|
ie67 www.ie67.com 中将(版主)
ie67 我们的技术社区 - 积分
- 2403
- 威望
- 4479
- 元宝
- 5
- 铜钱
- 1936
|
1楼
大 中
小 发表于 2007-12-1 16:32 只看该作者
攻防之道九大入侵检测系统风险及对策
2007-01-26 10:31:53 来源: ccidnet
+ N) I6 s' A% N7 z" _8 j, d/ U爱毒霸社区-是中国金山毒霸杀毒软件专业社区,提供金山毒霸2009,金山毒霸2008,金山毒霸2008下载,在线杀毒,金山清理专家,专杀工具等产品信息,有流行病毒,木马专业查杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动社区,爱毒霸社区-成为中国知名杀毒社区,灰鸽子专杀, 做中国杀毒软件最用心社区-bbs.duba.net
$ ^+ j. W# s4 T% \8 I 内联网入侵检测系统(以下简称“IDS系统”)能够及时发现一些内联网内的网络病毒、系统漏洞、异常攻击等高风险事件并进行有效处置,从而增强了内联网的安全性,有力地保障了各重要业务系统的正常运行。为了切实加强内联网管理、充分发挥“IDS系统”的作用,下面笔者根据安全监控高风险事件来分析问题、提出对策,以供大家参考。
0 N- g* a/ W) a4 B6 j- R; a) [bbs.duba.net 事件1、Windows 2000/XP RPC服务远程拒绝服务攻击bbs.duba.net. k! @" i8 O% o# ?
漏洞存在于Windows系统的DCE-RPC堆栈实现中,远程攻击者可以连接TCP 135端口,发送畸形数据,可导致关闭RPC服务,关闭RPC服务可以引起系统停止对新的RPC请求进行响应,产生拒绝服务。 爱毒霸社区-是中国金山毒霸杀毒软件专业社区,提供金山毒霸2009,金山毒霸2008,金山毒霸2008下载,在线杀毒,金山清理专家,专杀工具等产品信息,有流行病毒,木马专业查杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动社区,爱毒霸社区-成为中国知名杀毒社区,灰鸽子专杀, 做中国杀毒软件最用心社区-bbs.duba.net' Q/ G6 O/ U5 w0 p! Y
[对策]
. N1 T& X2 v: ~) u$ \' u/ `; x爱毒霸社区,金山毒霸,金山毒霸2009,金山毒霸2008,金山毒霸2008下载,杀毒软件,杀毒论坛,在线杀毒,毒霸论坛,木马,木马专杀,免费杀毒软件下载,金山毒霸通行证,毒霸,AV终结者,灰鸽子,磁碟机,专杀工具 1、临时处理方法:使用防火墙或Windows系统自带的TCP/IP过滤机制对TCP 135端口进行限制,限制外部不可信任主机的连接。
" v- I4 J# W: d1 \5 F) S爱毒霸社区-是中国金山毒霸杀毒软件专业社区,提供金山毒霸2009,金山毒霸2008,金山毒霸2008下载,在线杀毒,金山清理专家,专杀工具等产品信息,有流行病毒,木马专业查杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动社区,爱毒霸社区-成为中国知名杀毒社区,灰鸽子专杀, 做中国杀毒软件最用心社区-bbs.duba.net 2、彻底解决办法:打安全补丁。 bbs.duba.net/ y5 W% C8 C% S6 w
事件2、Windows系统下MSBLAST(冲击波)蠕虫传播爱毒霸社区,金山毒霸,金山毒霸2009,金山毒霸2008,金山毒霸2008下载,杀毒软件,杀毒论坛,在线杀毒,毒霸论坛,木马,木马专杀,免费杀毒软件下载,金山毒霸通行证,毒霸,AV终结者,灰鸽子,磁碟机,专杀工具9 y5 m+ {# l7 |# n$ a" k9 p8 B& w
感染蠕虫的计算机试图扫描感染网络上的其他主机,消耗主机本身的资源及大量网络带宽,造成网络访问能力急剧下降。
# K+ r8 x* C' O/ q- \7 ~金山毒霸-爱毒霸社区-做中国杀毒软件最用心社区-bbs.duba.net [对策]
8 h( Q3 b0 q% ?9 X/ c9 T爱毒霸社区-是中国金山毒霸杀毒软件专业社区,提供金山毒霸2009,金山毒霸2008,金山毒霸2008下载,在线杀毒,金山清理专家,专杀工具等产品信息,有流行病毒,木马专业查杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动社区,爱毒霸社区-成为中国知名杀毒社区,灰鸽子专杀, 做中国杀毒软件最用心社区-bbs.duba.net 1、下载完补丁后断开网络连接再安装补丁。 爱毒霸社区,金山毒霸,金山毒霸2009,金山毒霸2008,金山毒霸2008下载,杀毒软件,杀毒论坛,在线杀毒,毒霸论坛,木马,木马专杀,免费杀毒软件下载,金山毒霸通行证,毒霸,AV终结者,灰鸽子,磁碟机,专杀工具1 y/ t' x% A/ S$ r4 C
