あなたが探している用語はIntrusion Detection System(IDS)です。 Intrusion Prevention System(IPS)という関連用語があります。
IDSの監視トラフィックはIPレベルでサーバーに送信され、高度なトラフィック分析に基づいてアラートが送信されます。
IPSは、実際に特定のアクティビティをブロックしようとする次世代のIDSです。
Snort,SourceFire,Endaceおよびothersを含む多くの商用およびオープンソースシステムが利用可能です。
要するに、これらのシステムの1つをミックスに追加して、リアルタイムの監視と潜在的な危険な活動の阻止を検討する必要があります。
ここではコメントエリアがちょっと小さいので、ここで少し詳しい情報を追加したかったのです。
あなたが理解する必要がある主なものは、あなたが見る攻撃の種類です。これらは、比較的単純ではない自動化されたスクリプトから非常に洗練された標的型攻撃までの範囲です。また、WebサイトからIIS、.Net、メールサーバー、SQL(アクセス可能であれば)、ファイアウォールや他の公開されているマシン/サービスに至るまで、あらゆるものを見ることができます。何が起こっているのかを実際に監視するには、完全なアプローチが唯一の方法です。
一般的に言えば、新しいサイト/会社は、自動化されたスクリプトで数分間(私は最大30人)、ライブになるでしょう。これは、MS Windowsの新しいインストールが、インストール中にネットワークを厳重に保護する第1の理由です。ヘック、私は最初に電源を入れてから30秒以内に釘打ちされたマシンを見た。
アプローチハッカー/ワームの取り組みは、広範囲のIPアドレスを絶えずスキャンすることです。これに応答するマシンのフィンガープリンティングが続きます。プロファイルに基づいて、あなたは特定の種類の攻撃をあなたの方法で送信します。プロファイリングのステップをスキップし、応答に関係なく特定のポートを攻撃する場合もあります。ポート1443(SQL)は一般的なものです。
攻撃の最も一般的な形ですが、自動化されたものが処理するのが一番簡単です。未使用のポートをシャットダウンし、ICMP(ping応答)をオフにし、適切なファイアウォールを設置すると、ほとんどのスキャナが遠ざかります。
スクリプト攻撃の場合は、PhpMyAdmin、IISのWeb管理ツール、またはファイアウォール外のリモートデスクトップなどの一般的にインストールされているパッケージを公開しないようにしてください。また、 "admin"、 "administrator"、 "guest"、 "sa"、 "dbo"などの名前のアカウントを取り除いてください。最後にパスワードを誰かの名前にすることはできません。製品に同梱されています。
これらの行に沿って、データベースサーバーがファイアウォールの外側に直接アクセスできないようにしてください。なんらかの理由で直接アクセスしなければならない場合は、少なくともポート番号を変更して、それに応答して暗号化を実施します。
これがすべて正しく実行され、保護されたら、公開されるサービスはウェブのものだけです(ポート80/443)。引き続き悪用される可能性のある項目は、IIS、.NET、またはWebアプリケーションのバグです。
IISと.netの場合、MSからのWindowsアップデートは、リリースされるとすぐにインストールする必要があります。 MSは、Windows、IIS、および.Netの品質アップデートを推進することについて非常に優れています。さらに、アップデートの大部分はすでに脆弱性が悪用されているものです。私たちのサーバーは利用可能になるとすぐにアップデートを自動的にインストールするように設定されており、は決してに焼き付けられています(少なくともサーバー2003がリリースされたときに戻っています)。
また、ファイアウォールのアップデートの上に留まる必要があります。シスコのファイアウォールの1つが圧倒されるバグを抱えていたのはずっと前のことではありませんでした。残念ながら、これは起こったときにすべてのトラフィックを通過させました。管理者はIOSパッチに追いつくことができなかったので、かなり早く修正されましたが、1年後に人々は依然として苦しんでいました。 Windowsのアップデートでも同じ問題が発生します。多くの人々は、それを妨害していたであろう更新を適用しなかったため単純にハッキングされています。
攻撃のターゲットが絞りれば、対処するのが少し難しくなります。ハッカーのかなりの数は、カスタムWebアプリケーションを追いかけています。私たちに連絡するための投稿やログインフォームのようなもの。投稿には、一度管理者が閲覧すると、資格情報が転送されたり、受信者のコンピュータにキーロガーやトロイの木馬がインストールされたりするJavaScriptが含まれる可能性があります。
ここでの問題は、あなたがそれを知らなくても妥協する可能性があることです。防衛には、あなたのサイトを通じてHTMLとJavaScriptを提出できないようにすることが含まれます。メールサーバーでの堅実な(そして常に更新された)迷惑メールとウイルスチェックなどがあります。基本的には、外部エンティティがあなたに何かを送信して何かをする可能性があるすべての可能性を調べる必要があります。フォーチュン500企業の多くは、このようなことでヒットを続けている... Googleが含まれています。
上記は誰かを助けることを願っています。もしそうなら、より安全な環境につながるなら、私は幸せな人になるでしょう。残念ながら、ほとんどの企業はトラフィックを監視していないため、マシンがこのゴミを逃れていくのにどれだけの時間が費やされているのか分かりません。
カップルの事で発見することができます:彼らは公共の知識やGoogleを検索してアクセスのどちらかである場合、「トラップ」のページが利用できるようになる1.唯一の方法です。管理ページを検索可能にしないほうがずっと良いです。 2.欠落しているテキストを監視することは、ページが変更されたかどうかを判断する良い方法ではありません。古いテキストを削除する人とは対照的に、新しいテキストが追加されることがよくあります。 3.今日の世界では、まずディレクトリをアップロードする必要はありません。バックアップを簡略化したデータベースに格納します。 – NotMe
@Chrisノートをありがとうございます、はい、あなたはそれを正しく持っています。私はここでいくつかのケースに合ったアイデアを作りました。すべてのケースではなく、おそらく最良のものではないかもしれません。私は他の答えからもっと学びたいと思います。 – Aristos