如何檢測內(nèi)聯(lián)網(wǎng)高風(fēng)險事件及對策

　　以下是OMG小編為大家收集整理的文章，希望對大家有所幫助。

　　內(nèi)聯(lián)網(wǎng)入侵檢測系統(tǒng)九大高風(fēng)險事件及其對策

　　為了切實加強內(nèi)聯(lián)網(wǎng)管理、充分發(fā)揮“IDS系統(tǒng)”的作用，下面筆者根據(jù)安全監(jiān)控高風(fēng)險事件來分析問題、提出對策，以供大家參考。內(nèi)聯(lián)網(wǎng)入侵檢測系統(tǒng)(以下簡稱“IDS系統(tǒng)”)能夠及時發(fā)現(xiàn)一些內(nèi)聯(lián)網(wǎng)內(nèi)的網(wǎng)絡(luò)病毒、系統(tǒng)漏洞、異常攻擊等高風(fēng)險事件并進(jìn)行有效處置，從而增強了內(nèi)聯(lián)網(wǎng)的安全性，有力地保障了各重要業(yè)務(wù)系統(tǒng)的正常運行。

　　事件1、windows 2000/XP RPC服務(wù)遠(yuǎn)程拒絕服務(wù)攻擊

　　漏洞存在于windows系統(tǒng)的DCE-RPC堆棧實現(xiàn)中，遠(yuǎn)程攻擊者可以連接TCP 135端口，發(fā)送畸形數(shù)據(jù)，可導(dǎo)致關(guān)閉RPC服務(wù)，關(guān)閉RPC服務(wù)可以引起系統(tǒng)停止對新的RPC請求進(jìn)行響應(yīng)，產(chǎn)生拒絕服務(wù)。

　　[對策]

　　1、臨時處理方法:使用防火墻或Windows系統(tǒng)自帶的TCP/IP過濾機制對TCP 135端口進(jìn)行限制，限制外部不可信任主機的連接。

　　2、徹底解決辦法:打安全補丁。

　　事件2、Windows系統(tǒng)下MSBLAST(沖擊波)蠕蟲傳播

　　感染蠕蟲的計算機試圖掃描感染網(wǎng)絡(luò)上的其他主機，消耗主機本身的資源及大量網(wǎng)絡(luò)帶寬，造成網(wǎng)絡(luò)訪問能力急劇下降。

　　[對策]

　　1、下載完補丁后斷開網(wǎng)絡(luò)連接再安裝補丁。

　　2、清除蠕蟲病毒。

　　事件3、Windows系統(tǒng)下Sasser(震蕩波)蠕蟲傳播

　　蠕蟲攻擊會在系統(tǒng)上留下后門并可能導(dǎo)致Win 2000/XP操作系統(tǒng)重啟，蠕蟲傳播時可能導(dǎo)致被感染主機系統(tǒng)性能嚴(yán)重下降以及被感染網(wǎng)絡(luò)帶寬被大量占用。

　　[對策]

　　1、首先斷開計算機網(wǎng)絡(luò)。

　　2、然后用專殺工具查殺毒。

　　3、最后打系統(tǒng)補丁

　　事件4、TELNET服務(wù)用戶認(rèn)證失敗

　　TELNET服務(wù)往往是攻擊者入侵系統(tǒng)的渠道之一。大多數(shù)情況下，合法用戶在TELNET登錄過程中會認(rèn)證成功。如果出現(xiàn)用戶名或口令無效等情況，TELNET服務(wù)器會使認(rèn)證失敗。如果登錄用戶名為超級用戶，則更應(yīng)引起重視，檢查訪問來源是否合法。如果短時間內(nèi)大量出現(xiàn)TELNET認(rèn)證失敗響應(yīng)，則說明主機可能在遭受暴力猜測攻擊。

　　[對策]

　　1、檢查訪問來源的IP、認(rèn)證用戶名及口令是否符合安全策略。

　　2、密切關(guān)注FTP客戶端大量失敗認(rèn)證的來源地址的活動，如果覺得有必要，可以暫時禁止此客戶端源IP地址的訪問。

　　事件5、TELNET服務(wù)用戶弱口令認(rèn)證

　　攻擊者可能利用掃描軟件或人工猜測到TELNET服務(wù)的弱口令從而非法獲得FTP服務(wù)的訪問，也可能結(jié)合TELNET服務(wù)器的本地其他漏洞獲取主機的控制權(quán)。