2、清除蠕虫病毒。
$ V# i: m# p. S; Y2 u爱毒霸社区爱毒霸社区-是中国金山毒霸杀毒软件专业社区,提供金山毒霸2009,金山毒霸2008,金山毒霸2008下载,在线杀毒,金山清理专家,专杀工具等产品信息,有流行病毒,木马专业查杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动社区,爱毒霸社区-成为中国知名杀毒社区,灰鸽子专杀, 做中国杀毒软件最用心社区-bbs.duba.net! i- N( {% C* N0 o2 `4 U& e# {- U. y
事件3、Windows系统下Sasser(震荡波)蠕虫传播
b3 r+ T( z% \, [/ Z9 {爱毒霸社区-是中国金山毒霸杀毒软件专业社区,提供金山毒霸2009,金山毒霸2008,金山毒霸2008下载,在线杀毒,金山清理专家,专杀工具等产品信息,有流行病毒,木马专业查杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动社区,爱毒霸社区-成为中国知名杀毒社区,灰鸽子专杀, 做中国杀毒软件最用心社区-bbs.duba.net 蠕虫攻击会在系统上留下后门并可能导致Win 2000/XP操作系统重启,蠕虫传播时可能导致被感染主机系统性能严重下降以及被感染网络带宽被大量占用。
! A6 ^ I; t+ j; k金山毒霸-爱毒霸社区-做中国杀毒软件最用心社区-bbs.duba.net [对策]
" N/ o3 D7 y! K9 {1 z3 e金山毒霸-爱毒霸社区-做中国杀毒软件最用心社区-bbs.duba.net 1、首先断开计算机网络。
1 p4 |: ~0 |1 F1 K2 c8 X 2、然后用专杀工具查杀毒。
5 `3 J. S. m- u; w* v% ?9 f爱毒霸社区 3、最后打系统补丁 爱毒霸社区-是中国金山毒霸杀毒软件专业社区,提供金山毒霸2009,金山毒霸2008,金山毒霸2008下载,在线杀毒,金山清理专家,专杀工具等产品信息,有流行病毒,木马专业查杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动社区,爱毒霸社区-成为中国知名杀毒社区,灰鸽子专杀, 做中国杀毒软件最用心社区-bbs.duba.net' g) J( l( j7 U" h+ f5 u8 `8 e
事件4、TELNET服务用户认证失败
6 w* J8 }8 r \2 J爱毒霸社区-是中国金山毒霸杀毒软件专业社区,提供金山毒霸2009,金山毒霸2008,金山毒霸2008下载,在线杀毒,金山清理专家,专杀工具等产品信息,有流行病毒,木马专业查杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动社区,爱毒霸社区-成为中国知名杀毒社区,灰鸽子专杀, 做中国杀毒软件最用心社区-bbs.duba.net TELNET服务往往是攻击者入侵系统的渠道之一。大多数情况下,合法用户在TELNET登录过程中会认证成功。如果出现用户名或口令无效等情况,TELNET服务器会使认证失败。如果登录用户名为超级用户,则更应引起重视,检查访问来源是否合法。如果短时间内大量出现TELNET认证失败响应,则说明主机可能在遭受暴力猜测攻击。 金山毒霸-爱毒霸社区-做中国杀毒软件最用心社区-bbs.duba.net. E: t, ?" ?) _: T, l/ R
[对策]
$ l0 ? I; F9 ]) o, }" Q9 o金山毒霸-爱毒霸社区-做中国杀毒软件最用心社区-bbs.duba.net 1、检查访问来源的IP、认证用户名及口令是否符合安全策略。
9 h* `8 v S( z* P8 _1 L/ fbbs.duba.net 2、密切关注FTP客户端大量失败认证的来源地址的活动,如果觉得有必要,可以暂时禁止此客户端源IP地址的访问。
/ g/ |. P* G$ i3 N! e6 C/ p爱毒霸社区,金山毒霸,金山毒霸2009,金山毒霸2008,金山毒霸2008下载,杀毒软件,杀毒论坛,在线杀毒,毒霸论坛,木马,木马专杀,免费杀毒软件下载,金山毒霸通行证,毒霸,AV终结者,灰鸽子,磁碟机,专杀工具 事件5、TELNET服务用户弱口令认证 金山毒霸-爱毒霸社区-做中国杀毒软件最用心社区-bbs.duba.net6 ]' z9 \) O/ l7 q
