网络安全参考 | UNIX参考 | GPS参考 | 无线参考 | 在线手册 | OSBUG.ORG | SUNNY-NETWORK.COM
网站地图 RSS订阅
高级搜索 收藏本站
Home | 业界动态 | 防火墙 | IDS/IPS | VPN | PKI | Honeypot | Hacker/Intruder | 黑客技术 | 破解技术 | 加密技术 | 病毒防护 | 木马 | 反垃圾邮件 | 反流氓软件 | 漏洞 | 无线安全 | UNIX | Windows | 安全编程 | 安全软件 | TPM/TCG | 数据恢复 | 企业信息安全 | 个人信息安全
 当前位置: Home > IDS/IPS > 文章  
十大入侵检测系统高风险事件及其对策
文章来源: 黑客联盟 文章作者: 不详 发布时间: 2006-07-13   字体: [ ]
 
  内联网入侵检测系统(以下简称“IDS系统”)能够及时发现一些内联网内的网络病毒、系统漏洞、异常攻击等高风险事件并进行有效处置,从而增强了内联网的安全性,有力地保障了各重要业务系统的正常运行。为了切实加强内联网管理、充分发挥“IDS系统”的作用,下面笔者根据安全监控高风险事件来分析问题、提出对策,以供大家参考。 

  事件1、Windows 2000/XP RPC服务远程拒绝服务攻击 

  漏洞存在于Windows系统的DCE-RPC堆栈实现中,远程攻击者可以连接TCP 135端口,发送畸形数据,可导致关闭RPC服务,关闭RPC服务可以引起系统停止对新的RPC请求进行响应,产生拒绝服务。 

  [对策] 

  1、临时处理方法:使用防火墙或Windows系统自带的TCP/IP过滤机制对TCP 135端口进行限制,限制外部不可信任主机的连接。 

  2、彻底解决办法:打安全补丁。 

  事件2、Windows系统下MSBLAST(冲击波)蠕虫传播 

  感染蠕虫的计算机试图扫描感染网络上的其他主机,消耗主机本身的资源及大量网络带宽,造成网络访问能力急剧下降。 

  [对策] 

  1、下载完补丁后断开网络连接再安装补丁。 

  2、清除蠕虫病毒。 

  事件3、Windows系统下Sasser(震荡波)蠕虫传播 

  蠕虫攻击会在系统上留下后门并可能导致Win 2000/XP操作系统重启,蠕虫传播时可能导致被感染主机系统性能严重下降以及被感染网络带宽被大量占用。 

  [对策] 

  1、首先断开计算机网络。 

  2、然后用专杀工具查杀毒。 

  3、最后打系统补丁 

  事件4、TELNET服务用户认证失败 

  TELNET服务往往是攻击者入侵系统的渠道之一。大多数情况下,合法用户在TELNET登录过程中会认证成功。如果出现用户名或口令无效等情况,TELNET服务器会使认证失败。如果登录用户名为超级用户,则更应引起重视,检查访问来源是否合法。如果短时间内大量出现TELNET认证失败响应,则说明主机可能在遭受暴力猜测攻击。 

  [对策] 

  1、检查访问来源的IP、认证用户名及口令是否符合安全策略。 

  2、密切关注FTP客户端大量失败认证的来源地址的活动,如果觉得有必要,可以暂时禁止此客户端源IP地址的访问。 

  事件5、TELNET服务用户弱口令认证 

  攻击者可能利用扫描软件或人工猜测到TELNET服务的弱口令从而非法获得FTP服务的访问,也可能结合TELNET服务器的本地其他漏洞获取主机的控制权。 

  [对策] 

  1、提醒或强制相关的TELNET服务用户设置复杂的口令。 

  2、设置安全策略,定期强制用户更改自己的口令。 

  事件6、Microsoft SQL 客户端SA用户默认空口令连接 

  Microsoft SQL数据库默认安装时存在sa用户密码为空的问题,远程攻击者可能利用这个漏洞登录到数据库服务器对数据库进行任意操作。更危险的是由大多数MS-SQL的安装采用集成Windows系统认证的方式,远程攻击者利用空口令登录到SQL服务器后,可以利用MS-SQL的某些转储过程如xp_cmdshell等以LocalSystem的权限在主机上执行任意命令,从而取得主机的完全控制。 