　　[對策]

　　1、提醒或強制相關(guān)的TELNET服務(wù)用戶設(shè)置復(fù)雜的口令。

　　2、設(shè)置安全策略，定期強制用戶更改自己的口令。

　　事件6、Microsoft SQL 客戶端SA用戶默認(rèn)空口令連接

　　Microsoft SQL數(shù)據(jù)庫默認(rèn)安裝時存在sa用戶密碼為空的問題，遠(yuǎn)程攻擊者可能利用這個漏洞登錄到數(shù)據(jù)庫服務(wù)器對數(shù)據(jù)庫進(jìn)行任意操作。更危險的是由大多數(shù)MS-SQL的安裝采用集成Windows系統(tǒng)認(rèn)證的方式，遠(yuǎn)程攻擊者利用空口令登錄到SQL服務(wù)器后，可以利用MS-SQL的某些轉(zhuǎn)儲過程如xp_cmdshell等以LocalSystem的權(quán)限在主機上執(zhí)行任意命令，從而取得主機的完全控制。

　　[對策]

　　1、系統(tǒng)的安全模式盡量使用“Windows NT only”模式，這樣只有信任的計算機才能連上數(shù)據(jù)庫。

　　2、為sa賬號設(shè)置一個強壯的密碼;

　　3、不使用TCP/IP網(wǎng)絡(luò)協(xié)議，改用其他網(wǎng)絡(luò)協(xié)議。

　　4、如果使用TCP/IP網(wǎng)絡(luò)協(xié)議，最好將其默認(rèn)端口1433改為其他端口，這樣攻擊者用掃描器就不容易掃到。

　　事件7、POP3服務(wù)暴力猜測口令攻擊

　　POP3服務(wù)是常見網(wǎng)絡(luò)郵件收取協(xié)議。

　　發(fā)現(xiàn)大量的POP3登錄失敗事件，攻擊者可能正在嘗試猜測有效的POP3服務(wù)用戶名和口令，如果成功，攻擊者可能利用POP3服務(wù)本身漏洞或結(jié)合其他服務(wù)相關(guān)的漏洞進(jìn)一步侵害系統(tǒng)，也可能讀取用戶的郵件，造成敏感信息泄露。

　　[對策]

　　密切留意攻擊來源的進(jìn)一步活動，如果覺得有必要阻塞其對服務(wù)器的連接訪問。

　　事件8、POP3服務(wù)接收可疑病毒郵件

　　當(dāng)前通過郵件傳播的病毒、蠕蟲日益流行，其中一些郵件病毒通過發(fā)送帶有可執(zhí)行的附件誘使用戶點擊執(zhí)行來傳播，常見的病毒附件名后綴有:.pif、.scr、.bat、.cmd、.com ，帶有這些后綴文件名附件的郵件通常都是偽裝成普通郵件的病毒郵件。

　　郵件病毒感染了主機以后通常會向郵件客戶端軟件中保存的其他用戶郵件地址發(fā)送相同的病毒郵件以擴大傳染面。

　　此事件表示IDS檢測到接收帶可疑病毒附件郵件的操作，郵件的接收者很可能會感染某種郵件病毒，需要立即處理。

　　[對策]

　　1、通知隔離檢查發(fā)送病毒郵件的主機，使用殺毒軟件殺除系統(tǒng)上感染的病毒。

　　2、在郵件服務(wù)器上安裝病毒郵件過濾軟件，在用戶接收之前就殺除之。

　　事件9、Microsoft Windows LSA服務(wù)遠(yuǎn)程緩沖區(qū)溢出攻擊

　　Microsoft Windows LSA是本地安全授權(quán)服務(wù)(LSASRV.DLL)。

　　LSASS DCE/RPC末端導(dǎo)出的Microsoft活動目錄服務(wù)存在一個緩沖區(qū)溢出，遠(yuǎn)程攻擊者可以利用這個漏洞以SYSTEM權(quán)限在系統(tǒng)上執(zhí)行任意指令。

　　[對策]

　　1、臨時處理方法:使用防火墻對UDP端口135、137、138、445及TCP端口135、139、445、593進(jìn)行過濾。

　　2、打系統(tǒng)補丁、升級。