內(nèi)聯(lián)網(wǎng)入侵檢測系統(tǒng)(以下簡稱“IDS系統(tǒng)”)能夠及時(shí)發(fā)現(xiàn)一些內(nèi)聯(lián)網(wǎng)內(nèi)的網(wǎng)絡(luò)病毒、系統(tǒng)漏洞、異常攻擊等高風(fēng)險(xiǎn)事件并進(jìn)行有效處置，從而增強(qiáng)了內(nèi)聯(lián)網(wǎng)的安全性，有力地保障了各重要業(yè)務(wù)系統(tǒng)的正常運(yùn)行。為了切實(shí)加強(qiáng)內(nèi)聯(lián)網(wǎng)管理、充分發(fā)揮“IDS系統(tǒng)”的作用，下面筆者根據(jù)安全監(jiān)控高風(fēng)險(xiǎn)事件來分析問題、提出對策，以供大家參考。

事件1、Windows 2000/XP RPC服務(wù)遠(yuǎn)程拒絕服務(wù)攻擊

漏洞存在于Windows系統(tǒng)的DCE-RPC堆棧實(shí)現(xiàn)中，遠(yuǎn)程攻擊者可以連接TCP 135端口，發(fā)送畸形數(shù)據(jù)，可導(dǎo)致關(guān)閉RPC服務(wù)，關(guān)閉RPC服務(wù)可以引起系統(tǒng)停止對新的RPC請求進(jìn)行響應(yīng)，產(chǎn)生拒絕服務(wù)。

[對策]

1、臨時(shí)處理方法:使用防火墻或Windows系統(tǒng)自帶的TCP/IP過濾機(jī)制對TCP 135端口進(jìn)行限制，限制外部不可信任主機(jī)的連接。

2、徹底解決辦法:打安全補(bǔ)丁。

事件2、Windows系統(tǒng)下MSBLAST(沖擊波)蠕蟲傳播

感染蠕蟲的計(jì)算機(jī)試圖掃描感染網(wǎng)絡(luò)上的其他主機(jī)，消耗主機(jī)本身的資源及大量網(wǎng)絡(luò)帶寬，造成網(wǎng)絡(luò)訪問能力急劇下降。

[對策]

1、下載完補(bǔ)丁后斷開網(wǎng)絡(luò)連接再安裝補(bǔ)丁。

2、清除蠕蟲病毒。

事件3、Windows系統(tǒng)下Sasser(震蕩波)蠕蟲傳播

蠕蟲攻擊會在系統(tǒng)上留下后門并可能導(dǎo)致Win 2000/XP操作系統(tǒng)重啟，蠕蟲傳播時(shí)可能導(dǎo)致被感染主機(jī)系統(tǒng)性能嚴(yán)重下降以及被感染網(wǎng)絡(luò)帶寬被大量占用。

[對策]

1、首先斷開計(jì)算機(jī)網(wǎng)絡(luò)。

2、然后用專殺工具查殺毒。

3、最后打系統(tǒng)補(bǔ)丁

事件4、TELNET服務(wù)用戶認(rèn)證失敗

TELNET服務(wù)往往是攻擊者入侵系統(tǒng)的渠道之一。大多數(shù)情況下，合法用戶在TELNET登錄過程中會認(rèn)證成功。如果出現(xiàn)用戶名或口令無效等情況，TELNET服務(wù)器會使認(rèn)證失敗。如果登錄用戶名為超級用戶，則更應(yīng)引起重視，檢查訪問來源是否合法。如果短時(shí)間內(nèi)大量出現(xiàn)TELNET認(rèn)證失敗響應(yīng)，則說明主機(jī)可能在遭受暴力猜測攻擊。

[對策]

1、檢查訪問來源的IP、認(rèn)證用戶名及口令是否符合安全策略。

2、密切關(guān)注FTP客戶端大量失敗認(rèn)證的來源地址的活動，如果覺得有必要，可以暫時(shí)禁止此客戶端源IP地址的訪問。

事件5、TELNET服務(wù)用戶弱口令認(rèn)證

攻擊者可能利用掃描軟件或人工猜測到TELNET服務(wù)的弱口令從而非法獲得FTP服務(wù)的訪問，也可能結(jié)合TELNET服務(wù)器的本地其他漏洞獲取主機(jī)的控制權(quán)。