攻击者可能利用扫描软件或人工猜测到TELNET服务的弱口令从而非法获得FTP服务的访问,也可能结合TELNET服务器的本地其他漏洞获取主机的控制权。 爱毒霸社区-是中国金山毒霸杀毒软件专业社区,提供金山毒霸2009,金山毒霸2008,金山毒霸2008下载,在线杀毒,金山清理专家,专杀工具等产品信息,有流行病毒,木马专业查杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动社区,爱毒霸社区-成为中国知名杀毒社区,灰鸽子专杀, 做中国杀毒软件最用心社区-bbs.duba.net3 x8 Q) P$ s; |' {, g! e. Z
[对策]爱毒霸社区-是中国金山毒霸杀毒软件专业社区,提供金山毒霸2009,金山毒霸2008,金山毒霸2008下载,在线杀毒,金山清理专家,专杀工具等产品信息,有流行病毒,木马专业查杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动社区,爱毒霸社区-成为中国知名杀毒社区,灰鸽子专杀, 做中国杀毒软件最用心社区-bbs.duba.net: J3 s. S9 i* _) E1 `2 b/ M
1、提醒或强制相关的TELNET服务用户设置复杂的口令。 0 H# @; }1 }8 R- [3 Q, w
2、设置安全策略,定期强制用户更改自己的口令。 金山毒霸-爱毒霸社区-做中国杀毒软件最用心社区-bbs.duba.net; d, J9 _! f1 @9 s5 S) |/ P; d
事件6、Microsoft SQL 客户端SA用户默认空口令连接爱毒霸社区& g0 c4 W& ` A9 G
Microsoft SQL数据库默认安装时存在sa用户密码为空的问题,远程攻击者可能利用这个漏洞登录到数据库服务器对数据库进行任意操作。更危险的是由大多数MS-SQL的安装采用集成Windows系统认证的方式,远程攻击者利用空口令登录到SQL服务器后,可以利用MS-SQL的某些转储过程如xp_cmdshell等以LocalSystem的权限在主机上执行任意命令,从而取得主机的完全控制。 爱毒霸社区-是中国金山毒霸杀毒软件专业社区,提供金山毒霸2009,金山毒霸2008,金山毒霸2008下载,在线杀毒,金山清理专家,专杀工具等产品信息,有流行病毒,木马专业查杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动社区,爱毒霸社区-成为中国知名杀毒社区,灰鸽子专杀, 做中国杀毒软件最用心社区-bbs.duba.net' w4 n# Y. u7 }8 e
[对策]2 B7 W* n1 h! k
1、系统的安全模式尽量使用“Windows NT only”模式,这样只有信任的计算机才能连上数据库。 爱毒霸社区,金山毒霸,金山毒霸2009,金山毒霸2008,金山毒霸2008下载,杀毒软件,杀毒论坛,在线杀毒,毒霸论坛,木马,木马专杀,免费杀毒软件下载,金山毒霸通行证,毒霸,AV终结者,灰鸽子,磁碟机,专杀工具, k7 R8 T, @3 j7 b6 V( @/ N" L; g
2、为sa账号设置一个强壮的密码;
0 T! V( c) l, p) s/ ~爱毒霸社区 3、不使用TCP/IP网络协议,改用其他网络协议。 爱毒霸社区7 p3 S( Y' K6 \5 k5 T! |
4、如果使用TCP/IP网络协议,最好将其默认端口1433改为其他端口,这样攻击者用扫描器就不容易扫到。
$ b5 ]9 }" [# L4 F1 u7 x0 q: s; U 事件7、POP3服务暴力猜测口令攻击 爱毒霸社区8 y2 K( F9 B5 W
POP3服务是常见网络邮件收取协议。 爱毒霸社区-是中国金山毒霸杀毒软件专业社区,提供金山毒霸2009,金山毒霸2008,金山毒霸2008下载,在线杀毒,金山清理专家,专杀工具等产品信息,有流行病毒,木马专业查杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动社区,爱毒霸社区-成为中国知名杀毒社区,灰鸽子专杀, 做中国杀毒软件最用心社区-bbs.duba.net& D1 X) ~: D6 D
发现大量的POP3登录失败事件,攻击者可能正在尝试猜测有效的POP3服务用户名和口令,如果成功,攻击者可能利用POP3服务本身漏洞或结合其他服务相关的漏洞进一步侵害系统,也可能读取用户的邮件,造成敏感信息泄露。 爱毒霸社区,金山毒霸,金山毒霸2009,金山毒霸2008,金山毒霸2008下载,杀毒软件,杀毒论坛,在线杀毒,毒霸论坛,木马,木马专杀,免费杀毒软件下载,金山毒霸通行证,毒霸,AV终结者,灰鸽子,磁碟机,专杀工具( V" h( A+ L3 m# ?7 V
