DNS 入侵检测过滤器
随 ISA Server 一同安装的 DNS 过滤器会拦截并分析目的地为已发布网络的 DNS 通信量。DNS 过滤器会检查是否有 DNS 长度溢出,并选择是否阻止区域传送。
此外,您还可配置下列哪些 DNS 攻击会触发警报:
| • | DNS 主机名溢出。当某主机名的 DNS 响应超出某一固定长度(255 个字节)时,将发生 DNS 主机名溢出。不检查主机名长度的应用程序在复制此主机名时可能会返回溢出内部缓冲区,从而使远程攻击者可以对目标计算机执行任意命令。
| | • | DNS 长度溢出。IP 地址的 DNS 响应包含一个应为 4 个字节的长度字段。通过使用较大值来设置 DNS 响应的格式,一些执行 DNS 查找的应用程序将会溢出内部缓冲区,从而使远程攻击者可以对目标计算机执行任意命令。ISA Server 还会检查 RDLength 的值是否未超出 DNS 响应其余部分的大小。
| | • | DNS 区域传送。当客户端系统使用 DNS 客户端应用程序从内部 DNS 服务器传送区域时,将发生 DNS 区域传送。
|
POP 入侵检测过滤器
POP 入侵检测过滤器可拦截并分析目的地为内部网络的 POP 通信量。特别是,应用程序过滤器还会检查是否存在 POP 缓冲区溢出攻击。
当远程攻击者试图通过使某 POP 服务器上的内部缓冲区溢出来获取对该服务器的根访问权时,就发生了 POP 缓冲区溢出攻击。
ISA Server 预配置的攻击保护ISA Server 包含防止特定攻击的预配置保护。其中包括电子欺骗检测和广播保护。
以下部分介绍了这些功能。
电子欺骗检测警报每当网络适配器收到数据包时,ISA Server 都会检查数据包来源是否是假冒的。ISA Server 会检查数据包的源 IP 地址是否是接收它的特定网络适配器的有效 IP 地址。如果该地址被视为无效,ISA Server 将发出警报,指出已发生 IP 电子欺骗攻击。
如果同时满足以下两个条件,将认为 IP 地址对某特定网络适配器有效:
| • | 该 IP 地址驻留在接收它时所经由的适配器的网络中。
| | • | 路由表指出,发往该地址的通信量可通过属于此网络的某一适配器进行路由。
|
注意:
对于 ISA Server Enterprise Edition,电子欺骗检测不能应用于来自阵列内地址的通信量。所有来自阵列内地址的通信量都直接传送到策略检查引擎。
考虑这样一种场景,某网络包含的 IP 地址在 10.X.X.X 范围内。路由表如下所示:
Network Netmask DestinationGateway interface10.0.0.0 255.0.0.0 10.0.0.1 10.1.1.120.0.0.0 255.0.0.0 20.0.0.1 10.1.1.10.0.0.0 0.0.0.0 140.0.0.1 140.1.1.1在接口 10.1.1.1 上接收的源 IP 地址在 10.0.0.1 到 10.255.255.255 范围内的数据包不会作为假冒数据包被丢弃,因为这些地址可通过此接口路由回去,并且它们在该网络的地址范围内。但源 IP 地址超出此范围(包括从 20.0.0.1 到 20.255.255.255 的范围,此范围中的地址可通过接口 10.1.1.1 进行路由)的数据包将作为假冒数据包丢弃,因为它们不属于该网络。
ISA Server 还会确保所有通过适配器发送的数据包均具有有效的目的地 IP 地址。在路由表配置出现问题时,这可防止数据包通过错误的适配器进行路由。
当 ISA Server 检测到假冒数据包时,ISA Server 将触发警报,指出将该数据包视为假冒的原因。您应仔细查看此警报,并尝试通过执行以下某一操作来解决该问题:
| • | 修复潜在的配置错误。验证来自特定 IP 地址的数据包是否应被视为假冒。如果不是,则确定为何 ISA Server 将这些数据包视为假冒数据包。
| | • | 阻止来自该 IP 地址的通信量。如果来自该 IP 地址的通信量应被视为假冒,则阻止来自该 IP 地址的所有访问。
|
广播保护广播即是使用无连接协议(例如 UDP)将单个消息(数据报)发送给多个接收者。有三种类型的广播地址:
