MRTG在IIS 6.0上实现入侵检测功能(2)

　　二，攻击者使用以下的方法避免被检测到：

　　1，探测扫描很长时间后，才进行真正的入侵进攻。

　　2，从多个主机进行攻击，避免单一的主机记录。

　　3，尽量避免入侵造成的CPU, RAM和驱动器的负荷。

　　4，利用管理员无人职守时入侵，在周末或者节假日发起攻击。

　　三，对于IIS 6，我们需要监视的是

　　1，网络流量，包括带宽，数据包，连接的数量等。

　　2，网络协议的异常错误。

　　3，网站的内外流量，包括用户的权限设置，外部请求的错误流量等。

　　4，线程和进程。

　　四，在Windows 2003下安装MRTG

　　在使用MRTG之前，你需要在你的服务器里安装SNMP 服务。具体步骤如下：从控制面板中选择添加/删除程序，点击添加和删除windows组件。管理和监视工具中的详细资料里就可以找到简单网络管理协议，即可安装。

　　安装成功后，你需要立刻安全配置一下，我们大家都知道，SNMP在网络上决不是一个安全的协议，你可以通过http://support.microsoft.com/?kbid=324261这个连接来具体了解。但是我们只是在本地使用SNMP，但是还是建议你通过防火墙屏蔽SNMP的161与162端口和使用IPSec。并且要配置为obscure community string。在管理工具中，在服务中选择安全，设为只读访问。尽管community string安全问题不多，但是你还是要避免使用community string为只读访问。

　　MRTG是一个用Perl编译的C程序。你还要安装ActivePerl来解决支持脚本的问题。下载最新的MRTG。可以到http://people.ee.ethz.ch/~oetiker/webtools/mrtg/pub/下载，

　　注意要选择.zip的文件下载。这篇文章所使用的版本请到http://securityfocus.com/microsoft/images/burnett_MRTG_files.zip下载。

　　把MRTG解压到C:\Program Files\MRTG目录下。

　　安装Perl的过程其实很简单。首先打开PERL的安装文件 ，点下一步，然后同意软件使用权的协议，下一个画面会让您确认是否使用[PPM3发送个人信息至ASPN]，还是省着点儿，不要选它，直接按下一步。然后就是下一步直通车，直至Perl安装成功。

　　由于MRTG是一个Perl写的程序，不需要安装，稍后有些安装过程需要在DOS里面完成，所以建议解压的路径为C:\MRTG。

　　下面给出详细的安装步骤：

　　1. 运行cmd，进入DOS窗口；

　　c:\>cd\MRTG\bin 进入刚才解压的MRTG目录，准备执行命令；

　　使用perl MRTG 命令测试MRTG是否正确；

　　执行命令行perl cfgmaker caacnetwork@10.3.0.20 --global "WorkDir: C:\Inetpub\wwwroot\MRTG" --output caacnetwork.cfg

　　caacnetwork.cfg是输出配置文件，位置在MRTG\bin。 workdir内是MRTG生成的网页文件。本例指定在IIS默认目录。

　　caacnetwokr@10.3.0.20 注释: caacnetwork是团体名, 10.3.0.20是IP地址。

　　当有多个设备要监控时，用下面的命令：

　　perl cfgmaker caacnetwork@ip1 caacnetwork@IP2 community@ip3 --global "WorkDir: C:\Inetpub\wwwroot\MRTG" --output caacnetwork.cfg

　　2.为了让MRTG每个五分钟监视一次，在DOS下MRTG\bin目录用下面的命令：

　　(1)echo RunAsDaemon:yes>>caacnetwork.cfg

　　(2)echo Interval:5>>caacnetwork.cfg