入侵檢測篩選器

DNS 篩選器

隨 ISA 伺服器安裝的 DNS 應用程式篩選器攔截並分析發往內部網路的 DNS 通訊。DNS 篩選器是 ISA 伺服器入侵檢測機制的主體。當有人試圖對您的網路發起攻擊時，入侵檢測能夠加以識別，並且在攻擊發生時能夠執行一組配置好的操作或者發出相應的警報。為檢測到不受歡迎的入侵者，ISA 伺服器將網路通訊和日誌項與已知攻擊方法進行比較。可疑的活動會觸發警報。操作包括連線終止、服務終止、電子郵件警報、日誌記錄及其他。
有關說明，請參閱啟用一般性攻擊的入侵檢測和啟用 DNS 攻擊的入侵檢測。
如果啟用入侵檢測，可以配置下列哪些入侵會觸發警報：
所有連線埠掃描攻擊 枚舉連線埠掃描攻擊 IP 半掃描攻擊 Land 攻擊 循環 Ping 攻擊 UDP炸彈攻擊 Windows 帶外攻擊 另外，可以配置下列哪些 DNS 攻擊會觸發警報：
DNS 主機名溢出。當主機名的 DNS 回響超出某個固定長度（255 位元組）時，將發生 DNS 主機名溢出。當複製此主機名時，不檢查主機名長度的應用程式可能溢出內部緩衝區，使遠程攻擊者可以在目標計算機上執行任意命令。 DNS 長度溢出。Internet 協定 (IP)地址的 DNS 回響包含應為 4 位元組的長度欄位。通過使用較大的值設定 DNS 回響的格式，某些執行 DNS 查找的應用程式將會溢出內部緩衝區，使遠程攻擊者可以在目標計算機上執行任意命令。
ISA 伺服器還會檢查 RDLength 的值是否超過 DNS 回響其餘部分的大小。 DNS 區域傳輸。當客戶端系統使用 DNS 客戶端應用程式從內部 DNS 伺服器、通過任意源連線埠傳輸區域時，將發生 DNS 區域傳輸。

此警報通知您：某人試圖訪問的連線埠數超出了預配置的值。您可以指定一個閾值，以便指出允許訪問的連線埠數。

此警報通知您：有人試圖通過逐個探測連線埠要求回響的方法來對計算機上運行的服務進行計數。
如果發生此警報，您應該確定連線埠掃描的來源。將其與目標計算機上運行的服務相比較。同時，確定掃描的來源和意向。檢查訪問日誌以便找出未經授權的訪問跡象。如果確實檢測到未經授權的訪問跡象，應該認為系統已受到威脅並應採取相應的措施。

該警報通知您有人反覆嘗試傳送帶有無效標誌的傳輸控制協定 (TCP)數據包。
在正常的 TCP 連線中，源系統通過向目標系統上的連線埠傳送 SYN 數據包來初始化連線。如果有服務正在該連線埠上偵聽，該服務將發出 SYN/ACK 數據包作為回響。然後初始化連線的客戶端發出 ACK 數據包作為回響，從而建立連線。如果目標主機等待的不是指定連線埠上的連線，將發出 RST 數據包作為回響。在收到來自源系統的最後一個 ACK 數據包之前，大多數系統日誌都不會記錄完成的連線。不按照此順序傳送其他類型的數據包會導致目標主機發出有用的回響，但不會導致連線被記入日誌中。這稱為 TCP 半掃描或秘密掃描，因為它不在所掃描的主機上生成日誌條目。
如果發生此警報，則記錄掃描發生的來源地址。如果適用，請配置 ISA 伺服器規則以阻止來自該掃描來源的通訊。

此警報通知您：有人使用偽造的與目標 IP 地址和連線埠相同的源 IP 地址和連線埠號傳送 TCP SYN 數據包。如果攻擊成功，將導致某些 TCP 實現進入循環，從而引起計算機故障。

此警報通知您：接收到的 IP 片段數據大於 IP 數據包的最大大小。如果攻擊成功，則核心緩衝區將溢出，導致計算機出現故障。

此警報通知您：有人試圖傳送非法的用戶數據報協定 (UDP) 數據包。在某些欄位中使用非法值構造的 UDP 數據包將導致某些早期作業系統在接收到數據包時出現故障。如果目標機器確實出現故障，通常很難確定原因。

此警報通知您：有人試圖對受 ISA 伺服器保護的計算機進行帶外拒絕服務攻擊。如果攻擊成功，將導致計算機出現故障，或導致受害計算機的網路連線丟失。

郵局協定 (POP)篩選器攔截並分析發往內部網路的 POP 通訊。不僅如此，應用程式篩選器還檢查 POP 緩衝區溢出攻擊。
當遠程攻擊者試圖通過造成 POP 伺服器上的內部緩衝區溢出而獲取此伺服器的根訪問權時，就發生了 POP 緩衝區溢出攻擊。