Windows Server 2008的IDS?

我相信我的Windows Server 2008盒子在networking级别和Web应用程序级别上都经常受到攻击。

问题是我如何检测这些攻击? 有没有可以监控服务器的轻量级软件?

注意:我在VPS上运行这个程序,所以监视器程序必须在同一台服务器上运行。

海事组织,你永远不能完全信任被监视的服务器上的这种types的信息的软件。 所有stream量和服务器之间都需要一个透明层。 您也可以通过镜像所有访问您服务器的stream量并进行分析来进行“边带”监控。 这确实没有提供太多的保护潜力。

我想你可以考虑在服务器上安装Microsoft IAG或TMG,但这有点沉重。 TMG将解决networking级别的攻击,IAG将特别针对Web应用层。

我会提出一个多方面的方法,利用Snort作为NIDS(networking感染检测系统,以及其他的HIDS(主机入侵检测系统))。

在HIDS方面,Pixelicious已经提到了Tripwire,但是正如所暗示的那样,这是一个非常昂贵的解决scheme。

OSSEC是一个function强大的开源HIDS,可能非常适合您的需求,并且如果需要(通过趋势科技)可以提供商业支持。

Ionx Verisys是Tripwire的商业化,但重量更轻,价格更便宜的替代产品。

我会假设你不需要资源来使用任何企业级的IDS如tripwire? 这绝对是有效的。 我可以build议你logging所有你收到的请求,所以在IIS中一定要logging和检查你的http请求。 你能限制你期望连接的IP范围吗?

你可以validation你的networking应用程序? 如果你禁用匿名访问,你应该能够大大减less对你的应用程序的攻击。 如果没有,请查看降低IIS服务和应用程序池的权限。

如果您在networking上看到探测器,请确定networking服务(netstat -an将有助于)切换您可以closures的所有设备。 打开你的Windows防火墙; 查看规则,将其限制在最低限度。

没有应用程序,你可以安装或设备,你可以购买,只要打开,使一切正常。 你最好的防御就是积极地检查你的系统。