攻防之道九大入侵檢測系統風險及對策

內聯網入侵檢測系統(以下簡稱“IDS系統”)能夠及時發現一些內聯網內的網絡病毒、系統漏洞、異常攻擊等高風險事件並進行有效處置，從而增強了內聯網的安全性，，有力地保障了各重要業務系統的正常運行。為了切實加強內聯網管理、充分發揮“IDS系統”的作用，下面筆者根據安全監控高風險事件來分析問題、提出對策，以供大家參考。

事件1、Windows 2000/XP RPC服務遠程拒絕服務攻擊

漏洞存在於Windows系統的DCE-RPC堆棧實現中，遠程攻擊者可以連接TCP 135端口，發送畸形數據，可導致關閉RPC服務，關閉RPC服務可以引起系統停止對新的RPC請求進行響應，產生拒絕服務。

[對策]

1、臨時處理方法:使用防火牆或Windows系統自帶的TCP/IP過濾機制對TCP 135端口進行限制，限制外部不可信任主機的連接。

2、徹底解決辦法:打安全補丁。

事件2、Windows系統下MSBLAST(沖擊波)蠕蟲傳播

感染蠕蟲的計算機試圖掃描感染網絡上的其他主機，消耗主機本身的資源及大量網絡帶寬，造成網絡訪問能力急劇下降。

[對策]

1、下載完補丁後斷開網絡連接再安裝補丁。

2、清除蠕蟲病毒。

事件3、Windows系統下Sasser(震蕩波)蠕蟲傳播

蠕蟲攻擊會在系統上留下後門並可能導致Win 2000/XP操作系統重啟，蠕蟲傳播時可能導致被感染主機系統性能嚴重下降以及被感染網絡帶寬被大量占用。

[對策]

1、首先斷開計算機網絡。

2、然後用專殺工具查殺毒。

3、最後打系統補丁

事件4、TELNET服務用戶認證失敗

TELNET服務往往是攻擊者入侵系統的渠道之一。大多數情況下，合法用戶在TELNET登錄過程中會認證成功。如果出現用戶名或口令無效等情況，TELNET服務器會使認證失敗。如果登錄用戶名為超級用戶，則更應引起重視，檢查訪問來源是否合法。如果短時間內大量出現TELNET認證失敗響應，則說明主機可能在遭受暴力猜測攻擊。

[對策]

1、檢查訪問來源的IP、認證用戶名及口令是否符合安全策略。

2、密切關注FTP客戶端大量失敗認證的來源地址的活動，如果覺得有必要，可以暫時禁止此客戶端源IP地址的訪問。

事件5、TELNET服務用戶弱口令認證

攻擊者可能利用掃描軟件或人工猜測到TELNET服務的弱口令從而非法獲得FTP服務的訪問，也可能結合TELNET服務器的本地其他漏洞獲取主機的控制權。

[對策]

1、提醒或強制相關的TELNET服務用戶設置復雜的口令。

2、設置安全策略，定期強制用戶更改自己的口令。

事件6、Microsoft SQL 客戶端SA用戶默認空口令連接

Microsoft SQL數據庫默認安裝時存在sa用戶密碼為空的問題，遠程攻擊者可能利用這個漏洞登錄到數據庫服務器對數據庫進行任意操作。更危險的是由大多數MS-SQL的安裝采用集成Windows系統認證的方式，遠程攻擊者利用空口令登錄到SQL服務器後，可以利用MS-SQL的某些轉儲過程如xp_cmdshell等以LocalSystem的權限在主機上執行任意命令，從而取得主機的完全控制。

[對策]

1、系統的安全模式盡量使用“Windows NT only”模式，這樣只有信任的計算機才能連上數據庫。

2、為sa賬號設置一個強壯的密碼;

3、不使用TCP/IP網絡協議，改用其他網絡協議。

4、如果使用TCP/IP網絡協議，最好將其默認端口1433改為其他端口，這樣攻擊者用掃描器就不容易掃到。

事件7、POP3服務暴力猜測口令攻擊

POP3服務是常見網絡郵件收取協議。

發現大量的POP3登錄失敗事件，攻擊者可能正在嘗試猜測有效的POP3服務用戶名和口令，如果成功，攻擊者可能利用POP3服務本身漏洞或結合其他服務相關的漏洞進一步侵害系統，也可能讀取用戶的郵件，造成敏感信息洩露。

[對策]

密切留意攻擊來源的進一步活動，如果覺得有必要阻塞其對服務器的連接訪問。

事件8、POP3服務接收可疑病毒郵件

當前通過郵件傳播的病毒、蠕蟲日益流行，其中一些郵件病毒通過發送帶有可執行的附件誘使用戶點擊執行來傳播，常見的病毒附件名後綴有:.pif、.scr、.bat、.cmd、.com ，帶有這些後綴文件名附件的郵件通常都是偽裝成普通郵件的病毒郵件。

郵件病毒感染了主機以後通常會向郵件客戶端軟件中保存的其他用戶郵件地址發送相同的病毒郵件以擴大傳染面。

此事件表示IDS檢測到接收帶可疑病毒附件郵件的操作，郵件的接收者很可能會感染某種郵件病毒，需要立即處理。

[對策]

1、通知隔離檢查發送病毒郵件的主機，使用殺毒軟件殺除系統上感染的病毒。

2、在郵件服務器上安裝病毒郵件過濾軟件，在用戶接收之前就殺除之。

事件9、Microsoft Windows LSA服務遠程緩沖區溢出攻擊

Microsoft Windows LSA是本地安全授權服務(LSASRV.DLL)。

LSASS DCE/RPC末端導出的Microsoft活動目錄服務存在一個緩沖區溢出，遠程攻擊者可以利用這個漏洞以SYSTEM權限在系統上執行任意指令。

[對策]

1、臨時處理方法:使用防火牆對UDP端口135、137、138、445及TCP端口135、139、445、593進行過濾。

2、打系統補丁、升級。