| • | 受限的广播地址。受限的广播地址是 255.255.255.255。
| | • | 网络广播地址。网络广播地址包含一个由全部相同的位组成的 IP 地址和一个特定网络 ID。例如,假设有一个 A 类网络 22.0.0.0。其网络广播地址为 22.255.255.255。
| | • | 子网广播地址。子网广播地址包含一个由全部相同的位组成的 IP 地址和一个特定子网 ID。例如,假设有一个 A 类网络 22.0.0.0,其子网掩码为 255.255.0.0。则地址 22.0.255.255 就是一个子网广播地址。
|
ISA Server 不允许在 ISA Server 计算机上的各网络适配器之间发送任何广播消息。ISA Server 将确定某规则是否适用于广播地址:
| • | 如果目的地地址不是子网广播地址,则 ISA Server 将该地址视为接收数据包的 ISA Server 计算机上的网络适配器的子网广播地址。
| | • | 如果数据包是外来广播(去往本地主机网络),则 ISA Server 将目的地视为 ISA Server 计算机(本地主机)上的网络适配器。
| | • | 如果数据包是外出广播(来自本地主机网络),则 ISA Server 将来源视为 ISA Server 计算机(本地主机)上的网络适配器。
|
例如,假定某服务在子网地址为 22.0.1.1 的网络适配器上侦听本地主机网络(ISA Server 计算机)的 UDP 端口 1500。要允许广播通信量从内部网络(或其他网络)流向该服务,则必须创建一个允许 UDP 端口 1500 上的通信量从内部网络流向子网广播地址 22.0.255.255 的访问规则。或者,也可创建一个允许 UDP 端口 1500 通信量从内部网络流向本地主机的访问规则。
警报当检测到攻击行为时,ISA Server 可触发警报并对可疑行为进行日志记录。本部分列出了一些攻击检测警报。
淹没缓解警报下表列出了发生淹没攻击时可能生成的所有警报。
警报标题事件说明
非分页池内存不足
内存不足的非分页池已恢复
超出了未决 DNS 请求资源使用限制 用于未决 DNS 请求的线程数占可用线程总数的百分比超出了系统定义的最大值。
未超出未决 DNS 请求资源使用限制 用于未决 DNS 请求的线程数占可用线程总数的百分比低于系统定义的最大值,并且可接受需要 DNS 名称解析的连接。
超出了每分钟所允许的来自一个 IP 地址的 TCP 连接数限制 超出了每分钟所允许的来自一个 IP 地址的 TCP 连接数。
超出了来自一个 IP 地址的 TCP 并发连接数限制 超出了所允许的来自一个 IP 地址的 TCP 并发连接数。
超出了来自一个 IP 地址的非 TCP 会话数限制 超过了所允许的来自一个 IP 地址的非 TCP 会话数。
超出了某规则的连接限制 某规则所允许的每秒钟的非 TCP 会话数超出了配置的限制数。
超出了每分钟所允许的来自一个 IP 地址的已拒绝连接数限制 每分钟来自一个 IP 地址的被防火墙策略阻止的连接数超出了配置的限制数。
超出了每分钟所允许的全局已拒绝会话数限制 每分钟的已阻止 TCP 和非 TCP 会话总数超出了配置的限制数。
超出了来自一个 IP 地址的 HTTP 请求数限制 每分钟来自一个 IP 地址的 HTTP 请求数超出了配置的限制数。
下表列出了当超出淹没缓解限制时,ISA Server 将触发的一些事件。
事件 ID消息
15112 客户端 clientname 超出了其连接限制。将拒绝新连接。
15113 ISA Server 断开了以下客户端:clientname,因为其已达到了连接限制。
15114 ISA Server 断开了某连接,因为其已超出了连接限制。
15116 请求被拒绝,因为超出了对某规则所允许的每秒钟的连接数。
15117 请求被拒绝,因为超出了对 rulename 规则所允许的每秒钟的连接数。
下表列出了所生成的 ISA Server 事件可能触发的 ISA Server 警报警告。
警报警告说明
超出了连接限制
超出了某规则的连接限制