  [对策] 

  1、系统的安全模式尽量使用“Windows NT only”模式,这样只有信任的计算机才能连上数据库。 

  2、为sa账号设置一个强壮的密码; 

  3、不使用TCP/IP网络协议,改用其他网络协议。 

  4、如果使用TCP/IP网络协议,最好将其默认端口1433改为其他端口,这样攻击者用扫描器就不容易扫到。 

  事件7、POP3服务暴力猜测口令攻击 

  POP3服务是常见网络邮件收取协议。 

  发现大量的POP3登录失败事件,攻击者可能正在尝试猜测有效的POP3服务用户名和口令,如果成功,攻击者可能利用POP3服务本身漏洞或结合其他服务相关的漏洞进一步侵害系统,也可能读取用户的邮件,造成敏感信息泄露。 

  [对策] 

  密切留意攻击来源的进一步活动,如果觉得有必要阻塞其对服务器的连接访问。 

  事件8、POP3服务接收可疑病毒邮件 

  当前通过邮件传播的病毒、蠕虫日益流行,其中一些邮件病毒通过发送带有可执行的附件诱使用户点击执行来传播,常见的病毒附件名后缀有:.pif、.scr、.bat、.cmd、.com ,带有这些后缀文件名附件的邮件通常都是伪装成普通邮件的病毒邮件。 

  邮件病毒感染了主机以后通常会向邮件客户端软件中保存的其他用户邮件地址发送相同的病毒邮件以扩大传染面。 

  此事件表示IDS检测到接收带可疑病毒附件邮件的操作,邮件的接收者很可能会感染某种邮件病毒,需要立即处理。 

  [对策] 

  1、通知隔离检查发送病毒邮件的主机,使用杀毒软件杀除系统上感染的病毒。  

  2、在邮件服务器上安装病毒邮件过滤软件,在用户接收之前就杀除之。 

  事件9、Microsoft Windows LSA服务远程缓冲区溢出攻击 

  Microsoft Windows LSA是本地安全授权服务(LSASRV.DLL)。 

  LSASS DCE/RPC末端导出的Microsoft活动目录服务存在一个缓冲区溢出,远程攻击者可以利用这个漏洞以SYSTEM权限在系统上执行任意指令。 

  [对策] 

  1、临时处理方法:使用防火墙对UDP端口135、137、138、445及TCP端口135、139、445、593进行过滤。 

  2、打系统补丁、升级。



--
※ 原文链接: http://virus.chinavnet.com/newSite/Channels/Safety/SafetyResourse/Safe_Foundation/200602/10-111821682.htm
 
推荐文章
·谁在误导群众 Vista评分工具深入
·100%中招 亲身“体验”Vista蓝屏
·BIOS引发的血案 10分钟完美破解V
·轻松应对偷偷跑进来的自启动程序
·普通人不知道的20个WinXP秘密
·防范非法用户入侵Win 2K/XP系统
·Vista发布 对SOA带来什么影响
·安全性不是购买Vista的理由
·Vista并不安全 九成以上病毒均可
·Windows Vista操作系统安全性能
·Vista的安全措施有何具体意义?
·专家问诊 排除网上邻居使用4大常
·Vista被曝重大隐患 电脑极易被远
·技术知识入门:反NIDS技术应用介
 
 
↑返回顶部   打印本页   关闭窗口↓  

Google
 
Web oldhand.org unixreference.net meshmea.org
热点文章
·BIOS引发的血案 10分钟
·如何删掉“删不掉”的文
·几种Windows系统实现远
·谁在误导群众 Vista评分
·零起步搞定DNS(网络域名
·Windows Vista兼容性问
·IPS vs. IDS 势不两立还
·防止黑客入侵 网络端口
相关分类
相关文章
·Windows最新十大安全漏
·十大Windows服务隐患重
·术语详解: IDS
·专家建议封杀Google桌面
·防止黑客入侵 网络端口
·对微软施压 16岁少年发
·入侵检测系统(IDS)的弱
·入侵检测系统(IDS)的弱
更多...
 
 

Copyright(c) 2001-2008 OLDHAND ORGANIZATION, All Rights reserved.
Power by DedeCms 织梦内容管理系统
$Id: article_article.html,v 1.3 2007/02/10 12:00:37 yjs Exp $