[对策]
. `" z8 m& f" `% a _爱毒霸社区 密切留意攻击来源的进一步活动,如果觉得有必要阻塞其对服务器的连接访问。
9 j" M0 d7 r+ q4 F! V/ B: w爱毒霸社区-是中国金山毒霸杀毒软件专业社区,提供金山毒霸2009,金山毒霸2008,金山毒霸2008下载,在线杀毒,金山清理专家,专杀工具等产品信息,有流行病毒,木马专业查杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动社区,爱毒霸社区-成为中国知名杀毒社区,灰鸽子专杀, 做中国杀毒软件最用心社区-bbs.duba.net 事件8、POP3服务接收可疑病毒邮件爱毒霸社区-是中国金山毒霸杀毒软件专业社区,提供金山毒霸2009,金山毒霸2008,金山毒霸2008下载,在线杀毒,金山清理专家,专杀工具等产品信息,有流行病毒,木马专业查杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动社区,爱毒霸社区-成为中国知名杀毒社区,灰鸽子专杀, 做中国杀毒软件最用心社区-bbs.duba.net L0 O) L# p# j$ @/ f4 B! T
当前通过邮件传播的病毒、蠕虫日益流行,其中一些邮件病毒通过发送带有可执行的附件诱使用户点击执行来传播,常见的病毒附件名后缀有:.pif、.scr、.bat、.cmd、.com ,带有这些后缀文件名附件的邮件通常都是伪装成普通邮件的病毒邮件。 金山毒霸-爱毒霸社区-做中国杀毒软件最用心社区-bbs.duba.net7 k) L! E# N+ h! \/ `7 ]* k' ] O
邮件病毒感染了主机以后通常会向邮件客户端软件中保存的其他用户邮件地址发送相同的病毒邮件以扩大传染面。
4 W# P# U" o' D1 I1 h* x$ tbbs.duba.net此事件表示IDS检测到接收带可疑病毒附件邮件的操作,邮件的接收者很可能会感染某种邮件病毒,需要立即处理。
& `; u8 R: J0 `+ c" |爱毒霸社区 [对策]' _3 A! x8 n+ f6 U- s7 ?
1、通知隔离检查发送病毒邮件的主机,使用杀毒软件杀除系统上感染的病毒。 爱毒霸社区 I9 W0 U1 L& l9 z
2、在邮件服务器上安装病毒邮件过滤软件,在用户接收之前就杀除之。 金山毒霸-爱毒霸社区-做中国杀毒软件最用心社区-bbs.duba.net% N0 t$ @( V3 A! X6 H; s! X
事件9、Microsoft Windows LSA服务远程缓冲区溢出攻击爱毒霸社区,金山毒霸,金山毒霸2009,金山毒霸2008,金山毒霸2008下载,杀毒软件,杀毒论坛,在线杀毒,毒霸论坛,木马,木马专杀,免费杀毒软件下载,金山毒霸通行证,毒霸,AV终结者,灰鸽子,磁碟机,专杀工具" e2 d* b/ l6 w/ S6 @5 s% q% U% ]
Microsoft Windows LSA是本地安全授权服务(LSASRV.DLL)。 bbs.duba.net3 Z8 B: D# \* V m* l3 r2 w
LSASS DCE/RPC末端导出的Microsoft活动目录服务存在一个缓冲区溢出,远程攻击者可以利用这个漏洞以SYSTEM权限在系统上执行任意指令。
* V) {3 Y# @ k( F( `! j( Ebbs.duba.net [对策]
: x6 K. r5 l& M爱毒霸社区-是中国金山毒霸杀毒软件专业社区,提供金山毒霸2009,金山毒霸2008,金山毒霸2008下载,在线杀毒,金山清理专家,专杀工具等产品信息,有流行病毒,木马专业查杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动社区,爱毒霸社区-成为中国知名杀毒社区,灰鸽子专杀, 做中国杀毒软件最用心社区-bbs.duba.net 1、临时处理方法:使用防火墙对UDP端口135、137、138、445及TCP端口135、139、445、593进行过滤。
2 I* o1 d1 y- V# v3 t0 L爱毒霸社区-是中国金山毒霸杀毒软件专业社区,提供金山毒霸2009,金山毒霸2008,金山毒霸2008下载,在线杀毒,金山清理专家,专杀工具等产品信息,有流行病毒,木马专业查杀解决方案,为广大金山毒霸用户和电脑安全知识爱好者提供免费的互动社区,爱毒霸社区-成为中国知名杀毒社区,灰鸽子专杀, 做中国杀毒软件最用心社区-bbs.duba.net 2、打系统补丁、升级。
|