超出了未决 DNS 请求资源使用限制 用于未决 DNS 请求的线程数占可用线程总数的百分比超出了系统定义的最大值。
未超出未决 DNS 请求资源使用限制 用于未决 DNS 请求的线程数占可用线程总数的百分比低于系统定义的最大值,并且可接受需要 DNS 名称解析的连接。
攻击保护警报下表列出了发生其他攻击时可能生成的警报。
警报标题事件说明
DHCP 防中毒入侵检测已禁用
DNS 入侵
DNS 区域传送入侵
检测出入侵行为
无效 DHCP offer 数据包
IP 电子欺骗
POP 入侵
SYN 攻击
返回页首
最佳实践本部分介绍了您配置 ISA Server 时应遵循的一些最佳实践指南,以更好地保护您的网络。
检测淹没攻击按照以下指南来检测您的网络是否正遭受淹没攻击:
| • | 检查 ISA Server 计算机上是否有 CPU 用量突然波动、内存耗用量增加或日志记录率非常高的情况。这些迹象通常表明 ISA Server 正受到淹没攻击。
| | • | 检查是否有相关警报。
| | • | 使用 ISA Server 日志检验通信量,以验证该通信量是否是要求和允许的通信量:
| • | 检验由任何类型客户端(防火墙客户端、Web 代理客户端、SecureNAT 客户端、VPN 客户端和外部客户端)发起的通信量。验证该通信量是否是要求和允许的通信量。
| | • | 检验通信量而不考虑其方向(入站或出站)。
|
| | • | 根据以下条件确定具有潜在危害的客户端:
| • | 每秒钟生成大量连接或请求的客户端
| | • | 大量占用网络带宽(每秒钟的字节数)的客户端
| | • | 对不同目的地地址的连接失败率都非常高的客户端
| | • | 试图绕过 ISA Server 防火墙策略的客户端
|
|
如果您确定 ISA Server 计算机正受到淹没攻击,请使用日志查看器确定违规通信量的来源。特别是要查看以下几项:
| • | 已拒绝通信量的日志条目。请特别注意因超出限额、数据包为假冒和数据包包含已破坏的 CHECKSUM 而被拒绝的通信量。这些通常都表明存在恶意客户端。在 ISA Server Standard Edition 中,由于超出连接限制而被终止的连接的结果代码将为 0x80074E23。在 ISA Server Enterprise Edition 中,结果将以文本显示,它会明确指出连接终止原因。
| | • | 指出创建了大量连接然后立刻关闭这些连接的日志。这通常表明某客户端计算机正在扫描某一 IP 地址范围以找出特定的安全漏洞。
|
建议您限制连接数,因为这有助于防止淹没攻击。当发生 UDP 或原始 IP 淹没攻击时,将从假冒源 IP 地址发送多个请求,最终会导致拒绝服务。
缓解淹没攻击当发出警报时,请确定您的网络是正在受到攻击,还只是有效通信量负荷过大。如果由于恶意通信量而导致超出限制,请尝试执行以下操作:
| • | 如果恶意通信量看起来似乎源自内部网络,则可能表示内部网络上存在病毒。确定源 IP 地址,并立即从网络断开计算机。
| | • | 如果恶意通信量看起来似乎源自某外部网络上的某个小范围的 IP 地址,则创建一个拒绝对包含这些源 IP 地址的计算机组进行访问的规则。
| | • | 如果该通信量看起来似乎源自大范围的 IP 地址,则请评估您的网络的总体状态。考虑设置较低的连接限制,以便 ISA Server 可更有效地保护您的网络。
| | • | 如果由于负荷过大而导致超出限制,则考虑设置较高的连接限制。
|
缓解攻击的另一个方法是创建新网络。该网络应包含您根据日志和警报检测出来的受感染客户端的 IP 地址。然后,将这些 IP 地址从其原来所属的网络(内部网络)中排除。这样,您就从根本上使 ISA Server 防火墙上的路由表与内部网络之间不匹配。这些 IP 地址会被视为是假冒地址,从而流向和流自这些 IP 地址的通信量都会被丢弃。
攻击时进行日志记录每当超出淹没缓解限制时,ISA Server 都会生成警报,指出违规客户端的 IP 地址。在确定违规 IP 地址列表后,为防止不必要的日志记录,请执行以下步骤,以帮助提高淹没期间 ISA Server 的性能。
提高淹没期间 ISA Server 的性能1.
