十大入侵檢測系統高風險事件及其處置對策

下一頁 1 2 

　　 

內聯網入侵檢測系統(以下簡稱“IDS系統”)能夠及時發現一些內聯網內的網絡病毒、系統漏洞、異常攻擊等高風險事件并進行有效處置，從而增強了內聯網的安全性，有力地保障了各重要業務系統的正常運行。

為了切實加強內聯網管理、充分發揮“IDS系統”的作用，下面筆者根據安全監控高風險事件來分析問題、提出對策，以供大家參考。

事件1 Windows 2000/XP RPC服務遠程拒絕服務攻擊

漏洞存在于Windows系統的DCE-RPC堆棧實現中，遠程攻擊者可以連接TCP 135端口，發送畸形數據，可導致關閉RPC服務，關閉RPC服務可以引起系統停止對新的RPC請求進行響應，產生拒絕服務。

[對策]

1、臨時處理方法:使用防火墻或Windows系統自帶的TCP/IP過濾機制對TCP 135端口進行限制，限制外部不可信任主機的連接。

2、徹底解決辦法:打安全補丁。

事件2 Windows系統下MSBLAST(沖擊波)蠕蟲傳播

感染蠕蟲的計算機試圖掃描感染網絡上的其他主機，消耗主機本身的資源及大量網絡帶寬，造成網絡訪問能力急劇下降。

[對策]

1、下載完補丁后斷開網絡連接再安裝補丁。

2、清除蠕蟲病毒。

事件3 Windows系統下Sasser(震蕩波)蠕蟲傳播

蠕蟲攻擊會在系統上留下后門并可能導致Win 2000/XP操作系統重啟，蠕蟲傳播時可能導致被感染主機系統性能嚴重下降以及被感染網絡帶寬被大量占用。

[對策]

1、首先斷開計算機網絡。

2、然后用專殺工具查殺毒。

3、最后打系統補丁。

事件4 TELNET服務暴力猜測用戶口令

TELNET服務是常見遠程登錄仿真服務，用戶可以使用TELNET遠程登錄系統，執行任意命令。此事件屬獲取權限類攻擊。攻擊者可能正在嘗試猜測有效的TELNET服務用戶名和口令，如果成功，攻擊者可以登錄到系統執行各種命令甚至完全控制系統。

[對策]

密切留意攻擊來源的進一步活動，如果覺得有必要阻塞其對服務器的連接訪問。

事件5 TELNET服務用戶認證失敗

TELNET服務往往是攻擊者入侵系統的渠道之一。大多數情況下，合法用戶在TELNET登錄過程中會認證成功。如果出現用戶名或口令無效等情況，TELNET服務器會使認證失敗。如果登錄用戶名為超級用戶，則更應引起重視，檢查訪問來源是否合法。如果短時間內大量出現TELNET認證失敗響應，則說明主機可能在遭受暴力猜測攻擊。

[對策]

1、檢查訪問來源的IP、認證用戶名及口令是否符合安全策略。

2、密切關注FTP客戶端大量失敗認證的來源地址的活動，如果覺得有必要，可以暫時禁止此客戶端源IP地址的訪問。

原文轉自：http://www.kjueaiud.com