十大入侵检测系统高风险事件及对策

　　入侵检测系统(IDS)能够及时发现一些内联网内的网络病毒、系统漏洞、异常攻击等高风险事件并进行有效处置，从而增强了内联网的安全性，有力地保障了各重要业务系统的正常运行。为了切实加强内联网管理、充分发挥“IDS系统”的作用，下面笔者根据安全监控高风险事件来分析问题、提出对策，以供大家参考。

　　事件1 Windows 2000/XP RPC服务远程拒绝服务攻击

　　漏洞存在于Windows系统的DCE-RPC堆栈实现中，远程攻击者可以连接TCP 135端口，发送畸形数据，可导致关闭RPC服务，关闭RPC服务可以引起系统停止对新的RPC请求进行响应，产生拒绝服务。

　　[对策]

　　1、临时处理方法:使用防火墙或Windows系统自带的TCP/IP过滤机制对TCP 135端口进行限制，限制外部不可信任主机的连接。

　　2、彻底解决办法:打安全补丁。

　　事件2 Windows系统下MSBLAST(冲击波)蠕虫传播

　　感染蠕虫的计算机试图扫描感染网络上的其他主机，消耗主机本身的资源及大量网络带宽，造成网络访问能力急剧下降。

　　[对策]

　　1、下载完补丁后断开网络连接再安装补丁。

　　2、清除蠕虫病毒。

　　事件3 Windows系统下Sasser(震荡波)蠕虫传播

　　蠕虫攻击会在系统上留下后门并可能导致Win 2000/XP操作系统重启，蠕虫传播时可能导致被感染主机系统性能严重下降以及被感染网络带宽被大量占用。

　　[对策]

　　1、首先断开计算机网络。

　　2、然后用专杀工具查杀毒。

　　3、最后打系统补丁。

　　事件4 TELNET服务暴力猜测用户口令

　　TELNET服务是常见远程登录仿真服务，用户可以使用TELNET远程登录系统，执行任意命令。此事件属获取权限类攻击。攻击者可能正在尝试猜测有效的TELNET服务用户名和口令，如果成功，攻击者可以登录到系统执行各种命令甚至完全控制系统。

　　[对策]

　　密切留意攻击来源的进一步活动，如果觉得有必要阻塞其对服务器的连接访问。

　　事件5 TELNET服务用户认证失败

　　TELNET服务往往是攻击者入侵系统的渠道之一。大多数情况下，合法用户在TELNET登录过程中会认证成功。如果出现用户名或口令无效等情况，TELNET服务器会使认证失败。如果登录用户名为超级用户，则更应引起重视，检查访问来源是否合法。如果短时间内大量出现TELNET认证失败响应，则说明主机可能在遭受暴力猜测攻击。

　　[对策]

　　1、检查访问来源的IP、认证用户名及口令是否符合安全策略。

　　2、密切关注FTP客户端大量失败认证的来源地址的活动，如果觉得有必要，可以暂时禁止此客户端源IP地址的访问。

　　事件6 TELNET服务用户弱口令认证

　　攻击者可能利用扫描软件或人工猜测到TELNET服务的弱口令从而非法获得FTP服务的访问，也可能结合TELNET服务器的本地其他漏洞获取主机的控制权。

　　[对策]

　　1、提醒或强制相关的TELNET服务用户设置复杂的口令。

　　2、设置安全策略，定期强制用户更改自己的口令。

　　事件7 Microsoft SQL 客户端SA用户默认空口令连接

　　Microsoft SQL数据库默认安装时存在sa用户密码为空的问题，远程攻击者可能利用这个漏洞登录到数据库服务器对数据库进行任意操作。更危险的是由大多数MS-SQL的安装采用集成Windows系统认证的方式，远程攻击者利用空口令登录到SQL服务器后，可以利用MS-SQL的某些转储过程如xp_cmdshell等以LocalSystem的权限在主机上执行任意命令，从而取得主机的完全控制。

　　[对策]

　　1、系统的安全模式尽量使用“Windows NT only”模式，这样只有信任的计算机才能连上数据库。

　　2、为sa账号设置一个强壮的密码;

　　3、不使用TCP/IP网络协议，改用其他网络协议。

　　4、如果使用TCP/IP网络协议，最好将其默认端口1433改为其他端口，这样攻击者用扫描器就不容易扫到。

　　事件8 POP3服务暴力猜测口令攻击

　　POP3服务是常见网络邮件收取协议。

　　发现大量的POP3登录失败事件，攻击者可能正在尝试猜测有效的POP3服务用户名和口令，如果成功，攻击者可能利用POP3服务本身漏洞或结合其他服务相关的漏洞进一步侵害系统，也可能读取用户的邮件，造成敏感信息泄露。

　　[对策]

　　密切留意攻击来源的进一步活动，如果觉得有必要阻塞其对服务器的连接访问。

　　事件9 POP3服务接收可疑病毒邮

　　当前通过邮件传播的病毒、蠕虫日益流行，其中一些邮件病毒通过发送带有可执行的附件诱使用户点击执行来传播，常见的病毒附件名后缀有:.pif、.scr、.bat、.cmd、.com ，带有这些后缀文件名附件的邮件通常都是伪装成普通邮件的病毒邮件。

　　邮件病毒感染了主机以后通常会向邮件客户端软件中保存的其他用户邮件地址发送相同的病毒邮件以扩大传染面。

　　此事件表示IDS检测到接收带可疑病毒附件邮件的操作，邮件的接收者很可能会感染某种邮件病毒，需要立即处理。

　　[对策]

　　1、通知隔离检查发送病毒邮件的主机，使用杀毒软件杀除系统上感染的病毒。

　　2、在邮件服务器上安装病毒邮件过滤软件，在用户接收之前就杀除之。

　　事件10 Microsoft Windows LSA服务远程缓冲区溢出攻击

　　Microsoft Windows LSA是本地安全授权服务(LSASRV.DLL)。

　　LSASS DCE/RPC末端导出的Microsoft活动目录服务存在一个缓冲区溢出，远程攻击者可以利用这个漏洞以SYSTEM权限在系统上执行任意指令。

　　[对策]

　　1、临时处理方法:使用防火墙对UDP端口135、137、138、445及TCP端口135、139、445、593进行过滤。

　　2、打系统补丁、升级。