上一篇：Word唱空城计文档内容巧隐藏 >>

十大入侵检测系统高风险事件及其处置对策

　　内联网入侵检测系统(以下简称“IDS系统”)能够及时发现一些内联网内的网络病毒、系统漏洞、异常攻击等高风险事件并进行有效处置，从而增强了内联网的安全性，有力地保障了各重要业务系统的正常运行。为了切实加强内联网管理、充分发挥“IDS系统”的作用，下面笔者根据安全监控高风险事件来分析问题、提出对策，以供大家参考。

　　事件1 Windows 2000/XP RPC服务远程拒绝服务攻击

　　漏洞存在于Windows系统的DCE-RPC堆栈实现中，远程攻击者可以连接TCP 135端口，发送畸形数据，可导致关闭RPC服务，关闭RPC服务可以引起系统停止对新的RPC请求进行响应，产生拒绝服务。

　　[对策]

　　1、临时处理方法:使用防火墙或Windows系统自带的TCP/IP过滤机制对TCP 135端口进行限制，限制外部不可信任主机的连接。

　　2、彻底解决办法:打安全补丁。

　　事件2 Windows系统下MSBLAST(冲击波)蠕虫传播

　　感染蠕虫的计算机试图扫描感染网络上的其他主机，消耗主机本身的资源及大量网络带宽，造成网络访问能力急剧下降。

　　[对策]

　　1、下载完补丁后断开网络连接再安装补丁。

　　2、清除蠕虫病毒。

　　事件3 Windows系统下Sasser(震荡波)蠕虫传播

　　蠕虫攻击会在系统上留下后门并可能导致Win 2000/XP操作系统重启，蠕虫传播时可能导致被感染主机系统性能严重下降以及被感染网络带宽被大量占用。

　　[对策]

　　1、首先断开计算机网络。

　　2、然后用专杀工具查杀毒。

　　3、最后打系统补丁。

　　阅读关于 IDS 入侵检测系统病毒漏洞攻击的全部文章　　事件8 POP3服务暴力猜测口令攻击

　　POP3服务是常见网络邮件收取协议。

　　发现大量的POP3登录失败事件，攻击者可能正在尝试猜测有效的POP3服务用户名和口令，如果成功，攻击者可能利用POP3服务本身漏洞或结合其他服务相关的漏洞进一步侵害系统，也可能读取用户的邮件，造成敏感信息泄露。

　　[对策]

　　密切留意攻击来源的进一步活动，如果觉得有必要阻塞其对服务器的连接访问。

　　事件9 POP3服务接收可疑病毒邮件

　　当前通过邮件传播的病毒、蠕虫日益流行，其中一些邮件病毒通过发送带有可执行的附件诱使用户点击执行来传播，常见的病毒附件名后缀有:.pif、.scr、.bat、.cmd、.com ，带有这些后缀文件名附件的邮件通常都是伪装成普通邮件的病毒邮件。

　　邮件病毒感染了主机以后通常会向邮件客户端软件中保存的其他用户邮件地址发送相同的病毒邮件以扩大传染面。

　　此事件表示IDS检测到接收带可疑病毒附件邮件的操作，邮件的接收者很可能会感染某种邮件病毒，需要立即处理。

　　[对策]

　　1、通知隔离检查发送病毒邮件的主机，使用杀毒软件杀除系统上感染的病毒。

　　2、在邮件服务器上安装病毒邮件过滤软件，在用户接收之前就杀除之。

　　事件10 Microsoft Windows LSA服务远程缓冲区溢出攻击

　　Microsoft Windows LSA是本地安全授权服务(LSASRV.DLL)。

　　LSASS DCE/RPC末端导出的Microsoft活动目录服务存在一个缓冲区溢出，远程攻击者可以利用这个漏洞以SYSTEM权限在系统上执行任意指令。

　　[对策]

　　1、临时处理方法:使用防火墙对UDP端口135、137、138、445及TCP端口135、139、445、593进行过滤。

　　2、打系统补丁、升级。

　　阅读关于 IDS 入侵检测系统病毒漏洞攻击的全部文章

返回顶部

下一篇：用Office 2003提取图片中的文字 >>