| 禁用与淹没相关的日志条目的记录。遵循本文档的“记录淹没缓解”部分中的说明。
| 2.
| 禁用日志记录。或者对与淹没匹配的特定规则禁用日志记录,或者完全禁用日志记录,直到淹没攻击停止时为止。
| 3.
| 将连接限制警报(或作为特定攻击结果而可能被反复触发的其他任何类型的警报)重新配置为“Manually Reset”(手动重置)。
|
要点:
当禁用已拒绝日志条目的日志时,您仅可确定潜在的警报。本文档的检测淹没攻击部分中所列的技巧将不再适用。
自定义淹没缓解限制建议您使用默认的淹没缓解限制。但这些默认值不一定适用于以下网络地址转换 (NAT) 场景:
| • | 背靠背周界场景。在此场景中,内部 ISA Server 防火墙将 NAT 应用于来自内部客户端的外出请求,并且这些请求被转发到具有内部 ISA Server 防火墙地址的边缘防火墙。对于边缘服务器而言,所有连接似乎都来自单个客户端。例如,来自不同客户端的 20 个请求对于边缘 ISA Server 计算机而言是来自同一 IP 地址的 20 个请求。因此,可能很快就会达到此 IP 地址的默认连接限制。
| | • | 防火墙或 Web 链场景。Web 链将 Web 代理请求路由到某上游代理服务器。防火墙链将下游 ISA Server 计算机配置为 SecureNAT 客户端或上游代理的防火墙客户端。无论是哪种情况,都将 NAT 应用于被路由到上游服务器的客户端请求。上游服务器会将来自同一网络的不同客户端请求视为具有同一 IP 地址。可能很快再次达到此 IP 地址的默认连接限制。
| | • | 站点对站点 VPN 场景。对站点对站点虚拟专用网络 (VPN) 连接实施了连接限制。尽管 NAT 应用于远程网络之间的通信量,但取代内部地址的 IP 地址将被自动分配一个自定义限制。在此场景中通常不会出现超出限制的错误。
|
响应淹没缓解警报1.
| 确定您的网络是正在受到攻击,还是有效通信量负荷过大。使用网络监控工具进行确定。
| 2.
| 如果由于非 TCP 通信量负荷过大而导致超出限制,请考虑为每个规则设置更高的连接限制。如果由于恶意通信量而导致超出限制,请尝试执行以下操作:
| • | 如果恶意通信量看起来似乎源自内部网络,则可能表示内部网络上存在病毒。确定源 IP 地址,并立即从网络断开计算机。
| | • | 如果恶意通信量看起来似乎源自某内部网络或外部网络上的某个小范围的 IP 地址,则创建一个拒绝对包含这些源 IP 地址的计算机组进行访问的规则。
| | • | 如果该通信量看起来似乎源自大范围的 IP 地址,则请评估您的网络的总体状态。考虑大幅度降低连接限制,以便 ISA Server 可更好地保护您的网络,同时仍可对非恶意客户端提供服务。
|
| 3.
| 如果向外部网络发布多个基于 UDP 或基于原始 IP 的服务,则应配置较低的限制,以帮助保持您的网络安全并防止淹没攻击。
|
| 
|手机版|小黑屋|电脑计算机论坛
( 京ICP备2022023538号-1 )
IP卡
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