如何檢測內聯(lián)網(wǎng)高風險事件及對策

　　以下是OMG小編為大家收集整理的文章，希望對大家有所幫助。

　　內聯(lián)網(wǎng)入侵檢測系統(tǒng)九大高風險事件及其對策

　　為了切實加強內聯(lián)網(wǎng)管理、充分發(fā)揮“IDS系統(tǒng)”的作用，下面筆者根據(jù)安全監(jiān)控高風險事件來分析問題、提出對策，以供大家參考。內聯(lián)網(wǎng)入侵檢測系統(tǒng)(以下簡稱“IDS系統(tǒng)”)能夠及時發(fā)現(xiàn)一些內聯(lián)網(wǎng)內的網(wǎng)絡病毒、系統(tǒng)漏洞、異常攻擊等高風險事件并進行有效處置，從而增強了內聯(lián)網(wǎng)的安全性，有力地保障了各重要業(yè)務系統(tǒng)的正常運行。

　　事件1、windows 2000/XP RPC服務遠程拒絕服務攻擊

　　漏洞存在于windows系統(tǒng)的DCE-RPC堆棧實現(xiàn)中，遠程攻擊者可以連接TCP 135端口，發(fā)送畸形數(shù)據(jù)，可導致關閉RPC服務，關閉RPC服務可以引起系統(tǒng)停止對新的RPC請求進行響應，產生拒絕服務。

　　[對策]

　　1、臨時處理方法:使用防火墻或Windows系統(tǒng)自帶的TCP/IP過濾機制對TCP 135端口進行限制，限制外部不可信任主機的連接。

　　2、徹底解決辦法:打安全補丁。

　　事件2、Windows系統(tǒng)下MSBLAST(沖擊波)蠕蟲傳播

　　感染蠕蟲的計算機試圖掃描感染網(wǎng)絡上的其他主機，消耗主機本身的資源及大量網(wǎng)絡帶寬，造成網(wǎng)絡訪問能力急劇下降。

　　[對策]

　　1、下載完補丁后斷開網(wǎng)絡連接再安裝補丁。

　　2、清除蠕蟲病毒。

　　事件3、Windows系統(tǒng)下Sasser(震蕩波)蠕蟲傳播

　　蠕蟲攻擊會在系統(tǒng)上留下后門并可能導致Win 2000/XP操作系統(tǒng)重啟，蠕蟲傳播時可能導致被感染主機系統(tǒng)性能嚴重下降以及被感染網(wǎng)絡帶寬被大量占用。

　　[對策]

　　1、首先斷開計算機網(wǎng)絡。

　　2、然后用專殺工具查殺毒。

　　3、最后打系統(tǒng)補丁

　　事件4、TELNET服務用戶認證失敗

　　TELNET服務往往是攻擊者入侵系統(tǒng)的渠道之一。大多數(shù)情況下，合法用戶在TELNET登錄過程中會認證成功。如果出現(xiàn)用戶名或口令無效等情況，TELNET服務器會使認證失敗。如果登錄用戶名為超級用戶，則更應引起重視，檢查訪問來源是否合法。如果短時間內大量出現(xiàn)TELNET認證失敗響應，則說明主機可能在遭受暴力猜測攻擊。

　　[對策]

　　1、檢查訪問來源的IP、認證用戶名及口令是否符合安全策略。

　　2、密切關注FTP客戶端大量失敗認證的來源地址的活動，如果覺得有必要，可以暫時禁止此客戶端源IP地址的訪問。

　　事件5、TELNET服務用戶弱口令認證

　　攻擊者可能利用掃描軟件或人工猜測到TELNET服務的弱口令從而非法獲得FTP服務的訪問，也可能結合TELNET服務器的本地其他漏洞獲取主機的控制權。

　　[對策]

　　1、提醒或強制相關的TELNET服務用戶設置復雜的口令。

　　2、設置安全策略，定期強制用戶更改自己的口令。

　　事件6、Microsoft SQL 客戶端SA用戶默認空口令連接

　　Microsoft SQL數(shù)據(jù)庫默認安裝時存在sa用戶密碼為空的問題，遠程攻擊者可能利用這個漏洞登錄到數(shù)據(jù)庫服務器對數(shù)據(jù)庫進行任意操作。更危險的是由大多數(shù)MS-SQL的安裝采用集成Windows系統(tǒng)認證的方式，遠程攻擊者利用空口令登錄到SQL服務器后，可以利用MS-SQL的某些轉儲過程如xp_cmdshell等以LocalSystem的權限在主機上執(zhí)行任意命令，從而取得主機的完全控制。

　　[對策]

　　1、系統(tǒng)的安全模式盡量使用“Windows NT only”模式，這樣只有信任的計算機才能連上數(shù)據(jù)庫。

　　2、為sa賬號設置一個強壯的密碼;

　　3、不使用TCP/IP網(wǎng)絡協(xié)議，改用其他網(wǎng)絡協(xié)議。

　　4、如果使用TCP/IP網(wǎng)絡協(xié)議，最好將其默認端口1433改為其他端口，這樣攻擊者用掃描器就不容易掃到。

　　事件7、POP3服務暴力猜測口令攻擊

　　POP3服務是常見網(wǎng)絡郵件收取協(xié)議。

　　發(fā)現(xiàn)大量的POP3登錄失敗事件，攻擊者可能正在嘗試猜測有效的POP3服務用戶名和口令，如果成功，攻擊者可能利用POP3服務本身漏洞或結合其他服務相關的漏洞進一步侵害系統(tǒng)，也可能讀取用戶的郵件，造成敏感信息泄露。

　　[對策]

　　密切留意攻擊來源的進一步活動，如果覺得有必要阻塞其對服務器的連接訪問。

　　事件8、POP3服務接收可疑病毒郵件

　　當前通過郵件傳播的病毒、蠕蟲日益流行，其中一些郵件病毒通過發(fā)送帶有可執(zhí)行的附件誘使用戶點擊執(zhí)行來傳播，常見的病毒附件名后綴有:.pif、.scr、.bat、.cmd、.com ，帶有這些后綴文件名附件的郵件通常都是偽裝成普通郵件的病毒郵件。

　　郵件病毒感染了主機以后通常會向郵件客戶端軟件中保存的其他用戶郵件地址發(fā)送相同的病毒郵件以擴大傳染面。

　　此事件表示IDS檢測到接收帶可疑病毒附件郵件的操作，郵件的接收者很可能會感染某種郵件病毒，需要立即處理。

　　[對策]

　　1、通知隔離檢查發(fā)送病毒郵件的主機，使用殺毒軟件殺除系統(tǒng)上感染的病毒。

　　2、在郵件服務器上安裝病毒郵件過濾軟件，在用戶接收之前就殺除之。

　　事件9、Microsoft Windows LSA服務遠程緩沖區(qū)溢出攻擊

　　Microsoft Windows LSA是本地安全授權服務(LSASRV.DLL)。

　　LSASS DCE/RPC末端導出的Microsoft活動目錄服務存在一個緩沖區(qū)溢出，遠程攻擊者可以利用這個漏洞以SYSTEM權限在系統(tǒng)上執(zhí)行任意指令。

　　[對策]

　　1、臨時處理方法:使用防火墻對UDP端口135、137、138、445及TCP端口135、139、445、593進行過濾。

　　2、打系統(tǒng)補丁、升級。