如何檢測內聯網高風險事件及對策

  以下是OMG小編為大家收集整理的文章,希望對大家有所幫助。

  內聯網入侵檢測系統九大高風險事件及其對策

  為了切實加強內聯網管理、充分發揮“IDS系統”的作用,下面筆者根據安全監控高風險事件來分析問題、提出對策,以供大家參考。內聯網入侵檢測系統***以下簡稱“IDS系統”***能夠及時發現一些內聯網內的網路病毒、系統漏洞、異常攻擊等高風險事件並進行有效處置,從而增強了內聯網的安全性,有力地保障了各重要業務系統的正常執行。

  事件1、windows 2000/XP RPC服務遠端拒絕服務攻擊

  漏洞存在於windows系統的DCE-RPC堆疊實現中,遠端攻擊者可以連線TCP 135埠,傳送畸形資料,可導致關閉RPC服務,關閉RPC服務可以引起系統停止對新的RPC請求進行響應,產生拒絕服務。

  [對策]

  1、臨時處理方法:使用防火牆或Windows系統自帶的TCP/IP過濾機制對TCP 135埠進行限制,限制外部不可信任主機的連線。

  2、徹底解決辦法:打安全補丁。

  事件2、Windows系統下MSBLAST***衝擊波***蠕蟲傳播

  感染蠕蟲的計算機試圖掃描感染網路上的其他主機,消耗主機本身的資源及大量網路頻寬,造成網路訪問能力急劇下降。

  [對策]

  1、下載完補丁後斷開網路連線再安裝補丁。

  2、清除蠕蟲病毒。

  事件3、Windows系統下Sasser***震盪波***蠕蟲傳播

  蠕蟲攻擊會在系統上留下後門並可能導致Win 2000/XP作業系統重啟,蠕蟲傳播時可能導致被感染主機系統性能嚴重下降以及被感染網路頻寬被大量佔用。

  [對策]

  1、首先斷開計算機網路。

  2、然後用專殺工具查防毒。

  3、最後打系統補丁

  事件4、TELNET服務使用者認證失敗

  TELNET服務往往是攻擊者入侵系統的渠道之一。大多數情況下,合法使用者在TELNET登入過程中會認證成功。如果出現使用者名稱或口令無效等情況,TELNET伺服器會使認證失敗。如果登入使用者名稱為超級使用者,則更應引起重視,檢查訪問來源是否合法。如果短時間內大量出現TELNET認證失敗響應,則說明主機可能在遭受暴力猜測攻擊。

  [對策]

  1、檢查訪問來源的IP、認證使用者名稱及口令是否符合安全策略。

  2、密切關注FTP客戶端大量失敗認證的來源地址的活動,如果覺得有必要,可以暫時禁止此客戶端源IP地址的訪問。

  事件5、TELNET服務使用者弱口令認證

  攻擊者可能利用掃描軟體或人工猜測到TELNET服務的弱口令從而非法獲得FTP服務的訪問,也可能結合TELNET伺服器的本地其他漏洞獲取主機的控制權。

  [對策]

  1、提醒或強制相關的TELNET服務使用者設定複雜的口令。

  2、設定安全策略,定期強制使用者更改自己的口令。

  事件6、Microsoft SQL 客戶端SA使用者預設空口令連線

  Microsoft SQL資料庫預設安裝時存在sa使用者密碼為空的問題,遠端攻擊者可能利用這個漏洞登入到資料庫伺服器對資料庫進行任意操作。更危險的是由大多數MS-SQL的安裝採用整合Windows系統認證的方式,遠端攻擊者利用空口令登入到SQL伺服器後,可以利用MS-SQL的某些轉儲過程如xp_cmdshell等以LocalSystem的許可權在主機上執行任意命令,從而取得主機的完全控制。

  [對策]

  1、系統的安全模式儘量使用“Windows NT only”模式,這樣只有信任的計算機才能連上資料庫。

  2、為sa賬號設定一個強壯的密碼;

  3、不使用TCP/IP網路協議,改用其他網路協議。

  4、如果使用TCP/IP網路協議,最好將其預設埠1433改為其他埠,這樣攻擊者用掃描器就不容易掃到。

  事件7、POP3服務暴力猜測口令攻擊

  POP3服務是常見網路郵件收取協議。

  發現大量的POP3登入失敗事件,攻擊者可能正在嘗試猜測有效的POP3服務使用者名稱和口令,如果成功,攻擊者可能利用POP3服務本身漏洞或結合其他服務相關的漏洞進一步侵害系統,也可能讀取使用者的郵件,造成敏感資訊洩露。

  [對策]

  密切留意攻擊來源的進一步活動,如果覺得有必要阻塞其對伺服器的連線訪問。

  事件8、POP3服務接收可疑病毒郵件

  當前通過郵件傳播的病毒、蠕蟲日益流行,其中一些郵件病毒通過傳送帶有可執行的附件誘使使用者點選執行來傳播,常見的病毒附件名字尾有:.pif、.scr、.bat、.cmd、 ,帶有這些字尾檔名附件的郵件通常都是偽裝成普通郵件的病毒郵件。

  郵件病毒感染了主機以後通常會向郵件客戶端軟體中儲存的其他使用者郵件地址傳送相同的病毒郵件以擴大傳染面。

  此事件表示IDS檢測到接收帶可疑病毒附件郵件的操作,郵件的接收者很可能會感染某種郵件病毒,需要立即處理。

  [對策]

  1、通知隔離檢查傳送病毒郵件的主機,使用防毒軟體殺除系統上感染的病毒。

  2、在郵件伺服器上安裝病毒郵件過濾軟體,在使用者接收之前就殺除之。

  事件9、Microsoft Windows LSA服務遠端緩衝區溢位攻擊

  Microsoft Windows LSA是本地安全授權服務***LSASRV.DLL***。

  LSASS DCE/RPC末端匯出的Microsoft活動目錄服務存在一個緩衝區溢位,遠端攻擊者可以利用這個漏洞以SYSTEM許可權在系統上執行任意指令。

  [對策]

  1、臨時處理方法:使用防火牆對UDP埠135、137、138、445及TCP埠135、139、445、593進行過濾。

  2、打系統補丁、升級。