[對策]

1、提醒或強(qiáng)制相關(guān)的TELNET服務(wù)用戶設(shè)置復(fù)雜的口令。

2、設(shè)置安全策略，定期強(qiáng)制用戶更改自己的口令。

事件6、Microsoft SQL 客戶端SA用戶默認(rèn)空口令連接

Microsoft SQL數(shù)據(jù)庫默認(rèn)安裝時(shí)存在sa用戶密碼為空的問題，遠(yuǎn)程攻擊者可能利用這個(gè)漏洞登錄到數(shù)據(jù)庫服務(wù)器對數(shù)據(jù)庫進(jìn)行任意操作。更危險(xiǎn)的是由大多數(shù)MS-SQL的安裝采用集成Windows系統(tǒng)認(rèn)證的方式，遠(yuǎn)程攻擊者利用空口令登錄到SQL服務(wù)器后，可以利用MS-SQL的某些轉(zhuǎn)儲過程如xp_cmdshell等以LocalSystem的權(quán)限在主機(jī)上執(zhí)行任意命令，從而取得主機(jī)的完全控制。

[對策]

1、系統(tǒng)的安全模式盡量使用“Windows NT only”模式，這樣只有信任的計(jì)算機(jī)才能連上數(shù)據(jù)庫。

2、為sa賬號設(shè)置一個(gè)強(qiáng)壯的密碼;

3、不使用TCP/IP網(wǎng)絡(luò)協(xié)議，改用其他網(wǎng)絡(luò)協(xié)議。

4、如果使用TCP/IP網(wǎng)絡(luò)協(xié)議，最好將其默認(rèn)端口1433改為其他端口，這樣攻擊者用掃描器就不容易掃到。

事件7、POP3服務(wù)暴力猜測口令攻擊

POP3服務(wù)是常見網(wǎng)絡(luò)郵件收取協(xié)議。

發(fā)現(xiàn)大量的POP3登錄失敗事件，攻擊者可能正在嘗試猜測有效的POP3服務(wù)用戶名和口令，如果成功，攻擊者可能利用POP3服務(wù)本身漏洞或結(jié)合其他服務(wù)相關(guān)的漏洞進(jìn)一步侵害系統(tǒng)，也可能讀取用戶的郵件，造成敏感信息泄露。

[對策]

密切留意攻擊來源的進(jìn)一步活動，如果覺得有必要阻塞其對服務(wù)器的連接訪問。

事件8、POP3服務(wù)接收可疑病毒郵件

當(dāng)前通過郵件傳播的病毒、蠕蟲日益流行，其中一些郵件病毒通過發(fā)送帶有可執(zhí)行的附件誘使用戶點(diǎn)擊執(zhí)行來傳播，常見的病毒附件名后綴有:.pif、.scr、.bat、.cmd、.com ，帶有這些后綴文件名附件的郵件通常都是偽裝成普通郵件的病毒郵件。

郵件病毒感染了主機(jī)以后通常會向郵件客戶端軟件中保存的其他用戶郵件地址發(fā)送相同的病毒郵件以擴(kuò)大傳染面。

此事件表示IDS檢測到接收帶可疑病毒附件郵件的操作，郵件的接收者很可能會感染某種郵件病毒，需要立即處理。

[對策]

1、通知隔離檢查發(fā)送病毒郵件的主機(jī)，使用殺毒軟件殺除系統(tǒng)上感染的病毒。

2、在郵件服務(wù)器上安裝病毒郵件過濾軟件，在用戶接收之前就殺除之。

事件9、Microsoft Windows LSA服務(wù)遠(yuǎn)程緩沖區(qū)溢出攻擊

Microsoft Windows LSA是本地安全授權(quán)服務(wù)(LSASRV.DLL)。

LSASS DCE/RPC末端導(dǎo)出的Microsoft活動目錄服務(wù)存在一個(gè)緩沖區(qū)溢出，遠(yuǎn)程攻擊者可以利用這個(gè)漏洞以SYSTEM權(quán)限在系統(tǒng)上執(zhí)行任意指令。

[對策]

1、臨時(shí)處理方法:使用防火墻對UDP端口135、137、138、445及TCP端口135、139、445、593進(jìn)行過濾。

2、打系統(tǒng)補(bǔ)丁、升級。